Haftanın Önemli Gelişmeleri – 25. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

docker
Yeni Nesil Zararlı Yazılımlar Docker Güvenliğini Tehlikeye Atıyor

XORDDoS ve Kaiji olarak adlandırılan iki farklı zararlı yazılım keşfedilmiştir. Bu zararlı yazılımların internete açık olarak kullanılan Docker sunucularının hedef aldığı, tespit edilen zararlı yazılımların kurumsal ağları ve web sayfalarını devre dışı bırakmak, kesmek veya kapatmak için gerçekleştirilen DDoS saldırılarında kullanıldığı açıklanmıştır.

Docker sunucularını hedef almak, bu zararlı yazılımlar için yeni bir gelişme çünkü XORDDoS genellikle GNU/Linux işletim sistemlerine saldırmasıyla, Kaiji ise SSH portu açık olan IoT cihazlarına yaptığı kaba kuvvet (brute-force) saldırıları ile bilinmekteydi. Saldırganlar, Docker’ın kimlik doğrulaması gerektirmeyen ve şifrelenmemiş iletişim için kullandığı 2375 portu internete açık cihazları da hedeflediği tespit edilmiştir.

İki zararlının saldırı metodu arasında kayda değer bir fark da bulunmaktadır. XORDDoS, erişim kazandığı Docker sunucusunda bulunan bütün konteynerleri enfekte ederken, Kaiji ise kendine ait DDoS yazılımına özel bir konteyner oluşturmaktadır.

Saldırganlar, botnet ağına yeni kurbanlar ekleyebilmek için taktiklerini sürekli geliştirmektedir. Uzaktan erişimi ve yönetimi daha kolay olduğu için Docker sunucuları popüler bir seçenek haline geldikçe saldırganlar da hedeflerini bu sunuculara yönlendirmektedir.

Siber saldırıların bilincinde olunması ve teknolojilerin takip edilmesi önem taşımaktadır. Aşağıda verilen öneriler, Docker sunucularını savunmanın temelini oluşturmaktadır:

  • Mümkün olduğunca konteyner odaklı işletim sistemlerini (Core, RancherOS, Photon) ve host sistemler için farklı izleme araçlarını kullanmak.
  • Ağ ortamını güvenli hale getirmek için, IPS ve web filtreleme çözümleri ile iç/dış trafiğe görünürlük kazandırıp, izlemeye almak.
  • Yönetim araçlarını güvenli hale getirmek için Container Registry’nin ve k8/Docker kurulumunun takip edilmesini sağlamak.
  • CI/CD pipeline sürecini güvenli hale getirmek için ayrıntılı ve tutarlı bir erişim kontrolü şeması oluşturmak ve güçlü uç nokta kontrollerinin uygulanmasını sağlamak.
  • Container Escape saldırılarını engellemek/hafifletmek için AppArmor veya SELinux çözümlerini kullanmak.
  • Docker’ın önerdiği saldırı yüzeyi azaltma ve kernel güvenliği ile ilgili yayınladığı rehberleri uygulamak (Link).

Zararlı Yazılımlar İçin Tespit Edilen IoC’ler:

FileHash-SHA256:

9301d983e9d8fad3cc205ad67746cd111024daeb4f597a77934c7cfc1328c3d8

d315b83e772dfddbd2783f016c38f021225745eb43c06bbdfd92364f68fa4c56

dba757c20fbc1d81566ef2877a9bfca9b3ddb84b9f04c0ca5ae668b7f40ea8c3

6c8f95b82592ac08a03bfe32e4a4dbe637d1f542eb3ab3054042cec8ec301a3c

286f774eb5b4f2f7c62d5e68f02a37b674cca7b8c861e189f1f596789322f9fe

URL:

http: //62.171.160.189/linux_arm

http: //62.171.160.189/11/123.sh

http: //122.51.133.49:10086/VIP

google chrome
Yüzlerce Chrome Eklentisi İçin Tehdit Alarmı

Siber güvenlik araştırmacıları finans, enerji, medya, sağlık, devlet ve medikal alanda çalışan kullanıcıları izlemek amacıyla kullanılan yüzlerce zararlı Chrome eklentileri tespit etmiştir ve eklentilerin topladığı bilgilerin binlerce C2 (komuta kontrol) sunucusuna aktarıldığı keşfedilmiştir. Chrome web mağazasında tespit edilen 111 zararlı veya sahte eklenti, gerekli bildirimler sonucunda Google tarafından kaldırılmıştır. Ancak öncesinde, toplamda 33 milyon indirme sayısına sahip olduğu tespit edilmiştir.

Tespit edilen zararlı eklentilerin komuta kontrol varlıklarının ve eklentilerin bulunduğu web sayfalarının, GalComm adl ICANN anlaşmalı bir tescil şirketi ile yapıldığı görülmüştür. GalComm’un satışını gerçekleştirdiği 26 bin alan adı incelendiğinde, 15160 tanesinin zararlı/şüpheli amaçlarla kullanıldığı görülmüştür. Bu alan adlarının, zararlı yazılımların ve tarayıcı tabanlı izleme araçlarının iletilmesi için kullanıldığı açıklanmıştır.

Söz konusu zararlı eklentilerin tarayıcı içerisinde kullanıcılara ait kayıtlı olan özlük bilgileri, tarayıcı çerezleri gibi bilgileri toplama, ekran görüntüsü alma ve kullanıcının tuş vuruşlarını kaydetme özelliklerine sahip olduğu açıklanmıştır.

Kullanıcıları yanıltmak için ise profesyonel görünümlü web siteleri hazırlayan saldırganlar, burada Chrome mağazasının güvenlik önlemlerini atlatmak için kullanıcılara ya zararlı eklentilerin yüklü olduğu Chromium kopyalarını indirmeye yönlendirmiştir ya da ilk önce vaad edilen özelliklere sahip bir eklenti yükleyerek, mağazaya eklendikten sonra zararlı özellikler tetiklenmiştir. Chrome’un açık kaynak versiyonu Chromium güvenlik önlemleri açısından daha az katı olduğundan ve kullanıcıların iki tarayıcı arasındaki farkı anlayamamasından dolayı benzer isim ve ikonlar kullanıldığında bu zararlı kopyalara yönlendikleri görülmüştür.

Zararlı Chromium Eklentilerini Barındıran Domain Adresleri:

bbtwf.com
bmjhc.com
bwnbr.com
dbdrq.com
dfcsp.com
dregsr.com
fahugugo.com
hadopaf.com
hdrbr.com
kabafahu.com
mbnrn.com
mopuf.com
pawasor.com
qgmns.com
qofod.com
qofom.com
wcysr.com
wncysr.com

Google, söz konusu 111 eklentiyi mağazadan kaldırdığını ve bu tarz olayların incelendiğini, otomatik veya manuel analizlerini geliştirmek ve aynı amacı taşıyan kötü niyetli geliştiricilerin takibini sürdürmek için çalışmalara devam ettiğini açıklamıştır. Bununla birlikte siber saldırıların hedefinde olmamak için şüphe uyandırıcı tüm web içeriklerinden kaçınılması önerilmektedir.

Oracle’ın BlueKai’sinden Milyarlarca Kayıt, Güvenlik Kaybı Nedeniyle Çevrimiçi Ortamda Ortaya Çıktı
Oracle’ın BlueKai’sinden Milyarlarca Kayıt, Güvenlik Kaybı Nedeniyle Çevrimiçi Ortamda Ortaya Çıktı

TechCrunch raporuna göre, bulut tabanlı büyük veri platformu olan BlueKai tarafından tutulan veritabanına ait milyarlarca kayıt, güvenlik zafiyeti nedeniyle çevrimiçi platformlarda sızdırıldı.

Oracle tarafından 2014 yılında satın BlueKai, web takibi (web tracking) ile elde edilen büyük veritabanları bulundurur. Raporda, pazarlamacıların potansiyel tüketicileri hedeflemelerine yardımcı olmak için kullanıcı eğilimlerini çevrimiçi olarak belirleme amaçlı olduğu belirtilmiştir.

BlueKai, web’deki kullanıcı etkinliğini izlemek için web sitesi çerezleri ve diğer izleme teknolojilerini kullanır. Veriler, reklam verenlerin hedefli reklamlar oluşturmasına yardımcı olmak içindir.

Ancak, parola olmadan bırakılan sunuculardan birindeki güvenlik zafiyeti nedeniyle, bir veritabanından milyarlarca kayıt çevrimiçi olarak açığa çıkarılmıştır. Veri ihlali, siber güvenlik firması Hudson Rock genel müdürü Roi Carthy aracılığıyla bulgularını Oracle’a bildiren güvenlik araştırmacısı Anurag Sen tarafından keşfedildi.

TechCrunch daha sonra Sen tarafından paylaşılan verileri inceledi. Veriler, ad, soyad, ev adresleri, e-posta adresleri ve diğer tanımlanabilir veriler dahil kişisel bilgilerin kayıtlarını içeriyordu. Kayıtların bazıları, bir kişiyi izleyebilecek kadar ayrıntılıydı.

Veriler ayrıca rapora göre çevrimiçi satın alımlardan haber bülteni aboneliklerini iptal eden web tarama etkinliğini de içeriyordu.

BlueKai, bir kullanıcının çevrimiçi etkinliğini ve alışkanlıklarını birden çok kaynağa göre izler. Bu veriler, bir web tarayıcısının user-agent (kullanıcıların kullandıkları web tarayıcısı sürümü, işletim sistemi bilgisi gibi bir takım bilgileri, ilgili siteye ileten bir teknoloji) olarak bilinir. BlueKai’nin topladığı tüm veriler bir araya geldiği takdirde ilgili kişinin “dijital parmakizi” ortaya çıkmış olur.

Whotracks web sitesinde yapılan bir tahmine göre, BlueKai, BlueKai izleyicisine sahip büyük siteler de dahil olmak üzere tüm web trafiğinin yüzde 1’inden fazlasını takip ediyor. Bu siteler, rapora göre Amazon, ESPN, Forbes, Glassdoor, Healthline, Levi’nin, MSN.com, Rotten Tomatoes ve The New York Times’ı içeriyor.

Oracle ihlali kabul etti ve böyle bir durumun tekrar yaşanmaması için sıkı önlemler alınacağını açıkladı.

Raporda yer alan Oracle sözcüsü, “Oracle, internette potansiyel olarak açığa çıkan bazı BlueKai kayıtlarıyla ilgili Hudson Rock’tan Roi Carthy tarafından yapılan raporun farkında” dedi.

“Araştırmacı tarafından sağlanan ilk bilgiler etkilenen bir sistemi tanımlamak için yeterli bilgi içermemesine rağmen, Oracle’ın araştırması daha sonra iki şirketin hizmetlerini doğru bir şekilde yapılandırmadıklarını belirledi. Oracle, bu sorunun tekrarlanmasını önlemek için ek önlemler aldı”

drupal
Drupal Sistemlerde Uzaktan Komut Çalıştırmayı Sağlayan Zafiyet Keşfedildi

Drupal, saldırganın rastgele PHP kodu yürütmesine izin verebilecek bir zafiyet de dahil olmak üzere çeşitli güvenlik zafiyetlerini düzeltmek için güvenlik güncellemeleri yayınladı.

CVE-2020-13664 kodu ile bilinen zafiyet, hem sürüm Drupal 8 hem de Drupal 9 versiyonlarını etkilemekte. Ancak uzmanlar yalnızca belirli durumlarda istismar edilebileceğini ve büyük olasılıkla Windows Sunucularını etkileyebileceğini belirtti.

Drupal’ı zafiyet ile ilgili yayınlamış olduğu raporda zafiyet detayları şu şekilde anlatılmaktadır; “Saldırgan, site yöneticisini dosya sisteminde adlandırılmış bir dizin oluşturulmasına neden olabilecek kötü amaçlı bir siteyi ziyaret etmesi için kandırabilir. Bu dizin oluşturulduğu takdirde saldırgan, uzaktan kod yürütme güvenlik açığını tetiklemeye çalışabilir. Windows sunucuları büyük olasılıkla etkilenecektir.”

Drupal ayrıca CVE-2020-13663 kodu ile bilinen kritik siteler arası istek sahtekarlığı (CSRF) güvenlik zafiyeti sorununu ele aldı. Bu zafiyetin Drupal 7, 8 ve 9 versiyonlarını etkilediği belirtildi.

“Drupal çekirdek (core) Form API’sı, siteler arası isteklerden gelen ve diğer güvenlik açıklarına yol açabilecek belirli form girdilerini düzgün işlemiyor.”

Drupal’ın geliştirici ekibi ayrıca sürüm 8 ve 9’u etkileyen “daha az kritik” erişim atlama (access bypass) güvenlik açığını ele aldı.

“JSON: API PATCH istekleri belirli alanlar için doğrulamayı atlayabilir.”

“Varsayılan olarak JSON: API, güvenlik açığından yararlanılmasını imkansız hale getiren salt okunur modda çalışır. Yalnızca jsonapi.settings yapılandırması altında salt okunur olarak FALSE olarak ayarlanmış siteler güvenlik açığından etkilenir. ”

Geçtiğimiz Haftanın Siber Güvenlik Haberleri