Haftanın Önemli Gelişmeleri – 4. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

NETCAT: Yeni Saldırı Türü Hacker’lara Intel İşlemcilerden Veri Çalmalarına İzin Veriyor
Intel CPU’larda Kritik Zafiyet

Birçok güvenlik cihazında, Intel CPU’larından veri sızdırabilen yeni bir spekülatif execution saldırısı olan CacheOut zafiyeti tespit edilmiştir. Intel’in önceki nesil spekülatif execution saldırılarına yönelik girişimlerine rağmen, CPU’ların hala savunmasız olduğunu ve saldırganların hassas verileri sızdırmak için bu güvenlik açıklarından yararlandığı görülmektedir.

Bunun yanı sıra önceki MDS sorunlarının aksine, bir saldırganın, verilerin kullanılabilir olmasını beklemek yerine, hangi verilerin sızıntı yapacağını seçmek için CPU’nun önbellek mekanizmalarından nasıl yararlanabileceğini de CacheOut saldırısının detayları verilen dökümanda yayınlanmıştır. Son olarak, CacheOut’un neredeyse tüm donanım tabanlı güvenlik etki alanlarını ihlal edebileceğini, işletim sistemi çekirdeğinden, ortak yerleşik sanal makinelerden ve hatta SGX eklentilerinden veri sızdırdığı da dökümanda belirtilmektedir.

Açıklanan dokümanda bu zafiyetin nasıl sömürüldüğünü de ekleyen araştırmacılar 2018 4. çeyrekten sonra üretilen CPU’lar hariç diğer modellerin tamamımın etkilediğini duyurdular. Araştırmacılar bu güvenlik zafiyetinden korunmak için “İşletim sisteminiz ve/veya hipervizör satıcınız tarafından sağlanacak yazılım güncellemelerini yüklemenizi öneririz.” şeklinde açıklamada bulundu.

trend micro logo
Trend Micro OfficeScan’de 0-Day Keşfedildi

Çinli hackerların Mitsubishi Electric’e yaptıkları saldırılarda Trend Micro’nun OfficeScan anti virüs ürününde bulunan 0-day zafiyetini kullandıkları tespit edilmiştir. Trend Micro, 0-day zafiyeti ile ilgili güvenlik güncelleştirmelerini yayınlamıştır. Ancak başka saldırılarda da güncelleştirilen 0-day zafiyetinin kullanılıp kullanmadığına dair bir açıklama yapılmamıştır.

Geçtiğimiz günlerde Mitsubishi Electric web siteleri aracılığıyla bir basın açıklaması yapmış, 28 Haziran 2019 yılında saldırıya uğradıklarını duyurmuştur.

Mitsubishi, bir ay süren araştırmanın ardından, hackerların yaklaşık olarak 200 MB veri sızdırdığını ve aynı zamanda şirketin dahili ağına eriştiklerini tespit etmiştir.

Şirket her ne kadar ilk aşamada detayları basın ile paylaşmasa da sonradan güncelledikleri basın açıklamasında sızan verilerin çalışanlarının kişisel bilgilerini içerdiğini duyurmuştur.

Mitsubishi’ye göre, sızdırılan veriler:

  • 1.987 kişiye ait istihdam başvurusu.
  • Merkez ofisinde 4.566 kişi tarafından doldurulan 2012 yılı çalışan anketinin sonuçları.
  • 2007-2019 yılları arasında emekli olan 1.569 Mitsubishi Electric çalışanları hakkında bilgiler.
  • Şirkete ait gizli teknik ve satış malzemelerini içeren bazı evraklar.

Paylaşılan rapora ve Japon medyasına göre saldırı Çin’de bulunan Mitsubishi Electric kuruluşundan kaynaklanmış ve sonrasında 14 farklı departmanın ağına yayılmıştır. Aynı zamanda Mitsubishi çalışanının şirket sunucusunda şüpheli bir dosya bulmasının ardından saldırının tespit edildiği düşünülmektedir. Bunların hiçbiri Mitsubishi Electric tarafından onaylanmamış medyanın yaptığı araştırma sonucunda bu olaylara varılmıştır.

Mitsubishi’nin paylaştığı tek detay, saldırının TrendMicro tabanlı OfficeScan adlı anti virüsünde bulunan 0-day zafiyeti sonucu gerçekleştiğidir. Trend Micro, Ekim 2019’da gönderilen güvenlik raporunda, OfficeScan’ın etkilenen sürümlerinden bahsetmiştir. Söz konusu güvenlik zafiyetini CVE-2019-18187 koduyla duyurmuş ve sistemde uzaktan kod çalıştırılmasını (RCE) sağladığını açıklamıştır.

Trend Micro müşterilerini zafiyet hakkında uyarmış ve hackerların bu zafiyetten sık sık faydalandıklarını duyurmuştur. Güvenlik yaması Ekim ayında hızlı bir şekilde çıkarılmıştır.

Japon medyasının göre, Çin merkezli bir APT grubu olan Tick bu saldırıları gerçekleştirmiştir. Tick grubu, son birkaç yıl içinde tüm dünyadaki ülkeleri hedeflemektedir ve çok sayıda saldırı yaptığı düşünülmektedir.

microsoft
250 Milyon Microsoft Müşteri Hesabı Sızdırıldı

Popüler bir siber güvenlik araştırmacısı olan Bob Diachenko, kişisel bazı bilgilerle birlikte 250 milyondan fazla müşteri destek kaydı içeren korumasız bir veritabanı keşfetmiştir. Korumasız veritabanı, 2005’ten Aralık 2019’a kadar Microsoft teknoloji devine sunulan destek taleplerini içermektedir.

Microsoft, destek ekibi ile müşterileri arasındaki konuşma günlüklerini içeren, yanlış yapılandırılmış bir sunucu nedeniyle Müşteri Hizmetleri ve Destek (CSS) kayıtlarının erişilebilir olduğunu doğrulamıştır.

Microsoft bu durumu “Bugün, Microsoft destek örneği analizi için kullanılan dahili veritabanının yanlış yapılandırılmasıyla ilgili bir araştırma yaptık. Araştırmada kötü amaçlı bir kullanım bulunamadı. Çoğu müşterinin kişisel bilgileri açık olmamasına rağmen, bu olay hakkında tüm müşterilerle şeffaf olmak istiyoruz. Ayrıca müşterilerin onları ciddiye aldığımızdan ve kendimizi sorumlu tuttuğumuzdan emin olmalarını istiyoruz.” şeklinde açıklamıştır.

Microsoft, veritabanını 31 Aralık 2019’da daha güvenli hale getirdiğini ve verilerin kötü amaçlı kullanımından haberdar olmadığını açıklamıştır.

Diachenko, aşağıdaki özellikleri içeren birçok kaydın varlığından bahsetmiştir:

  • Müşteri e-posta adresleri
  • IP adresleri
  • Adresler
  • CSS iddialarının ve vakalarının açıklamaları
  • Microsoft destek aracısı e-postaları
  • Vaka numaraları, çözünürlükler ve açıklamalar
  • “Gizli” olarak işaretlenmiş notlar

Microsoft, müşterilerinin kişisel bilgilerini veritabanından kaldırmak için otomatik araçlar kullandığını ancak bazı durumlarda standart bir biçim olmadığından bu bilgilerin kaldırılmadığını açıklamıştır.
Diachenko: “Kişisel bilgilerin çoğu kayıtlardan çıkarılmış olsa da bu maruziyetin tehlikeleri göz ardı edilmemelidir. Veriler, özellikle teknik destek dolandırıcıları için değerli olabilir. ” açıklamasını yapmıştır.

Microsoft’un veri sızıntısından etkilendikten sonra aldığı aksiyonlar aşağıdaki gibidir:

  • 28 Aralık 2019 – Veritabanları BinaryEdge arama motoru tarafından dizine eklenmiştir.
  • 29 Aralık 2019 – Diachenko, veritabanlarını keşfetmiş ve hemen Microsoft’u bilgilendirmiştir.
  • 30-31 Aralık 2019 – Teknoloji devi, sunucuları ve verileri güven altına almıştır. Diachenko ve Microsoft, soruşturma ve iyileştirme sürecine devam etmişlerdir.
  • 21 Ocak 2020 – Microsoft, soruşturma sonucunda ek ayrıntılar açıklamıştır.
wordpress amp
WordPress Eklentilerinde Kritik Zafiyetler Tespit Edildi

Araştırmacılar geçtiğimiz günlerde sürekli eklenti zafiyetleri ile gündeme gelen WordPressde 320.000 web sitesini riske atan iki eklentide kritik bir hata bulduklarını açıkladılar.

Güvenlik açıkları hakkında bilgi veren araştırmacılar, WP Time Capsule ve InfiniteWP Client adlı iki eklentide bir kimlik doğrulama baypas hatası bulduklarını söylediler. Kusurun, bir saldırganın parola olmadan yönetici hesabında oturum açmasına izin verilerek sömürülebileceği belirtilmiştir.

WP Time Capsule:

“ptc-cron-functions.php” satır 12’de, isteği ayrıştırdığı (request parse) yerde bulunmaktadır. Parse_request işlevi, ham POST payloadı “IWP_JSON_PREFIX” dizesini içerip içermediğini kontrol eden “decode_server_request_wptc” işlevini çağırır. Bu dizeyi içeriyorsa, wptc_login_as_admin’i çağırarak (kullanılabilir tüm yönetici hesaplarını alır ve listedeki ilk hesabı kullanır) yönetici olarak oturum açmış olunur.

InfiniteWP:

Bir başka kritik hata ise, “init.php” dosyasında bulunan “iwp_mmb_set_request” işlevinde bulunmaktadır. Bu fonksiyon, IWP_MMB_Core sınıfının request_params değişkeninin boş olup olmadığını kontrol eder; ancak yalnızca faydalı yük belirli koşulları karşıladığında doldurulmaktadır. Bu durumda koşul, payload’ın “iwp_action” parametresi “read_site” veya “add_site”’ye eşit olur. Eksik yetkilendirme denetimi bu sorunun var olmasının nedenidir.

Siber güvenlik araştırmacıları, güvenlik duvarlarının bu güvenlik açığına karşı önlem alınamayacağını belirttiler. Her iki eklentinin de geniş kullanımı göz önüne alındığında, güvenlik açığının potansiyel olarak binlerce web sitesini saldırılara karşı savunmasız bıraktığı görülmektedir. Bu durumda, etkilenen eklentilere sahip sitelerin herhangi bir yöneticisinin, yamalı en yeni sürümü yüklemesi çok önemlidir.

PupyRAT
Enerji Sektöründe Backdoor Alarmı

Recorded Future siber güvenlik uzmanları, İran bağlantılı bir hacker grubu tarafından gerçekleştirilen ve siber saldırılarda daha önce de kullanılan bir arka kapının (backdoor) Avrupa enerji sektöründeki çok kritik bir kuruma karşı kullanıldığını açıklamıştır.

Arka kapı türünden zararlı yazılım olan PupyRAT, saldırganlara kurbanın sistemine tam erişim sağlamaktadır ve birçok platformda çalışan (Windows, Linux, OSX, Android) Python diliyle programlanmış bir sömürü sonrası aracıdır. PupyRAT arka kapı yazılımı açık kaynaklı olarak Github platformunda bulunmaktadır.

PupyRAT arka kapı yazılımının genelde İran bağlantılı APT grupları tarafından siber saldırılarda kullanıldığı görülmüştür. Bu gruplar APT33 (Elfin, Magic Hound ve HOLMIUM), COBALT GYPSY, ve APT34 (OilRIG) olarak bilinmektedir. Recorded Future uzmanları, PupyRAT ile aynı uzmanlar tarafından belirlenen komuta ve kontrol (C&C) sunucusu arasında kötü niyetli trafik tespit etmiştir.

Zararlı yazılımın kuruma, phishing saldırı yöntemi ile bulaştırıldığı tahmin edilmektedir ayrıca paket trafiği kayıtlarına bakarak saldırının Kasım 2019 ile 5 Ocak 2020 arasında gerçekleştirildiği tespit edilmiştir.

Siber güvenlik araştırmacıları APT gruplarının bu yöntemlerle benzer enerji sektörlerini hedeflediğini açıklamıştır. Kurumların kritik siber saldırılara karşı önlem alabilmesi için sistem giriş-çıkış kayıtlarını incelemeleri, güçlü ve benzersiz parola kullanmaları tavsiye edilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri