Haftanın Önemli Gelişmeleri – 19. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

dell
Dell Bilgisayarlarda Uzaktan Kod Çalıştırma (RCE) Zaafiyeti Tespit Edildi

Dell bilgisayarların çoğunda varsayılan olarak kurulu gelen “Dell SupportAssist” uygulaması, saldırganların uzaktan kod çalıştırılabilmesine imkan vermektedir.

Eğer siz değerli okuyucularımız da bir Dell marka bilgisayar kullanıyorsanız, haberimizi dikkatle okuyunuz. Hackerlar, sisteminizi siz farkında bile olmadan ellerine geçirebilir.

17 yaşındaki bir güvenlik araştırmacısı tarafından tespit edilen bu güvenlik açığı Dell şirketi tarafından da doğrulandı. Zaafiyetli olan uygulamanın güncel versiyonu ise güvenlik sıkılaştırılmaları yapılarak kullanıcılara sunuldu.

Dell bilgisayarlarda kullanılan Dell SupportAssist (önceki adıyla Dell System Detect), Dell’in destek web sitesiyle etkileşimde bulunarak gerekli olan kullanıcı doğrulamaları yapıldıktan sonra mevcut aygıt sürücülerini taramak ve eksik veya mevcut sürücü güncellemelerini yüklemek ayrıca donanım testlerini gerçekleştirmek üzere programlanmış bir uygulamadır. Bu uygulamanın çalışma mantığı, kullanıcıların sistemlerinde yerel ağda 8883, 8884, 8885, 8886 portlarından birinde bir web sunucusu çalıştırmakta ve önceden tanımlı bazı görevleri gerçekleştirmek için URL parametreleri aracılığıyla komutları kabul etmektedir. CVE-2019-3719 koduyla tanımlanan güvenlik açığı, 3.2.0.90 sürümünden önceki Dell SupportAssist uygulamasını etkilemektedir. RCE (Uzaktan Kod Çalıştırma) saldırısını tespit eden güvenlik araştırmacısı, saldırının videolu örneğini internette paylaştı. Saldırı örneğinde SupportAssist aracılığıyla hackerların hedef sistemlere keyfi olarak dosya indirmesi ve bu dosyaları çalıştırması gösterildi.

Dell kullanıcılarının, güncellenmiş Dell SupportAssist 3.2.0.90 kullanması ve uygulamanın sürekli güncel tutulması tavsiye edilmektedir. Ancak uygulamanın kullanılmaması durumunda, sistemden tamamen kaldırılması da olası saldırıların bu uygulama üzerinden gerçekleşmesini engellemiş olmaktadır.

chinese hacker
Çinli Hackerların, NSA Hacking Tools’ları Sızdırılmadan Önce Tooları Kullandığı Ortaya Çıktı

Şok edici bir açıklamada, Çin istihbaratı tarafından desteklendiğine inanılan Çinli bir hacker grubunun, Shadow Brokers grubunun tooları sızdırmasından bir yıl önce NSA hacking toolarını kullandığını belirtildi.

Siber güvenlik firması Symantec tarafından yayınlanan rapora göre, Çin bağlantılı BuckEye ismindeki hacker grubunun Mart 2016’dan beri NSA toolarını kullandığı ortaya çıkarken bu tooların Shadow Brokers tarafından sızdırılması Nisan 2017 tarihindedir. Böylece Çinli grubun 1 yılı aşkın süre öncesinde tooları ele geçirdiği anlaşılmaktadır.

2009’dan beri aktif olarak tanınan BuckEye (APT3, Gotik Panda, UPS Ekibi ve TG-0110 olarak da bilinir), esas olarak ABD’deki savunma ve kritik organizasyonlara karşı yapılan çok sayıda casusluk saldırısından sorumlu tutulmaktadır.

Araştırmacılara göre, Buckeye grubu, gizli bilgi toplamak ve hedeflenen bilgisayarlarda zararlı kod çalıştırmak için Benstour adlı özel bir araç kullanmaktaydı. Benstour aracı, hedeflenen bilgisayarlarda uzaktan kodu çalıştırılmasını sağlamak için Windows’taki iki güvenlik açığından (CVE-2019-0703 ve CVE-2017-0143) yararlanmaktadır.

Araştırmacılar, BuckEye’nin, Mart 2016 ile Ağustos 2017 tarihleri arasında, SMB istismarı ve DoublePulsar arka kapısının kombinasyonlarını kullanarak, telekomünikasyon şirketlerinin yanı sıra Hong Kong, Lüksemburg, Belçika, Filipinler ve Vietnam’daki bilimsel araştırma kurumlarına da saldırılar yaptığını göstermektedir.

Symantec, Çinli hackerların, Shadow Brokers sızdırmadan önce bu tooları nasıl ele geçirdiğini bilmese de, güvenlik firması, BuckEye’nın tooları kendi bilgisayarlarına NSA saldırısından almış ve daha sonra tersine mühendislik yapmış olabileceğini düşünmektedir.

jenkins
100’den Fazla Jenkins Eklentisini Etkileyen Güvenlik Zafiyetleri Bulundu

Araştırmacılar, son 18 ay boyunca 100’den fazla farklı Jenkins eklentisinde güvenlik açıkları bulmuş ve bildirmiştir. Geliştiricilere bildirimde bulunma çabalarına rağmen, bu eklentilerin çoğunda bir düzeltme yapılmamıştır. Jenkins ekibi son 18 ay içinde bu güvenlik açıkları hakkında on güvenlik yaması yayınladı ve geliştiricilere güvenlik açığıyla ilgili uzantıları kaldırmaları konusunda uyardı.

NCC Grubu Güvenlik Danışmanı Viktor Gazdag, geliştirici ekiplerin kullandığı ortak bir web tabanlı uygulama olan Jenkins için eklentileri etkileyen tüm güvenlik açıklarını keşfetme konusunda bilgilendirdi.

NCC Grubu araştırmacısı, bulduğu en yaygın güvenlik kusurlarından bazılarının, birçok Jenkins eklentisinin, içinde depolanan tüm verileri otomatik olarak şifreleyen ana Jenkins credentials.xml dosyasını kullanmak yerine şifrelerini yapılandırma dosyalarının içinde açık metin olarak sakladığını söyledi.

Örneğin, Jenkins sistemlerini bir veritabanı, bir mesaj komisyoncusu (MQ) sunucusu veya bir bulut sağlayıcı gibi üçüncü parti teknolojisiyle bağlamak için tasarlanmış bir eklenti, yapılandırma dosyası içindeki şifreyi şifrelememişse, bu bilgiyi almayı başaran bir saldırgan, bu sistemlere de kolayca erişim sağlayabilmektedir.

Ayrıca, Gazdag, tehdit aktörlerinin saldırganın sunucusuna kimlik bilgileri göndermek için eklentilerin “bağlantı testi” işlevlerini kullanmalarına izin veren CSRF (Siteler Arası İstek Sahteciliği) kusurlarını ve SSRF (Sunucu Tarafı İstek Sahteciliği) açıklarını buldu.

Geçen yılda, CyberArk güvenlik araştırmacıları, anonim kullanıcıların Jenkins yöneticisi olmalarına izin veren iki güvenlik açığı bulmuşlardı.

google chrome
Chrome Tarayıcılarda Yeni Oltalama Yöntemi Keşfedildi

Mobil cihazlarda da kullanılan Chrome web arama motorunda bulunan yeni oltalama yöntemi, saldırganların durmadan yeni zararlı teknikler bulmak için çalıştıklarını gözler önüne sermektedir.

Mobil cihazlar için kullanılan Chrome uygulamasında, kullanıcı web sayfasını aşağı doğru kaydırdığında, tarayıcı uygulamayı daha büyük göstermek için URL çubuğunu gizlemektedir. Kullanıcı bu ekran alanını güvenilir bir arayüz olarak düşünmektedir. Bundan dolayı kimlik avı yapan bir dolandırıcı kendi sahte URL çubuğunu (başlangıç ​​çubuğu) ekrana vererek uygulamayı farklı bir site olarak gösterebilmektedir. Bunun daha da kötüsü normalde, kullanıcı yukarı kaydırdığında, Chrome gerçek URL çubuğunu yeniden görüntülemektedir ve böylece gerçek URL tekrardan görüntülenebilmektedir. Ancak, Chrome bu noktada kandırılabilmektedir. Bu yeni teknik sayesinde gerçek URL çubuğu hiçbir zaman yeniden görüntülenememektedir. Chrome, URL çubuğunu gizledikten sonra, sayfa içeriğinin tamamını bir “scroll jail”’e taşımaktadır. Ardından kullanıcı sayfada yukarı çıktığını zannetse bile aslında yalnızca scroll jail’de yukarı kaydırma yapabilmektedir.

Bazı normal şartlarda scroll jail kullanılsa dahi kullanıcı sayfanın en üstüne gidebilmektedir. İşte bu noktada Chrome URL çubuğunu tekrar görüntülenmektedir. Fakat saldırganlar bu özelliği scroll jail’in en üstüne uzun bir dolgu elemanı yerleştirerek etkisiz hale getirebilmektedir. Bu dolgu işlemi yapıldıktan sonra saldırgan web sayfasının en üstüne çıkmak istese dahi sayfa yenileme butonu gelerek gerçek url görüntülenmesi engellenmektedir.

Kullanıcının, gerçek URL’yi doğrulama fırsatına sahip olduğu tek zaman, sayfayı kaydırmadan önce görünen URL’dir. Bu nedenle mobil chrome kullanırken ilk URL bilgisine dikkat edilmelidir.