Haftanın Önemli Gelişmeleri – 6. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

cisco
Cisco Ağ Cihazlarda RCE Tespit Edildi

Cisco cihazların ağa bağlı diğer cihazlar hakkında bilgi toplamak için kullandığı ve veri iletim katmanında (OSI – Layer 2) çalışan bir keşif protokolü olan CDP’de kritik zafiyetler tespit edildi. Tespit edilen zafiyetler sonucunda Cisco Keşif Protokolü (CDP) açık olan cihazlarda RCE ve DoS saldırısının mümkün olduğu paylaşıldı.

Armis Security adındaki bir siber güvenlik firmasının yaptığı çalışmalar sonucunda CPD destekli cihazların Cisco IP kameralarda bellek taşmasına (CVE-2020-3110), Cisco VoIP cihazlarda rastgele yazma (CVE-2020-3111) ve Cisco IOS XR yönlendiricisinde DoS (CVE-2020-3120) zafiyeti tespit edilmiştir. Bu güvenlik açıkları, yerel ağdaki bir saldırganın sistemde kod yürütmesine (RCE) ve hizmet reddine (DoS) neden olmaktadır.

Cisco cihazlar varsayılan olarak CDP aktif çalışmaktadır. Zafiyetten etkilenen ürünler için Cisco tarafından yayınlanan güvenlik güncelleştirilmeleri en kısa zamanda yapılmalıdır.

huawei
Huawei Cihazlarda Backdoor Alarmı

Rus güvenlik uzmanı Vladislav Yarmak, Huawei cihazlarında kullanılan HiSilicon çiplerinde keşfettiği arka kapı mekanizması hakkında teknik ayrıntılar yayınladı. Vladislav Yarmak, Huawei yan kuruluşu olan HiSilicon’un dijital video kameralara (DVR’ler), ağ uyumlu video kayıt cihazlarına (NVR’ler) ve IoT kameralara firmware (donanım yazılımı) entegre ettiği arka kapının (backdoor) nasıl çalıştığını açıkladı. Yarmak’a göre, bu arka kapı 2013’ten beri en az üç farklı versiyonda yayınlandı.

Vladislav Yarmak tarafından yayınlanan raporda arka kapının çok basit bir yapıda çalıştığı bilinmektedir. Rapora göre Yarmak, HiSilicon çipleri kullanan cihazlara 9530 numaralı TCP bağlantı noktası üzerinden bir dizi komut göndererek arka kapıyı kullanmanın mümkün olduğunu açıklamıştır. Komutların zafiyetli bir cihazda Telnet hizmetini etkinleştirmesine izin verebileceği, ardından saldırgan kişilerin aşağıdaki 6 farklı Telnet kimlik bilgisinden birini kullanarak oturum açabileceği ve bir kök (root) hesabına erişebileceği tespit edilmiştir.

Ürün yazılımı için Huawei tarafından güvenlik güncelleştirilmesi beklenmemelidir. Bu cihazları kullanan kurumların alternatif cihazlara geçmesi önerilmektedir. Alternatif cihazlara geçmenin zorluğu göz önünde bulunarak, mevcut Huawei cihazlarda ağ erişimini sadece güvenilir kullanıcıları kapsayacak şekilde kısıtlamak gerekmektedir. Bu güvenlik açığıyla ilgili bağlantı noktaları genellikle 23/tcp, 9530/tcp, 9527/tcp portlarında bulunmaktadır.

Equifax Kuruluşu Hacklendi

Equifax tüketici kredisi raporlama ajanslarından biridir. 2017 de saldırıya uğramış 143 milyon ABD vatandaşının kişisel bilgileri tehlikeye girmiş ve Çin adalet bakanlığı yapmış olduğu açıklamada saldırıyı gerçekleştiren kişilerin tespit edildiğini söylemiştir.

Amerika Adalet Bakanlığı’nın iddianamesine göre, Çin Halk Kurtuluş Ordusu’nun dört üyesinin Equifax saldırısının arkasında olduğunu iddia etmiştir, saldırıdan etkilenen ABD vatandaşlarının sayısı da göz önüne alınarak Çin devleti tarafından desteklenen en büyük veri hırsızlığı olduğu söylenmektedir.

Sızdırılan verilerin yapılan araştırmalar sonucunda illegal platformlarda paylaşılmadığı veya satışının yapılmadığı gözlemlenmiştir. Bu yüzden saldırının bir devlet desteği ile gerçekleştiği düşünülmektedir.

7 Mart 2017 tarihinde Apache Struts yazılımının bazı sürümlerinde, web uygulamalarında uzaktan kod çalıştırılmasını mümkün kılan bir 0-day zafiyeti tespit edilmiştir. Apache geliştiricileri bu zafiyetle ilgili bir güncelleme yayınlamıştır.

Geçmiş zamanlara Equifax, Apache Struts kullanmasına rağmen bu zafiyeti görmezden gelmiştir. Amerika Adalet bakanlığı ise, Çinli hackerların Equifax sistemlerine sızdığını söylemiştir.

Amerika Adalet Bakanlığı iddianamesine göre hackerlar toplamda 9.000 sorgu çalıştırmış ve sonunda kişisel verilerin; isim, adres, sosyal güvenlik numarası ve doğum tarihi gibi bilgilerini içeren bir veri tabanı bulduklarını söylemiştir. Ayrıca Equifax’ın ağında, sorgularını ve komutlarını göndermek için şirketin şifreli iletişim kanallarını kullandıkları ve bu yüzden de her şeyin normal ağ akışında olduğu gibi göründüğünü açıklamıştır.

İddianamede hackerların Equifax’a sızmak için 20 ülkede 34 sunucu kurdukları iddia edilmekte, bunun da saldırganların tespit edilmelerini zorlaştırmak için yapmış oldukları bir plan olduğu düşünülmektedir. Aynı zamanda saldırganlar kurdukları sunuculardan günlük olarak dosyaları ve logları temizlemiş, bu sunuculara şifreli protokollerle bağlanmışlardır.

Bu işlemleri hackerlar birkaç hafta tekrarlamış, her seferinde başka bir sunucudan sisteme girip verilerin bir kısmını çekerek saldırının tespit edilmesini zorlaştırmışlardır. Bu sayede toplamda 147.9 milyon kişinin kişisel bilgileri ele geçirilmiştir. Bu kişilerin arasında son derece kritik yerlerde çalışan vatandaşlar da mevcuttur. Tüm iddialar birleştirildiğinde saldırının bir devlet aktörü tarafından gerçekleştirildiği kanısına varılmaktadır.

android-spyware-phishing-info-stealing
Android Cihazlarda Bluetooth Zafiyeti Tespit Edildi

Android 8.0 – 9.0 işletim sistemlerinde tespit edilen zafiyet ile Bluetooth etkin cihazlar için arka plan programlarının ayrıcalıklarıyla uzaktan kod yürütülebilindiği tespit edilmiştir. Kullanıcı etkileşimi gerekmeksizin sömürülen zafiyet için hedef cihazların yalnızca Bluetooth MAC adresinin bilinmesi yeterli olmaktadır. Bu durum bazı cihazlar için Wi-Fi MAC adreslerinden de kolaylıkla elde edilmektedir. Tespit edilen güvenlik zafiyetinin başarılı bir şekilde sömürülmesi, kişisel verilerin saldırganlar tarafından ele geçirilmesine ve zararlı yazılımların yayılmasına neden olmaktadır.

Android 10 işletim sistemlerinde, Bluetooth zafiyeti teknik nedenlerden dolayı sömürülememektedir. Yalnızca Bluetooth arka plan programının çökmesine neden olmaktadır. CVE-2020-0022 zafiyet koduyla paylaşılan güvenlik açığı, Android sistem bileşenindeki iletim işlemine zarar vererek saldırganların rastgele kod yürütmesine imkan vermektedir.

Bluetooth servisinin yalnızca gerekli olduğu durumlarda etkinleştirilmesi önem taşımaktadır. Günümüzde kullanımı yaygınlaşan kablosuz kulaklıkların Bluetooth servisi üzerinden çalıştırıldığı unutulmamalıdır. Bu nedenle gerekmedikçe Bluetooth servisi kapalı tutulmalıdır. Android cihaz kullanıcılarının herhangi bir istismardan kaçınması için güvenlik güncelleştirmelerini yapmaları önerilmektedir. Yayınlanan güvenlik güncelleştirmeleri tüm Android cihaz kullanıcılarına ulaştırıldığında, teknik detayların bulunduğu PoC raporunun paylaşılacağı açıklanmıştır.

windows 7
Windows 7 İşletim Sistemlerinde Kafa Karıştıran Hata

Microsoft, Windows 7 resmi desteğininin sonlanması açıklamasıyla birlikte işletim sisteminde kritik bir hata keşfedildi. Windows 7 kullanıcıları, sistemlerini her kapatmaya veya yeniden başlatmaya çalıştıklarında “Bu bilgisayarı kapatma izniniz yok” yazan bir hata mesajı aldı. Hatanın nedeni hala bilinmemekte ama gayri resmi bir düzeltme yolu bulunmaktadır.

Reddit’teki birkaç kullanıcı ve BT destek firması Quick Heal tarafından bu hatanıın alternatif çözümü açıklanmıştır. Hatanın çözümü birçok kullanıcı tarafından onaylamıştır ve çözüm adımları aşağıdaki gibidir:

1. Adım: Çalıştır (Run) Penceresi Açılmalıdır (Run penceresini açmak için “Windows + R “ kullanılabilir).
2. Adım: Group Policy Edit Bileşeni Çalıştırılmalıdır. (”gpedit.msc”)
3. Adım: Group Policy Editor ile “Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options” Bölümüne Gidilmelidir.
4. Adım: “Security Options” Panelinden “User Account Control: Run all administrators in Admin Approval Mode” Bölümü Açılmalıdır.
5. Adım: Yeni Bir Pencerede “Enable” İşlemi Yapılmalıdır.
6. Adım: Çalıştır (Run) Penceresi Tekrar Açılmalıdır.
7.Adım: Açılan Pencerede “gpupdate / force” Komutu Çalıştırılmalıdır (bu işlem, tüm grup politikalarını güncellemek için kullanılmaktadır).
8.Adım: İşletim Sistemi Her Zamanki Gibi Yeniden Başlatılabilir/Kapatılabilir.

Windows 7, 14 Ocak 2020’de resmi olarak ömrünün sonuna (EOL) ulaştı ve yeni güncelleştirme desteği kesildi. Microsoft, Windows 7 kullanıcıları için duvar kâğıdı görüntüsünü bozan bir hata için güncelleme sağladığında bu kural için bir istisna yapmıştı. Bilgisayarınızı yeniden başlatmanın veya kapatmanın duvar kâğıdı hatasından daha önemli bir hata olmasında hemfikir olan Microsoft’un, büyük olasılıkla başka bir istisna daha yapması ve yakında EOL sonrası olmasına rağmen Windows 7 sistemler için ikinci bir güncelleme sunacağı beklenmektedir.

Fidye Yazılımları Gigabyte Sürücülerini Kullanıyor

Bir fidye yazılımı çetesinin, zararlı yapılarını bulaştırmak istedikleri bilgisayarlara Gigabyte sürücüleri yüklediği tespit edildi. Bu sürücüler, bilgisayardaki güvenlik ürünlerini devre dışı bırakmakta ve böylece fidye yazılımı tespit edilmeden veya durdurulmadan, bilgisayar korsanlarının dosyaları şifrelemelerine izin vermektedir.

İngiltere merkezli bir siber güvenlik firması olan Sophos’a göre, bu yeni tekniğe şu ana kadar iki fidye yazılımı olayında karşılaşılmıştır.

Her iki olayda da, seçilen hedeflere yönelik saldırılarda kullanılan “big-game” fidye yazılımının bir türü olan, RobbinHood zararlısı kullanılmıştır.

Yayınlanan raporda bu yeni teknik şöyle tarif edilmektedir:

  • Fidye yazılımı çetesi, kurbanın ağında bir yer tutar.
  • Saldırganlar, yasal Gigabyte çekirdek sürücüsü GDRV.SYS’ı sisteme yüklerler.
  • Çekirdek erişimi kazanmak için bu sürücüdeki güvenlik açığından yararlanırlar.
  • Çekirdek erişimini kullanarak, Windows OS sürücüsü imza mecburiyetini geçici olarak devre dışı bırakırlar.
  • RBNL.SYS adlı, kötü amaçlı bir çekirdek sürücüsü yüklerler.
  • Ana bilgisayarda çalışan virüsten koruma ve diğer güvenlik ürünlerini devre dışı bırakmak ya da durdurmak için bu sürücüyü kullanırlar.
  • RobbinHood fidye yazılımını yürütür ve kurbanın dosyalarını şifrelerler.

Araştırmacılara göre, bu antivirüs atlatma tekniği Windows 7, Windows 8 ve Windows 10’da çalışmaktadır. Bu teknik, Gigabyte sürücüsündeki güvenlik açığının ele alınma şekli nedeniyle başarılı olmakta ve bilgisayar korsanlarının yararlanabileceği bir boşluk bırakmaktadır.

Gigabyte, sorunu kabul etmek ve bir güvenlik yaması yayınlamak yerine, ürünlerinin etkilenmediğini iddia etmektedir. Şirketin güvenlik açığını tanımayı doğrudan reddetmesi, hatayı bulan araştırmacıların, bu hatayla ilgili genel ayrıntıları ve güvenlik açığını yeniden oluşturmak üzere, kavram kanıtı (PoC) kodunu yayınlamasına yol açmıştır. Bu genel kavram kanıtı kodu, saldırganlara Gigabyte sürücüsünü kullanmak için bir yol haritası sunmaktadır.

Sürücüyü düzeltmek için şirkete kamuoyu baskısı uygulandığında, Gigabyte bir yama yayınlamak yerine onu durdurmayı seçmiştir. Ancak Gigabyte bir yama yayınlasa bile, saldırganlar sürücünün daha eski ve savunmasız olan bir sürümünü kullanabilmektedir. Bu durumda, sürücünün imzalama sertifikası iptal edilmelidir ve böylece sürücünün eski sürümlerini yüklemek mümkün olmamalıdır.

Araştırmacılar, sürücünün şu anda kullanımdan kaldırılmış, içinde güvenlik açığı bulunan bir sürümünün yüklenmesinin hala nasıl mümkün olduğunu, “Sürücüyü dijital olarak imzalamak için kullanılan Verisign, imzalama sertifikasını iptal etmediği için, Authenticode imzası geçerli olmaya devam ediyor.” şeklinde açıklamaktadır. Diğer fidye yazılım çetelerinin de bu tekniği kullanarak daha fazla saldırıya neden olması beklenmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri