Haftanın Önemli Gelişmeleri – 23. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

SMB Protokolünde Kritik Zafiyet Alarmı (SMBleed)
SMB Protokolünde Kritik Zafiyet Alarmı (SMBleed)

Sunucu İleti Bloğu (SMB) protokolünü etkileyen ve saldırganların çekirdek belleğine uzaktan sızmasına izin veren kritik bir güvenlik zafiyeti tespit edilmiştir. Daha önce yayınlanan SMBGhost zafiyeti ile birlikte kullanılarak uzaktan kod yürütme saldırıları (RCE) gerçekleştirmek için keşfedilen zafiyetten yararlanılabilmektedir. “SMBleed” (CVE-2020-1206) olarak isimlendirilen zafiyet tıpkı SMBGhost zafiyeti gibi, SMB protokolüne ait dekompresyon fonksiyonunda bulunmaktadır. Savunmasız Windows işletim sistemleri bu zafiyet ile birlikte, ağ içerisinde zararlı yazılım yaymak için kullanılabilmektedir.

Varsayılan olarak 445 numaralı TCP portu üzerinden çalışan SMB, ağ üzerinden dosya paylaşımını, ağ taramasını, yazıcı hizmetlerini ve süreçlerini kurabilmek için iletişim temelli çalışan bir ağ protokolüdür.

SMBv3 protokolünü etkileyen zafiyet, dekompresyon fonksiyonunda (Srv2DecompressData) yer almaktadır. Hatalı fonksiyonun, özel hazırlanmış mesaj isteklerini (ör. SMB2 WRITE) işleme biçiminden kaynaklandığı tespit edilmiştir. Bu hata sonucunda saldırganların hedef sistemlerdeki çekirdek belleğini okumasına ve değişiklikler yapmasına izin verilmektedir. Güvenlik zafiyetinden başarıyla yararlanan bir saldırgan, hedeflediği sistemlerden kritik verileri ele geçirebilmektedir. Bir istemciye karşı bu zafiyetin tetiklenebilmesi için, kimliği doğrulanmamış bir saldırganın sisteme zararlı mesajlar gönderen bir SMBv3 sunucusu yapılandırması ve hedef kullanıcıyı bu sunucuya bağlanmaya ikna etmesi gerekmektedir.

SMBleed saldırısı sonucunda hedef sistemlerde RCE tetikleyebilmek için daha önce tespit edilen SMBGhost (Link) zafiyeti ile birlikte kullanılabilmektedir. Kritik SMBleed zafiyetini önleyebilmek için tüm Microsoft Windows işletim sistemlerinde güvenlik güncelleştirmelerinin yapılması gerekmektedir. Güncelleştirmelerin uygulanamadığı sistemler için SMB portunun (445) devre dışı bırakılması önerilmektedir.

Microsoft tarafından tavsiye edilen önlemler için referans.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1206

Honda Şirketine Siber Saldırı Gerçekleştirildi
Honda Şirketine Siber Saldırı Gerçekleştirildi

Dev otomobil üreticisi Honda, Avrupa ve Japonya’daki bilgisayar sistemlerinin “Snake” adlı fidye yazılımı (ransomware) sebebiyle bütün operasyonlarını durdurmak zorunda kaldı. Şirket, bilişim teknolojileri ağının düzgün çalışmadığını doğrulayarak, soruşturma başlatıldığını ve detayları henüz açıklayamayacağını paylaştı.

Snake adı verilen fidye yazılımı, bulaştığı sistemlerde Shadow Volume Copies’i (Windows işletim sisteminde bulunan dosya yedekleme teknolojisi) kaldırır ve ardından SCADA Sistemleri, Sanal Makineler, Endüstriyel Kontrol Sistemleri, Uzaktan Yönetim Araçları, Ağ Yönetimi Yazılımları gibi yönetimsel tüm işlemleri öldürür. Ardından kötü amaçlı yazılım dosyaları şifrelemeye başlar ve bir e-posta adresinin, fidye talebinin özellikle belirtildiği “Fix-Your-Files.Txt” başlıklı not dosyası oluşturur.

Şirket, sunuculara, e-postalara ve dahili sistemlere erişimde zorluk yaşadığını ve Japonya dışındaki üretim sistemlerinde de bir etkisi olduğunu açıklamıştır. Şirketin dahili sunucusunun dışarıdan saldırıya uğradığını ve SNAKE zararlısının yayıldığını paylaşmıştır.

Honda’nın müşteri hizmetleri ve finansal hizmet işlemlerinin “teknik zorluklar” yaşadığı açıklanmıştır. Üretimin fabrikaların çoğunda devam ettiği ancak fidye yazılımı bulaşmış sistemler nedeniyle, şirketin üretiminde Ohio’daki ana tesisin yanı sıra Türkiye, Hindistan ve Brezilya’da askıya alındığını paylaşmıştır.

shipping malware
Stealthworker Zararlısı Sunucuları Tehlikeye Atıyor

Siber güvenlik araştırmacıları, Stealthworker adlı Golang tabanlı Windows ve GNU/Linux sunucularını hedefleyen bir zararlı yazılım kampanyası tespit etmiştir. Zararlı yazılım cPanel/WHM, WordPress, Drupal, Joomla, OpenCart, Magento, MySQL, PostgreSQL, Brixt, SSH ve FTP gibi popüler web hizmetlerini ve platformlarını çalıştıran sunucuları hedeflemektedir. Stealthworker adlı zararlının Honeypot sistemler aracılığıyla tespit edildiği açıklanmıştır.

Stealthworker kötü amaçlı yazılımının arkasındaki saldırganlar, etkilenen ana bilgisayarları diğer sistemlere karşı kaba kuvvet saldırıları (brute-force) başlatmak için kullanmaktadır. Saldırganların zararlı yazılım bulaşmış sistemlerde giriş denemesi sınırlarını (login limit) aşmak için belirli sayıda saldırı gerçekleştirdiği tespit edilmiştir. Yani saldırganların giriş denemesi sınırlarına takılmadan hesapları ele geçirebildiği görülmüştür. Stealthworker, kullanıcı hesap parolalarını ele geçirdikten sonra sistem bileşenlerinde manipülasyon yapabilmeye imkan vermektedir.

Stealthworker İçin Tespit Edilen IoC Bulguları (SHA256):

  • 57b4de8d5e7b888ef5c70d37c20870055f4ba817f5a78a808b62411af9824aa3
  • 2afb0f1bbfa382d67691bd4a09230f4e8f1fb17e07527bca3afdbc1c300bf701
  • b325da05fc245bdce5911f58a0298c14ef3c1d8ab550db596c82c87ce22d96f1
  • 106db86e650ecabf95158ff04e0cb22e89682d792e31490e33828a74cff53104

Uzmanlar, güvenliği ihlal edilmiş bir sistemi temizledikten sonra bile Botnet’in birkaç dakika içinde sistemi yeniden ele geçirebileceğini, bu nedenle saldırganları engellemenin tek yolunun zararlı yazılımı silmek ve bu hesap parolalarının güncelleştirilmesi gerektiğini açıklamıştır. Güvenliği ihlal edilen makinelerden toplanan tüm parolalar, Stealthworker operatörlerinin farklı sistemleri tehlikeye atmak için kullandığı girişler listesine eklenmektedir. Bu nedenle sızdırılan parolalar bir daha asla kullanılmamalıdır.

Çoğunlukla otomatize olarak gerçekleştirilen bu zararlı yazılım kampanyasını etkisiz hale getirmek için, giriş hesaplarının güçlü parolalar ile kullanılması gerekmektedir. Stealthworker zararlısının “login limit” özelliğini hedef aldığı göz önünde bulundurulduğunda, güçlü parola politikalarının kullanılması önem taşımaktadır.

IBM WebSphere Uygulama Sunucularında RCE Tespit Edildi
IBM WebSphere Uygulama Sunucularında RCE Tespit Edildi

IBM WebSphere Application Server’da (WAS) saldırganların özel hazırlanmış serileştirilmiş obje dizileri ile isteğe bağlı uzaktan kod çalıştırabilmesine izin veren bir güvenlik zafiyeti keşfedilmiştir. Saldırganlar, WAS sunucusuna IIOP protokolü aracılığıyla uzaktan saldırabilmekte, hedef sunucuda rastgele kod çalıştırabilmekte ve sistem yetkilerine yükseltme yapabilmektedir. WAS 8.5 ve 9.0 versiyonlarını kapsayan, 9.8 CVSS skorlu CVE-2020-4450 kodlu zafiyet için IBM PH25074 isimli bir güncelleme yayınlamıştır.

WebSphere Application Server, web uygulama sunucusu olarak kullanılan bir IBM yazılımıdır. Java tabanlı web uygulamalarını barındıran bir yazılım çerçevesi ve ara katman servisidir.

RCE Zafiyetinden Etkilenen WebSphere Uygulama Sunucularına Ait Versiyonlar:

  • WebSphere Application Server 9.0.0.0 – 9.0.5.4
  • WebSphere Application Server 8.5.0.0 – 8.5.5.17
  • WebSphere Application Server 8.0.0.0 – 8.0.0.15
  • WebSphere Application Server 7.0.0.0 – 7.0.0.45

Tüm WebSphere Application Server traditional ve WebSphere Application Server Hypervisor Edition versiyonları için:

Sistemler, Interim Fix’in gerektirdiği şekilde minimum düzeltme paketi düzeylerine yükseltilmeli ve ardından Interim Fix PH25074 güncelleştirmesi uygulanmalıdır.
Fix Pack 9.0.5.5 veya üstü bir sürüme güncelleştirme yapılması önerilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri