Haftanın Önemli Gelişmeleri – 22. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

EasyJet Şirketinde Kritik Veri İhlali

İngiltere merkezli havayolu şirketi EasyJet, 9 Milyon müşteriye ait kritik verilerin sızdırıldığını açıklamıştır. Şirketin BT sistemlerinin hedef alındığı, siber saldırının sonucunda e-posta adresleri, kredi kartı bilgileri ve seyahat bilgileri gibi kritik müşteri verilerinin ihlal edildiği paylaşılmıştır. Siber tehdit aktörleri, yaklaşık 9 milyon müşteri verilerine ve 2208 adet kredi kartı numaralarına erişebilmiştir.

Yaşanan veri ihlaline ait teknik detaylar henüz şirket tarafından paylaşılmamıştır ve veri ihlalinin nedeni henüz bilinmemektedir. EasyJet’e yönelik gerçekleştirilen siber saldırının Ocak ayında çalışanlar tarafından fark edildiği ancak şirket tarafından gerekli hukuksal bildirimin 4 ay sonra yapıldığı anlaşılmaktadır. Yaşanan veri ihlali ile ilgili İngiltere’de süren davalarda ve kişisel verileri koruma kapsamında, EasyJet firmasına toplamda 18 Milyar £ ceza verildiği açıklanmıştır.

EasyJet müşterilerine ait yaşanan veri ihali ve Covid-19 salgını ile birlikte online dolandırıcılık yöntemleri kullanılarak kişisel verilerle ilgili endişeler artmaktadır. Buna bağlı olarak siber tehdit aktörleri tarafından gerçekleştirilmesi öngörülen oltalama (phishing) saldırılarının başarı oranının artacağı düşünülmektedir. Şirket, kritik kişisel verileri ele geçirilen müşterilerle iletişime geçtiğini açıklamıştır ve oltalama saldırılarına karşı dikkatli olunması gerektiğini belirtmektedir.

apple
Apple İle Oturum Açma Özelliğinde Zafiyet Tespit Edildi

Apple, Hintli bir siber güvenlik araştırmacısına bulduğu zafiyetten dolayı 100.000$ bir ödül göndermiştir, bulunan zafiyetin sitelerdeki oturum açma seçeneklerinden biri olan ”Apple İle Oturum Aç” özelliğini etkilediğini açıklamıştır. Zafiyeti sömüren bir saldırgan, ‘Apple ile oturum aç’ seçeneği aracılığıyla üçüncü parti uygulamalarda kimlik doğrulamasını atlatarak kullanıcıların hesaplarını ele geçirebilmektedir.

Apple’ın WWDC konferansında tanıttığı ‘Apple ile oturum aç’ özelliği, kullanıcıların gerçek e-posta adreslerini üçüncü parti uygulamalara paylaşmasına gerek duymadan oturum açmasına izin veren ve gizliliğin korunması sloganı ile dünyaya tanıtılan bir eklentidir.

Apple, kimlik doğrulama sunucularına bir istek göndermeden önce, bir kullanıcıyı istemci tarafında doğrulamakta ve arka planda kullanıcıya ait kişisel giriş bilgilerini içeren bir JWT (JSON web Jetonu) oluşturmaktadır. Apple’dan herhangi bir e-posta için JWT talep edilebileceği keşfedilerek, JWT yüklerinin ikinci bir doğrulamaya gerek duymadan sunuculara gönderildiği keşfedilmiştir. E-posta bilgilerinin üçüncü parti hizmetlerden gizlenilse bile güvenlik zafiyetinin tetiklenebildiği ve kurbanın Apple kimliğiyle yeni bir hesap açmak için de ayrıca kullanılabileceği açıklanmıştır.

Tespit edilen zafiyetin, Apple güvenlik ekibine bildirildiği, yapılan çalışmalar sonucunda zafiyetin giderildiği ve henüz herhangi bir Apple kullanıcısının zafiyetten etkilenmediği paylaşılmıştır.

github
GitHub Depolarında Zararlı Yazılım Tespit Edildi

GitHub, bubi tuzağı olarak adlandırılan (boobytrapped) ve Java projeleri aracılığıyla sitesinde yayılan yeni bir kötü amaçlı yazılım türü hakkında güvenlik uyarısı yayınlamıştır.

GitHub’ın güvenlik ekibinin Octopus Scanner adını verdiği kötü amaçlı yazılım, Java uygulamalarını yazmak ve derlemek için kullanılan bir araç olan Apache NetBeans IDE (entegre geliştirme ortamı) kullanılarak yönetilen projelerde bulunmaktadır. GitHub, 9 Mart’ta bir güvenlik araştırmacısından aldığı ipucunun ardından, Octopus Scanner kötü amaçlı yazılımını içeren sitesine yüklenmiş 26 depo bulduğunu açıklamıştır.

GitHub, diğer kullanıcılar 26 projeden herhangi birini indirdiğinde, kötü amaçlı yazılımın kendi kendine yayılan bir virüs gibi davranacağını ve yerel bilgisayarlarına bulaşacağını söylemektedir. Hedef iş istasyonunu (workstation) yerel bir NetBeans IDE kurulumu için tarama yaparak, geliştiricinin diğer Java projelerine yayılmaya devam etmektedir. Windows, macOS ve Linux üzerinde çalışabilen kötü amaçlı yazılım, daha sonra enfeksiyonunun son adımı olarak uzaktan erişim trojanını (RAT) indirerek Octopus Scanner operatörünün enfekte olmuş bir kurbanın bilgisayarından sızmasını ve hassas bilgiler aramasını sağlamaktadır.

GitHub, Octopus Scanner kampanyasının yıllardır sürdüğünü ve kötü amaçlı yazılımın en eski örneğinin, 2018 yılının Ağustos ayında VirusTotal web tarayıcısına yüklendiğini ve kötü amaçlı yazılımın engellenmeden çalıştığını paylaşmıştır.

Saldırının gerçek amacının, hassas projeler üzerinde veya büyük yazılım şirketlerinde çalışan geliştiricilerin sistemlerine bir RAT yerleştirilmesi olduğu düşünülmektedir. RAT, saldırganlara kuruluşta veya diğer kapalı kaynaklı yazılımlarda arka kapıları (backdoor) etkinleştirmek için özel kaynak kodu veya değiştirme koduyla ilgili gizli bilgileri ele geçirmeye izin vermektedir.

GitHub 26 farklı zararlı yazılım bulaşan projelerin adını yayınlamamıştır ancak Octopus Scanner’ın bulaşma süreci hakkında detaylı analizler yayınlamıştır (Link), böylece NetBeans kullanıcıları ve Java geliştiricileri projelerinin değiştirilip değiştirilmediğine dair ipuçları arayabilmektedir.

cisco
Cisco SaltStack Hizmetinde Zafiyet Alarmı

Cisco, VIRL-PE ve CML altyapısını etkileyen kritik güvenlik zafiyetleri açıklamıştır. Siber tehdit aktörlerinin SaltStack adı verilen hizmette bulunan zafiyetleri sömürdüğü ve 6 farklı şirket sunucularını ele geçirdiği paylaşılmıştır.

Tespit edilen zafiyetler aşağıdaki Cisco ürünlerini etkilemektedir:

  • Cisco Modeling Labs Kurumsal Sürümü (CML)
  • Cisco Sanal İnternet Yönlendirme Laboratuvarı Kişisel Sürümü (VIRL-PE)

SaltStack, veri merkezlerindeki ve bulut ortamlardaki sunucuları yönetmek, izlemek için kullanılan bir yazılımdır. SaltStack bir ana sunucuya kurulur ve minyon adı verilen ana sunucuya bağlı sistemler API aracılığıyla yönetilmektedir. Tespit edilen zafiyetler kimliği doğrulanmamış saldırganlar tarafından, hem ana sunucuda hem de minyon sistemlerde kök ayrıcalıkları ile (root) RCE tetiklemek için kullanılabilmektedir.

Cisco, SaltStack yazılım paketinin bazı Cisco ürünleriyle birlikte verildiğini ve saldırganların kurumsal sunuculara zarar vermek için aşağıdaki SaltStack yapılarından faydalandığını açıklamıştır:

  • us-1.virl.info
  • us-2.virl.info
  • us-3.virl.info
  • us-4.virl.info
  • vsm-us-1.virl.info
  • vsm-us-2.virl.info

Bulgulara ek olarak Cisco’nun ağ modelleme ürünü olan Cisco Modeling Labs Corporate Edition (CML) üzerinde dizin geçişi (directory traversal) ve kimlik doğrulaması atlatma (authentication bypass) zafiyetleri tespit edilmiştir (CVE-2020-11651 ve CVE-2020-11652). Zafiyetler, başarılı bir saldırı sonucunda saldırganların kimlik doğrulamasını atlatabilmesine daha sonra ise ana sunucularda rastgele kod çalıştırabilmesine imkan vermektedir.

Siber saldırıların hedefinde olmamak adına Cisco tarafından yayınlanan güvenlik güncelleştirmelerinin uygulanması ve belirli aralıklarla kontrol edilmesi önerilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri