Haftanın Önemli Gelişmeleri – 3. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

Citrix’den 80.000 Firmayı Etkileyen Zafiyet
Citrix ADC’de Kritik Güvenlik Zafiyetleri Tespit Edildi

Citrix, ADC ve Gateway yazılımlarında kritik bir güvenlik açığı için güvenlik yamalarını uygulamaya başladı. Saldırganlar, şirket tarafından herhangi bir kalıcı düzeltme yayınlamadığından dolayı, sorunun varlığının açıklamasından bu yana sömürmeye başladılar.

Citrix’in yayınladığı güvenlik yaması ile birlikte mevcut güvenlik sorunları çözülmeye başlandı, ancak bilgisayar korsanları savunmasız sistemlerden yararlanma fırsatını kaçırmadıkları için, kısa bir süre bile yüzlerce Citrix ADC ve Gateway sisteminden ödün verilmesi için yeterli oldu.

Daha önce açıklandığı gibi, CVE-2019-19781 olarak izlenen güvenlik açığı, kimliği doğrulanmamış saldırganların Citrix ADC ve Gateway ürünlerinin çeşitli sürümlerinde izinsiz erişimlere ve ikisinde de uzaktan kod yürütülmesine izin verebilecek bir güvenlik sorunudur.

Siber güvenlik uzmanlarına göre, bugün itibariyle, saldırganların potansiyel kurumsal ağları hedeflemek için sömürebilecekleri 15.000’den fazla halka açık ve savunmasız Citrix ADC ve Gateway sunucusu bulunmaktadır.

Citrix ADC ve Gateway sistemlerini güncellemeyen kurumların bir an önce güncellemelerini tamamlamaları önerilmektedir.

En son yayınlanan güvenlik yamaları:

Citrix ADC ve Gateway

VersionRefresh BuildRelease Date
11.111.1.63.15Ocak 19, 2020
12.012.0.63.13Ocak 19, 2020
12.112.1.55.xOcak 24, 2020
10.510.5.70.xOcak 24, 2020
13.013.0.47.xOcak 24, 2020

Citrix SD-WAN WANOP

ReleaseCitrix ADC ReleaseRelease Date
10.2.611.1.51.615Ocak 24, 2020
11.0.311.1.51.615Ocak 24, 2020
ukranian hacker
500.000’den Fazla Cihazın Kritik Bilgileri Sızdırıldı

Bir bilgisayar korsanı, ev yönlendiricileri de dâhil olmak üzere 515.000’den fazla sunucu ve akıllı cihaz için çevrimiçi olarak büyük bir Telnet kimlik listesi yayınladı. Liste bir DDoS booter servisi yöneticisi tarafından popüler bir hack forumuna sızdırıldı. Sızdırılan listede IP adresi, kullanıcı adı ve parolalar olduğu görüldü. Uzmanlara göre sızdırılan listenin, internetteki tüm Telnet portları açık olan cihazları tarayarak derlendiği düşünülmektedir. Saldırganın bu bilgilere varsayılan olarak gelen kullanıcı adı ve parola veya tahmin edilmesi kolay kullanıcı adı-parola kombinasyonları ile ulaştığı tahmin edilmektedir.

İncelenen listede Ağustos 2017’de sızan 33.000 Telnet kimlik bilgilerinin olduğu görülse de bu bugüne kadar bilinen Telnet ile alakalı en büyük veri sızıntısı olarak kayda geçmektedir. Ayrıca sızdırılan listenin Ekim-Kasım 2019 tarihli olduğu görülmüştür.

GDI Vakfı’nın kurucusu olan Güvenlik araştırmacısı Victor Geverse, listeyi analiz ettiğini ve listenin 8200’den fazla IP adresinden oluştuğunu doğruladı, ayrıca sızdırılmış bilgiler yüzünden hala yaklaşık 2.174 cihazın da tehlikede olduğunu belirtmiştir.

Internet Explorer’da 0-Day Keşfedildi
Internet Explorer’da 0-Day Keşfedildi

Microsoft geçtiğimiz günlerde Internet Explorer 9, Internet Explorer 10 ve Internet Explorer 11 tarayıcılarında keşfedilen, milyonlarca Windows kullanıcısını etkileyen 0-day açığı olduğunu duyurmuştur. Ancak duyurulan güvenlik zafiyeti ile ilgili henüz bir yama yayınlanmamıştır.

Zafiyet CVE-2020-0674 olarak numaralandırmış ve Internet Explorer’ın JScript.dll kütüphanesi aracılıyla uzaktan kod çalıştırılmasına neden olmaktadır. Saldırgan kişi, hedeflenen bilgisayarda kod yürütebilmekte ve çeşitli sosyal mühendislik yöntemleri ile, Internet Explorer tarayıcısı üzerinde, zararlı bir web sayfası açmasını sağlayarak tam kontrole sahip olabilmektedir.

Eğer hedeflenen ortamda yönetici hesabıyla oturum açıldıysa ve zafiyeti kullanan kişi oturum açık olan kişinin yetkilerini elde edeceğinden dolayı yönetici yetkilerine kavuşabilmekte ve yönetici gibi sisteme müdahale edebilmektedir.

Microsoft, yama üzerinde çalışmaktadır. Lakin bu yama yayınlanana kadar zafiyetten etkilenmemek için geçici çözümler uygulanması önerilmektedir.

Geçici çözümler:

  • JScript.dll kütüphanesinin geçici olarak devre dışı bırakılmalıdır. Bu işlem sonucunda zafiyetten yararlanılmasını manuel olarak engellenebilmektedir.
  • JScript.dll dosyasına erişimi kısıtlamak için, Windows sisteminizde yönetici yetkileri ile aşağıdaki komutları çalıştırmanız gerekmektedir.

32 bit Sistemler İçin:

takeown / f% windir% \ system32 \ jscript.dll
cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

64 bit Sistemler İçin:

takeown / f% windir% \ syswow64 \ jscript.dll
cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N
takeown / f% windir% \ system32 \ jscript.dll
cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

Yama yayınlandıktan ve sistemler güncellendikten sonra komutların geri alınması gerekmektedir. Kodları geri almak için aşağıdaki komutlar uygulanmalıdır.

32 bit Sistemler İçin:

cacls %windir%\system32\jscript.dll /E /R everyone

64 bit Sistemler İçin:

cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone

Bazı web siteleri JScript.dll kullanmaktadır. JScript.dll kütüphanesini devre dışı bıraktığımız için siteler istenildiği gibi görünmemeye ve hatalı çalışmaya başlayabilmektedir. Bu yüzden zafiyet için yama yayınlanana kadar başka bir tarayıcı kullanmanızı, yama çıkar çıkmaz sistemlerinizi güncellemenizi önermekteyiz.

adobe
Adobe’den Yeni Yılın İlk Yaması

Adobe yeni yıldaki ilk yamasını yayınladı, yaygın olarak kullanılan iki uygulama olan Adobe Experience Manager ve Adobe Illustrator’da keşfedilen 9 yeni güvenlik açığının düzeltildiği yeni yazılım güncellemeleri yayınlandı.

Adobe tarafından yayınlanan belgede, Adobe Illustrator yazılımındaki 5 kritik açığın tamamının, bir saldırganın geçerli kullanıcı bağlamında hedeflenen sistemlerde kod yürütmesine izin verebilecek bellek bozulması hatası olduğu belirtilmektedir.

Geri kalan 4 güvenlik açığının ise, Adobe Experience Manager’ı neredeyse etkilemediği belirtilmektedir. Bu 4 güvenlik açığının hiçbirinin kritik öneme sahip güvenlik açıkları olmamasına rağmen en kısa zamanda güncellenmesi önerilmektedir.

Adobe, son kullanıcılara ve yöneticilere sistemlerini ve işlerini olası siber saldırılara karşı korumak için en son güvenlik güncellemelerini en kısa zamanda yüklemelerini önermektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri