Haftanın Önemli Gelişmeleri – 24. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

IoT Cihazları Etkileyen Kritik Güvenlik Zafiyetleri Tespit Edildi
IoT Cihazları Etkileyen Kritik Güvenlik Zafiyetleri Tespit Edildi

İsrail merkezli siber güvenlik şirketi JSOF, IoT cihazlar ve gömülü sistemler için kullanılan Treck adlı TCP/IP kütüphanesinde 19 farklı güvenlik zafiyeti tespit edildiğini duyurmuştur. Zafiyetten etkilenen ürünler: akıllı ev cihazları, enerji sistemleri ekipmanları, medikal cihazlar, endüstriyel aletler, ulaşım sistemler, yazıcılar, modemler, mobil ve uydu iletişim ekipmanları, data center cihazları ve daha bir çok sektörde kullanılan cihazları içermektedir. Bu kütüphaneyi kullanan cihazların farklı olması veya takip edilemeyen yazılım tedarik zincirleri kullanması sebebiyle, güncelleştirme uygulanmadan çalıştırılmaya devam ettirileceği düşünülmekte.

1997 yılında yayınlandığı düşünülen Treck kütüphanesi, IoT cihazlarının TCP/IP üzerinden internete bağlanabilmesine olanak sağlamaktadır. Treck kütüphanesi endüstriyel, medikal ve akıllı cihaz pazarında yaygın olarak kullanılmaktadır.

ABD Ulusal Güvenlik Bakanlığı tarafından bugün yayınlanan bir uyarıda, Ripple20 araştırması kapsamında yayınlanan 4 adet zafiyete 10 ila 9.8 arası CVSS skoru tanımlanmıştır:

  • CVE-2020-11896 (Skor: 10): IPv4/UDP üzerinden yetkilendirilmemiş bir istemciden gelen paketleri işlerken uzunluk parametresi kontrolünün tutarsız kullanımı. Bu zafiyet uzaktan kod çalıştırmaya olanak sağlamaktadır.
  • CVE-2020-11897 (Skor: 10): IPv6 üzerinden yetkilendirilmemiş bir istemciden gelen paketleri işlerken uzunluk parametresi kontrolünün tutarsız kullanımıdır. Bu zafiyet, bir saldırganın hafızada yetkisi olmayan kısımlara yazma işlemi yapabilmesine izin vermektedir.
  • CVE-2020-11898 (Skor: 9.8): IPv4/ICMPv4 üzerinden yetkilendirilmemiş bir istemciden gelen paketleri işlerken uzunluk parametresi kontrolünün tutarsız kullanımıdır. Bu zafiyet, hassas bilgilerin ifşasına sebep olmaktadır.
  • CVE-2020-11899 (Skor: 10): IPv6 üzerinden yetkilendirilmemiş bir istemci tarafından gönderilen paketler işlenirken kullanılan yetersiz giriş doğrulamasıdır. Bu zafiyet, hassas bilgilerin ifşasına sebep olmaktadır.

Bu dört güvenlik açığı, istismar edildiğinde, saldırganların akıllı cihazları veya herhangi bir endüstriyel veya sağlık ekipmanını kolayca ele geçirmesine izin vermektedir. Cihazlar çevrimiçi olarak bağlıysa internet üzerinden veya saldırganın iç ağa erişimi varsa (örneğin güvenliği ihlal edilmiş bir yönlendirici aracılığıyla) yerel ağlardan da saldırı yapılabilmektedir.

Zafiyetlere ilişkin PoC videosu:

Keşfedilen zafiyetler için yamalar yayınlanmaya başlasa da, etkilenen cihazların hepsini tanımlama çalışmalarının hala bitmediği ve bu zafiyetlerin IoT cihazları ilerleyen yıllarda daha çok etkileyeceği belirtilmektedir. Bu nedenle Treck kütüphanesine yönelik yayınlanacak güvenlik güncelleştirmelerinin takip edilmesi ve uygulanması önerilmektedir.

Oracle E-Business Suite İçin Kritik Zafiyet Alarmı
Oracle E-Business Suite İçin Kritik Zafiyet Alarmı

Müşteri ilişkileri yönetimi (CRM), kurumsal kaynak planlaması (ERP) ve tedarik zinciri yönetimi (SCM) operasyonlarını otomatikleştirilmek için tasarlanan Oracle E-Bussiness Suite (EBS) hizmetinde kritik zafiyetler tespit edilmiştir. BigDebIT olarak adlandırılan zafiyet, başarılı bir şekilde sömürülmesi takdirde kurumsal ağlarda barındırılan kritik verilerin saldırganlar tarafından ele geçirilmesine neden olmaktadır. Siber tehdit aktörleri finansal dolandırıcılık yapabilmek amacıyla muhasebe uygulamalarını hedef alarak bu zafiyeti hedef almaktadır. Kimliği doğrulanmamış bir saldırgan, hedef şirketlerden varlık çıkarabilmek için muhasebe tablolarını iz bırakmadan değiştirebilmekte ve “General Ledger” modülünde otomatize olarak sömürü gerçekleştirebilmektedir.

Oracle firmasının söz konusu zafiyet için Nisan 2019 tarihinden bu yana düzenli olarak güvenlik güncelleştirmesi yayınladığı görülmüştür. Bu durum, siber tehdit aktörlerinin sık sık Oracle’ın iş yönetimi uygulamalarını hedef aldığını göstermektedir. CVE-2020-2586 ve CVE-2020-2587 kodu ile paylaşılan zafiyetler, kullanıcıların bir kuruluşla ilişkili organizasyon ve konum hiyerarşileri oluşturmalarını sağlayan Oracle İnsan Kaynakları Yönetim Sistemindeki (HRMS) “Hiyerarşi Diyagramı” adı verilen bir bileşende bulunmaktadır.

Kurumların internete açık Oracle EBS sistemleri söz konusu ise, potansiyel tehdit olasılığı önemli ölçüde artmaktadır. Saldırı altındaki kurumlar siber tehditlerden habersiz olacaktır ve çok kapsamlı bir iç/dış ağ denetlemesi yapılana kadar zararın boyutu tespit edilemeyecektir. Söz konusu finansal risk göz önüne alındığında, Oracle EBS kullanılan sistemler için bu güvenlik zafiyetlerinin etkisi ivedilikle kontrol edilmeli ve güvenlik güncelleştirmelerinin uygulanması tavsiye edilmektedir.

Söz konusu zafiyete ilişkin yayınlanan PoC videosu:

AnyDesk RDP Yazılımında RCE Alarmı (CVE-2020-13160)
AnyDesk RDP Yazılımında RCE Alarmı (CVE-2020-13160)

AnyDesk, kişisel bilgisayarlara ve ana bilgisayar uygulamasını çalıştıran diğer cihazlara platformdan bağımsız uzaktan erişim sağlayan Alman merkezli bir uygulamadır. AnyDesk, Windows, Linux, Android ve iOS dahil olmak üzere çeşitli işletim sistemleri için kullanılabilmektedir.

Uygulamanın Linux 5.5.2 sürümünde yapılan tersine mühendislik çalışmaları sonrasında hedef makineye tek bir UDP paketi göndererek uzaktan kod yürütme (RCE) zafiyeti oluşturulabileceği keşfedilmiştir.

Güvenlik zafiyeti keşfedildikten yalnızca 3 gün sonra AnyDesk geliştiricileri konu ile ilgili bir yama yayınladılar. İlgili zafiyet ise CVE-2020-13160 kodu ile tanımlandı.

Siemens LOGO! Hizmetinde Zafiyet Alarmı
Siemens LOGO! Hizmetinde Zafiyet Alarmı

Siemens LOGO! programlanabilir lojik kontrolörlerinde (PLC) hizmet reddi (Denial-of-Service) başlatmaya ve cihazın konfigürasyonunu değiştirmeye olanak sağlayabilecek uzaktan sömürülebilir kritik zafiyetlerden etkilenebileceği keşfedilmiştir.

Siemens’e göre bu zafiyetler, LOGO! cihazlarının temel kontrol görevleri için BM ve otomotiv mühendisliği, madencilik, kimyasal tesisler gibi ekstrem kondisyonlarda çalışmak için tasarlanmış SIPLUS ürünlerinin bütün versiyonlarını etkilemektedir.

Alman sanayi devi, yetersiz kimlik doğrulama kontrollerinden kaynaklandığı belirtilen bu zafiyetler için henüz bir yama yayınlamamıştır ancak müşterilerine sömürü riskini azaltmaları için “derinlemesine savunma” rehberinin kullanılmasını önermektedir.

Siemens, TCP 135 portuna erişimi olan bir saldırganın kimlik doğrulamasına ve kullanıcı etkileşimine gerek duymadan bu cihazların konfigürasyonlarını ve proje dosyalarını okuyup, değişiklik yapabileceğini açıklamıştır.

Siemens ve CISA tarafından bu hafta yayınlanan uyarılar yalnızca bir zafiyetten bahsetse de Cisco’nun zafiyeti keşfeden Talos tehdit istihbarat ve araştırma grubu, aslında CVE-2020-7589 altında üç tane eksik kimlik doğrulama hatası olduğunu belirtmiştir.

Tespit edilen zafiyetler LOGO! Ürünlerinin TDE metin görüntüleme işleviyle alakalıdır ve hedeflenen sisteme özel üretilmiş paketler gönderilerek sömürülebilir. Şirket, bu zafiyetlerin ikisinin saldırganlara cihazda bulunan bilgileri bir hizmet reddi durumu yaratmak için silebilmesine olanak sağladığını açıklamıştır. Üçüncü zafiyet ise cihazın depolamasına dosya yükleyebilmelerine veya cihazın bütünlüğünü, kullanılabilirliğini etkilemek için değişiklikler yaparak sömürülmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri