Haftanın Önemli Gelişmeleri – 26. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

shipping malware
StrongPity Zararlı Yazılımı Türkiye’yi Hedef Alıyor

Türkiye ve Suriye’de bulunan internet kullanıcılarını gözetleme ve istihbarat elde etme amacıyla gerçekleştirilen siber saldırıların yeni ayrıntıları tespit edilmiştir.

StrongPity olarak adlandırılan operasyonun arkasındaki “gelişmiş kalıcı tehdit grubu” (APT), risk altındaki sistemleri kontrol etmek için yeni taktikler kullanmaya başlamıştır. Watering Hole türünde saldırılar (sık kullanılan web sitelerinin takibi ve zararlı yazılım yayılması) düzenleyen grup, hedeflediği demografiğin ziyaret edebileceği web sitelerindeki güvenlik açıklarını sömürerek bu sitelerde kendi kontrollerindeki zararlı uygulamaları çalıştırmaktadır. Böylece kullanıcı ile direkt temasa geçmeden sistemlere uzaktan erişim mümkün olmaktadır.

StrongPity grubu, ilk kez Ekim 2016 tarihinde Belçika ve İtalya’daki kullanıcılara WinRAR yazılımının ve TrueCrypt dosya şifreleme uygulamasının zararlı yazılımlar eklenmiş versiyonlarını sunduğu operasyon ile keşfedilmiştir. Ayrıca bu grup Türkiye ve Suriye’de hizmet veren bir internet servis sağlayacısının, kullanıcılarını HTTP üzerinden indirme sunan web sitelerinde kendi yazılımlarını indirmek için yönlendirdiği operasyonda da yer almıştır.

Son zamanlardaki tespit edilen siber saldırılarda grubun yine Türkiye ve Suriye’de bulunan kullanıcılara ait önceden belirlenmiş IP aralıklarını hedef aldığı gözlemlenmiştir. Yerel yazılım paylaşım sitelerinden sunulan McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp, CCleaner ve daha birçok popüler uygulamaya zararlı yazılımlar eklenmiş versiyonlarını indirmeye yönlendirmiştir.

Barış Pınarı Harekatı ile çakışan saldırılarda kullanılan zararlı yazılım örneklerinin zamanlamasından dolayı da saldırıların siyasi olarak teşvik edilmiş olabileceği ihtimali üzerinde durulmaktadır. Bu nedenle güvenilir olmayan içeriklerden herhangi bir şekilde etkileşime girilmesi kaçınılmalıdır. Kullanılan işletim sistemleri de dahil olmak üzere tüm servis ve uygulamaların en güncel sürümlerinin kullanılması önerilmektedir.

NVIDIA GPU Sürücülerini Etkileyen Kritik Zafiyet Alarmı
NVIDIA GPU Sürücülerini Etkileyen Kritik Zafiyet Alarmı

NVIDIA GPU Display ve CUDA sürücülerinde hizmet reddi (DoS), yetki yükseltme ve bilgi ifşasına sebep olabilecek güvenlik zafiyetleri tespit edilmiştir. CVE-2020-5962, CVE-2020-5963 ve CVE-2020-5964 kodlarıyla yayınlanan zafiyetler, Windows ve GNU/Linux işletim sistemlerinde çalışan GeForce, Quadro, NVS ve Tesla ürünlerini etkilemektedir.

GPU sürücülerini etkileyen zafiyetler yerel bir saldırgan tarafından yetki yükseltmek veya hizmet reddi saldırıları düzenlenerek sömürülebilmektedir. Ayrıca CUDA sürücüsünün Intel işlemcilerle iletişim kütüphanesinde bulunan yetersiz erişim kontrolünden kaynaklanan zafiyet, yine yerel ağ içerisinde bulunan bir saldırgana kod çalıştırma olanağı sağlayabilmektedir.

Sanal GPU yöneticisi yazılımının vGPU eklentisinde de dört farklı zafiyet açıklanmıştır. CVE-2020-5968, CVE-2020-5969, CVE-2020-5970 ve CVE-2020-5971 kodları ile açıklanan zafietler, bir kaynağa operasyonlar sırasında yeterince erişim sınırlaması getirilmemesi ve veri girişi boyutunun doğrulanmaması gibi hatalardan kaynaklanmaktadır.

Sistemlerinizi korumak için yayınlanan güncellemelerin NVIDIA Driver üzerinden, vPU güncellemeleri için NVIDIA Licensing portalından edinilmesi ve ivedilikle uygulanması önerilmektedir.

O Day Windows
Windows İşletim Sistemlerini Etkileyen Zararlı Yazılım Alarmı

CVE-2019-9081 kodu ile yayınlanan Laravel Framework’deki uzaktan kod çalıştırma (RCE) zafiyetini sömürürken tespit edilen Lucifer adlı bir zararlı yazılım tespit edilmiştir. Normalden farklı olarak bu zararlı yazılımın daha gelişmiş olduğu ve DDoS saldırıları da gerçekleştirebildiği açıklanmıştır. Lucifer zararlısı kullanılarak DDoS saldırıları düzenlemek, zararlının bulaştığı sistemleri kullanarak kripto para madenciliği yapmak ve Windows işletim sisteminde tespit edilen güvenlik zafiyetlerini sömürmek için kod parçacıkları keşfedilmiştir. Lucifer zararlısının 10 Haziran’dan bu yana aktif bir şekilde faaliyetlerine devam ettiği açıklanmıştır.

Lucifer, ağ içindeki diğer sistemlere zarar vermek için EternalBlue, EternalRomance ve DoublePulsar sömürü yöntemlerini kullanmaktadır. Ayrıca internete açık olan TCP 135 (RPC) ve 1433 (MSSQL) portlarını tarayarak kaba kuvvet saldırısı düzenlemekte ve bu sistemleri ele geçirmeye çalışmaktadır. Kaba kuvvet saldırılarında, “sa” “SA” “su” “kisadmin” “SQLDebugger” “mssql” ve “Chred1433” kullanıcı adlarıyla beraber yüzlerce zayıf parolayı barındıran bir sözlük kullanmaktadır.

Lucifer zararlısı incelendiğinde, son yıllarda yüzlerce kuruma zarar vermiş olan EternalBlue, EternalRomance ve DoublePulsar sömürülerinin yanı sıra ThinkPHP (CVE-2018-20062), Oracle WebLogic (CVE-2017-10271), Drupal (CVE-2018-7600), Apache Struts ve Jenkins gibi şirketler tarafından sıkça tercih edilen yazılımlarda tespit edilmiş uzaktan kod çalıştırma (RCE) zafiyetlerini de sömürebildiği görülmüştür.

Zararlı yazılımları internete yayma kampanyaları genellikle oltalama (phishing) saldırıları sonucunda gerçekleştirilmektedir. Bunun dışında saldırganların bu zararlı yazılımları yaymak için geliştirdiği birçok farklı teknik bulunmaktadır. İnternette karşılaşılan şüphe uyandırıcı tüm içeriklerden kaçınılması önerilmektedir. Ayrıca güncel işletim sistemi, güncel servisler, yazılımlar ve güçlü parola politikaları kullanılması gerekmektedir.

GeoVision Servislerinde Zafiyet Alarmı
GeoVision Servislerinde Zafiyet Alarmı

Tayvanlı izleme sistemleri ve IP kamera üreticisi GeoVision, son zamanlarda saldırganların ağ trafiğine müdahele etmesine ve man-in-the-middle saldırıları gerçekleştirmesine olanak sağlayabilecek, kart ve parmak izi tarayıcılarını etkileyen zafiyetler tespit edildiğini açıklamıştır.

Başarılı bir saldırı sonucunda tespit edilen zafiyetler kötü niyetli saldırganların ağda kalıcılık sağlayabilmesine ve ağa bağlı olan kullanıcıları gözetleyip kritik verileri ele geçirebilmesine neden olmaktadır. Bu zafiyetler, Brezilya, ABD, Almanya, Tayvan ve Japonya’da internete açık olarak keşfedilen 2,500’den fazla cihazla birlikte, uzaktan erişilebilecek binlerce cihazın yanı sıra en az 6 farklı ürün grubunu etkilemektedir.

GeoVision web uygulaması, /isshd.htm dizininde bir backdoor (arka kapı) erişimi tespit edilmiştir ve varsayılan “admin” parolası sayesinde cihaza root yetkileri ile giriş yapılabildiği görülmüştür. Ayrıca cihaza SSH kimlik doğrulaması yapılırken, gömülü kriptografik anahtarların kullanıldığı keşfedilmiştir. Bununla birlikte, /messages.txt ve /messages.old.txt dizinlerinde bulunan log dosyalarına herhangi bir kimlik doğrulaması gerekmeksizin ulaşılabildiği tespit edilmiştir.

GeoVision’ın parmak izi okuyucularında, saldırganların uzaktan yetkisiz kod çalıştırmasına olanak sağlayabilecek bir buffer-overflow (arabellek taşması) zafiyeti bulunmaktadır. CVSS 10 skoruna sahip bu zafiyet, yine herhangi bir kimlik doğrulamasına ihtiyaç duymadan cihaz üzerinde komut çalıştırmak için kullanılabilmektedir (CVE-2020-3928, CVE-2020-3929 ve CVE-2020-3930).

GeoVision, buffer-overflow zafiyeti hariç tespit edilen diğer hatalı/eksik yapılandırmaları 1.22 versiyonu yayınlayarak düzeltmiştir. Bu nedenle zafiyet ile ilgili düzeltme yayınlanana kadar, kullanılan güvenlik ürünlerinde meydana gelen uyarıların takip edilmesi ve olası bir alarmda aksiyon alınması önerilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri