Haftanın Önemli Gelişmeleri – 28. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

microsoft
Windows DNS Server’da Kritik Zafiyet Tespit Edildi

Microsoft, Windows Server 2003 ve 2019’a kadar işletim sistemlerini etkileyen kritik güvenlik zafiyetine ilişkin açıklama yapmıştır. CVSS puanı 10/10’luk bu zafiyet için CVE-2020-1350 kodu kullanılmıştır. Hedef sistemlerde kimlik doğrulaması gerekmeyen ve uzaktan kod çalıştırılmasına (RCE) neden olan zafiyetin sunucular üzerinde “Domain Admin” ayrıcalığı kazanması mümkün olmaktadır ve bir kurumun tüm teknoloji altyapısı siber tehdit aktörleri tarafından ele geçirilebilmektedir.

SigRed adı verilen kritik zafiyet için bir siber tehdit aktörü, Windows DNS sunucusunu hedef alarak zararlı DNS sorguları gönderebilmekte ve sistemde rastgele kod yürüterek ağ trafiğini yakalayabilmektedir. Herhangi bir insan etkileşimi olmadan (oltalama saldırısı gibi) zafiyetin başarılı bir şekilde sömürülmesi mümkündür ve saldırganlar tarafından hedef kurumun çalıştırdığı hizmetler kullanılamaz hale getirilebilir, kullanıcıların kimlik bilgileri toplanabilir veya çok daha fazlası için SigRed güvenlik açığından yararlanılabilir.

Check Point araştırmacıları tarafından tespit edilen kritik zafiyetlere ilişkin hedef sistemlerde DNS yanıtlarının arabellek taşmasına (buffer-overflow) neden olduğu açıklanmıştır. Ayrıca SigRed, Internet Explorer ve Chromium tabanlı olmayan Microsoft Edge tarayıcıları aracılığıyla uzaktan tetiklenebilmekte ve bir saldırganın Windows’u kötüye kullanmasına izin vermektedir.

Güvenlik zafiyetinin ciddiyeti ve yüksek oranda sömürü olasılığı göz önüne alındığında, kullanıcıların riski azaltmak için etkilenen Windows DNS Sunucularını ivedilikle güncelleştirmeleri gerekmektedir (Link). Güncelleştirmelerin yapılamadığı sistemler için geçici bir çözüm olarak; bir DNS isteğinin TCP protokolün üzerindeki maksimum uzunluğu “0xFF00” olarak ayarlanabilir. Bunun için Kayıt Defteri Düzenleyicisi (Windows Registry) üzerine aşağıdaki kuralın eklenmesi önerilmektedir.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

SAP ERP Ürünleri İçin Kritik Zafiyeti Alarmı
SAP ERP Ürünleri İçin Kritik Zafiyeti Alarmı

SAP Kurumsal Kaynak Planlama (ERP) ürünlerinde 10 CVE skoruna sahip kritik zafiyet keşfedilmiştir. Finans, lojistik, insan kaynakları ve diğer iş alanları için kullanılan ERP çözümlerinde, saldırganların hassas bilgileri çalabilmesine, dosya silmesine, kod yürütebilmesine ve hizmet reddi (DoS) saldırıları düzenleyebilmesine olanak sağlayacak CVE-2020-6287 kodlu zafiyet için güncelleştirmeler yayınlanmıştır.

ABD Ulusal Güvenlik Departmanı’nın yayınladığı bir rapora göre, bu zafiyetin istismarı sonucunda saldırganlar finansal ve bankacılık kayıtlarını okuyup değiştirebilir, kişisel kimlik bilgilerine ulaşabilir, satın alma süreçlerine müdahele edebilir, operasyonları sabote edebilir, SAP uygulamasının çalıştığı sistemde kod yürütebilir ve sistemde bulunan dosyaları silebilir.

SAP’ın SAP S/4HANA, SAP SCM, SAP CRM, SAP Enterprise Portal, SAP Solution Manager gibi bir çok kurumsal yönetim ürünün üzerinde çalıştığı ve bu ürünlerin birbiriyle entegrasyonu için kullanılan SAP NetWeaver yazılımının 7.30 ila 7.50 arası bütün versiyonları, NetWeaver AS isimli web sunucusundaki kimlik doğrulama eksikliğinden kaynaklanan bu zafiyete karşı savunmasızdır. Saldırganlar bu zafiyetten yararlanarak, SAP ürününün kurulu olduğu sistemde internete açık olan HTTP arayüzüne zafiyeti istismar etmek için zararlı istekler göndererek gerçekleştirebilmektedir.

Bunun sonucunda bir saldırgan, kimlik doğrulamasına ihtiyaç duymadan, bütün erişim ve doğrulama kontrollerini aşarak en yüksek yetkilere sahip yeni bir SAP kullanıcısı oluşturabilmektedir. Araştırmacılar 40 binden fazla SAP müşterisinin bu zafiyete karşı savunmasız olduğunu tespit etmiştir.

Yayınlanan zafiyete ilişkin herhangi bir istismar tespiti bulunmasa da güvenlik açığı ve düzeltme eki yayınladığından, saldırganların bu düzeltmeyi inceleyip üzerine çalışarak istismar kodları üreteceği düşünülmektedir. Bu nedenle SAP kullanıcılarının, yayınlanan Haziran 2020 güncelleştirmelerini ivedilikle uygulaması tavsiye edilmektedir.

cisco
Cisco Ağ Ürünlerinde Zafiyet Alarmı

Treck adlı IoT cihazlarının geliştirilmesinde kullanılan TCP/IP kütüphanesinde keşfedilen Ripple20 güvenlik zafiyetlerinin, Cisco ağ ürünlerini de etkilediği tespit edilmiştir. Tespit edilen zafiyetlerin başarılı bir şekilde istismar edilmesi sonucunda Cisco ağ cihazlarında uzaktan kod yürütme (RCE), hizmet reddi (DoS), bilgi ifşası gibi kritik saldılar gerçekleştirilebilmektedir.

Treck kütüphanesinde keşfedilen 20 adet güvenlik zafiyetinin başlıca akıllı ev cihazları, medikal cihazlar, endüstriyel aletler, ulaşım sistemleri gibi gömülü sistemlerin yanı sıra Cisco’nun servis sağlacıyılar tarafından ağ cihazlarını yönlendirmek için kullandığı, toplama hizmet yönlendirici serisi ASR’nin 5000/5500 ve Sanallaştırılmış Paket Çekirdeği (VPC) ürünlerini de etkilediği keşfedilmiştir.

Zafiyetlere İlişkin Yayınlanan CVE Kodları:

  • CVE-2020-11896
  • CVE-2020-11897
  • CVE-2020-11898
  • CVE-2020-11899
  • CVE-2020-11900
  • CVE-2020-11901
  • CVE-2020-11902
  • CVE-2020-11903
  • CVE-2020-11904
  • CVE-2020-11905
  • CVE-2020-11906
  • CVE-2020-11907
  • CVE-2020-11908
  • CVE-2020-11909
  • CVE-2020-11910
  • CVE-2020-11911
  • CVE-2020-11912
  • CVE-2020-11913
  • CVE-2020-11914

Ripple20 Treck kütüphanesine ait kritik zafiyetler ile ilgili detaylı habere Link üzerinden ulaşabilirsiniz.

Bu zafiyetlerden etkilenenler ürünler için açıklamalara Cisco Bug veritabanından CSCvu68945, CSCvu68945, CSCv68945 kodları ile ulaşılabilmektedir. Yayınlanan zafiyetlerin etkisini azaltmak için bir yöntem veya herhangi bir güvenlik güncelleştirmeleri yayınlanmamış olsa da Cisco’nun ürün güvenlik ekibi, bu zafiyetlerin istismar edilmeye çalışıldığı herhangi bir saldırı gözlemlemediklerini belirtmiştir.

Zafiyetlerden Etkilenen Cihazlar:

  • Cisco GGSN Gateway GPRS Support Node
  • Cisco MME Mobility Management Entity
  • Cisco PGW Packet Data Network Gateway
  • Cisco System Architecture Evolution Gateway (SAEGW)
  • Cisco ASR 5000 Series Routers
  • Cisco Home Node-B Gateway
  • Cisco IP Services Gateway (IPSG)
  • Cisco PDSN/HA Packet Data Serving Node and Home Agent

Cisco cihazları için Treck kütüphanesine yönelik yayınlanacak güvenlik güncelleştirmelerinin takip edilmesi ve uygulanması önerilmektedir. Cisco, bu zafiyetler için gerekli düzeltmelerin Ağustos ayında yayınlanacağını açıklamıştır.

Juniper Networks Uygulamalarını Etkileyen Kritik Zafiyetler Tespit Edildi
Juniper Networks Uygulamalarını Etkileyen Kritik Zafiyetler Tespit Edildi

Juniper Networks, siber tehdit aktörlerinin hizmet reddi (DoS) saldırıları düzenlemesine imkan verecek güvenlik zafiyetlerine karşı uyarmaktadır. Tespit edilen zafiyetlerin çoğu yüksek öneme sahiptir.

Şirket yaptığı açıklamada kendi ürünlerinin yanı sıra OpenSSL, Intel sürücüleri, Bouncy Castle, Java SE ve Apache yazılımları gibi üçüncü parti bileşenleri de etkileyen zafiyetlerden bahsetmiştir. Bu zafiyetler Juniper ürünlerin kolay ve güvenli kontrolü için kullanılan Junos (OS) işletim sistemini, Juniper Secure Analytics uygulamasını, yönlendirici ve ağ güvenliği cihazları yönetimi için kullanılan Junos Space ve Junos Space Security Director uygulamalarını etkilemektedir.

Ele alınan zafiyetlerin en kritiği CVE-2020-1647 kodlu, yazılımın herhangi bir bileşenini iki kere hafızadan kaldırma argümanı verilerek bellek sızıntısı ve dolayısıyla belleğe yazma imkanı veren “double free” zafiyetidir. Bu zafiyet Internet İçerik Uyarlama Protokolü (ICAP) yönlendirme servisi aktif olduğunda, saldırganlar tarafından hazırlanmış spesifik bir HTTP mesajının işlenmesine sebep olarak hizmet reddi saldırısı doğurmaktadır. Bu zafiyetten Junos OS versiyon 18.1 ve 19.3 arası bütün versiyonlar etkilenmektedir.

CVE-2020-1654 koduyla yayınlanan bir başka zafiyet ise DoS saldırısını tetiklemekte veya saldırganlara sistemde kod çalıştırma yetkisi sunmaktadır. Bu iki zafiyet ICAP yönlendirme servisi aktif olan SRX serisi güvenlik duvarlarını da etkilemektedir.

Juniper açıklamasında yukarıda bahsedilen zafiyetlerin istismar edildiği bir saldırı gözlemlemediğini ve bunlar için herhangi bir kesin çözüm olmadığını açıklamıştır. SRX ürünlerinde ICAP yönlendirmesi kulllananların bu özelliği devre dışı bırakması, Junos Space kullanıcılarının bu sistemlere erişim listeleri veya güvenlik duvarları ile yalnızca güvenilir yönetim ağları, ana bilgisayarlar ve kullanıcılardan gelen bağlantılara izin vermesi önerilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri