Haftanın Önemli Gelişmeleri – 29. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

Nagios iLO Eklentisinde Kritik Zafiyet Tespit Edildi
Nagios iLO Eklentisinde Kritik Zafiyet Tespit Edildi

Nagios multi-platform özelliğine sahip, GPL lisanslı ücretsiz bir sistem ve ağ izleme yazılımıdır. Birçok özelliği içerisinde barındıran Nagios, temel anlamda istemci seviyesinde kaynak monitörlemeyi ve servis bazında ağ monitörlemeyi sunmaktadır.

Nagios yazılımını etkileyen, HPE iLO eklentisinde PHP Code Injection (kod enjeksiyonu) zafiyeti keşfedilmiş ve CVE-2020-7206 koduyla paylaşılmıştır. Bu zafiyet kullanıcıdan alınan değerin hiçbir kontrolden geçirilmemesinden kaynaklanmaktadır ve uzaktaki bir saldırganın sistemde PHP kodlarını çalıştırmasına neden olmaktadır. Zafiyetle alakalı risk skorlaması henüz yapılmasa da eklentiyi geliştiren ekip, zafiyetin nasıl giderileceğine dair düzeltme paylaşmıştır.

16 Temmuz ve öncesinde HPE iLO eklentisi kurulmuş ve kullanılmakta ise; tespit edilen zafiyeti gidermek için “nagios-plugins-hpilo/action-url/nagios_hpeilo_service_details.php” dizinindeki dosya içerisine <?php ?> satırlarının arasına aşağıdaki kodları ekleyerek dosyanın güncellenmesi tavsiye edilmektedir (Link).

<?php

$ip=$_GET[“ip”];

$comm=$_GET[“comm”];

$id=$_GET[“id”];

$cmd=escapeshellcmd(“./nagios_hpeilo_engine -H $ip -C $comm -o $id -J”);

$ret = exec($cmd,$output);

echo join(“\n”,$output);

?>

İranlı Hackerlar VPN Uygulamalarını Hedef Alıyor
APT-35 Grubuna Ait Operasyon Verileri İnternete Sızdırıldı

İran devleti için çalıştığı düşünülen siber tehdit grubu, Charming Kitten (APT-35) tarafından kontrol edilen sunucu içerisinde siber operasyon detaylarının yer aldığı 40 GB verinin internete açık olarak bırakıldığı tespit etmiştir. APT-35’in oltalama saldırıları için kullandığı alan adları ile ilişkili bir sunucuya video ve kurbanlarından çaldıkları verileri yükleyen grup, bu verileri herhangi bir koruma olmadan herkesin erişimine açık olarak internete bırakmıştır. Videoların birçoğunda saldırganların erişim sağladıkları hesaplarda özel bilgiler ararken ve bunları ele geçirirken yaptığı aktiviteler yer almaktadır. Ayrıca bazı videolarda hesap ele geçirme saldırılarına ait detaylı yöntemler de yer almaktadır.

Araştırmacılar tarafından keşfedilen bilgiler arasında:

  • Birer ABD ve Yunan Donanması personellerine ait hesaplarda, muhtemelen İran hükümetinin ilgisi dahiline girecek askeri gizli bilgilerin arandığı 5 saat uzunluğundaki videolar,
  • ABD İçişleri Bakanlığı personeli ve İranlı bir Amerikan hayırseverin kişisel hesaplarına düzenlenen başarısız oltalama saldırısı denemelerine ait detaylar,
  • APT-35 grubuyla ilgili şahıslara ait sahte telefon numaraları yer almaktadır.

Sunucuya yüklenen videoların zaman damgalarına göre yüklenmelerinden 1 gün önce Bandicam adlı bir yazılım yardımıyla kaydedilmiştir. Bu videoların uzunluğu 2 dakika ile 2 saat aralığında değişmektedir.

“AOL.avi”, “Aol Contact.avi”, “Gmail.avi”, “Yahoo.avi” adlı beş videonun içeriğinde saldırganlar her bir platforma giriş yapmak için bir metin dosyasında bulunan kimlik bilgilerini kullandıkları görülmektedir. Girişin ardından saldırganlar bu hesaplardan nasıl ve nereden veri çalınacağını göstermektedir.

Bu eğitim videolarında saldırganlara ait bazı hesapların detayları da gözükmektedir. “Yahoo.avi” adlı videoda, İran’ın telefon kodunu (+98) barındıran sahte bir hesabın detayları tespit edilmiştir.

APT-35’in, İran’ın stratejik çıkarlarına yönelik operasyonlar gerçekleştirdiği açıkça görülmektedir. APT-35 ve benzeri grupların kullandığı oltalama ve farklı sosyal mühendislik yöntemlerine karşı korunabilmek için, çevrimiçi kullanıcı hesaplarında çok aşamalı doğrulama (MFA) özelliğinin aktif edilmesi, güçlü parola ilkelerinin uygulanması ve aynı parolanın birden fazla hesap için kullanılmaması tavsiye edilmektedir.

paypal androidpay
Android Cihazları Etkileyen Yeni Bir Zararlı Yazılım Tespit Edildi

Araştırmacılar, 337 Android uygulamasından kimlik ve kredi kartı bilgilerini çalmak için kullanılan BlackRock isimli yeni bir zararlı yazılım keşfedildiğini açıklamıştır. Android kullanıcılarını etkileyen diğer zararlı yazılımların dışında BlackRock’ı özel kılan özellik, hedef aldığı uygulamaların çeşitliliğidir. Sosyal medya, ağ, iletişim ve flört uygulamalarına ait bilgileri de ele geçirebilen BlackRock, farklı zararlı yazılımların kod parçacıklarını içinde barındırmasına rağmen sosyal medya uygulamalarını da ele geçirebilmektedir. Bu nedenle, BlackRock zararlısının arkasındaki siber tehdit aktörlerinin, pandemi sebebiyle hızla artan çevrimiçi sosyalleşme platformlarındaki büyümeyi istismar etmeye çalıştıkları sonucu çıkarılmaktadır.

BlackRock zararlısı, hedeflediği sistemlerde kendisini “Google Güncellemesi” olarak tanıtmaktadır. Kullanıcılara bir izin ekranı çıkararak etkileşime girmektedir. Zararlı mobil uygulaması, hedef cihazlarda çalışmaya başladığında kendi ikonunu uygulama arayüzünden saklamaktadır ve kullanıcılardan “Erişilebilirlik Hizmeti” yetkisi talep etmektedir.

Bir Android cihazda erişilebilirlik hizmeti yetkisi kazanan siber tehdit aktörü, aşağıdaki işlemleri kolaylıkla gerçekleştirebilmektedir:

  • Üst pencere (overlay) saldırıları: Kullanıcının bilgilerini girdiği uygulamanın üzerine gizli görünmez bir pencere açıp, bu bilgileri kopyalayabilir.
  • Tuş vuruşlarını kaydedebilir.
  • SMS toplayabilir, bunları listeyebilir ve C&C (komuta ve kontrol) sunucusunun istediği mesajları başka kişilere yönlendirebilir.
  • Cihazla ilgili detaylı bilgi toplayabilir.
  • Uzaktan cihaz ekranını kilitleyebilir.
  • Cihazda yüklü antivirüs yazılımlarını tespit edebilir.
  • Kalıcılık sağlamak için kendi ikonunu saklar ve kaldırılmayı engelleyebilir.
  • Cihazdaki tüm bildirimleri toplayabilir.

BlackRock diğer zararlı yazılımların aksine, Android iş profilleri özelliğini de istismar etmektedir. Bu özellik kurumlar tarafından “Kurumsal Mobilite Yönetimi” amacıyla telefonların toplu kontrolü için cihaz politikası denetleyicisi atamak için kullanılmaktadır. Böylece yönetici yetkisine sahip olmadan cihazın birçok özelliği saldırganların kontrolüne geçebilmektedir.

Yapılan analizlerde BlackRock zararlısının 226 farklı uygulamadan kritik bilgileri ele geçirebildiği tespit edilmiştir. Bunların bazıları: Gmail, Google Play Servisleri, Uber, Amazon, Netflix, Outlook, PayPal, eBay gibi popüler olan uygulamalardır.

Finansal uygulamalardan ise Coinbase, BtcTürk, BitPay, Blockchain Wallet gibi kripto para cüzdanları ve ING, Wells Fargo, HSBC, Lloyds gibi uluslararası bankaların yanında Akbank, Garanti BBVA, Şekerbank, HSBC Türkiye, Ziraat Bankası, Yapı Kredi, VakıfBank, Halkbank, TEB, PTT, İş Bankası, Papara, Odeabank, Kuveyt Türk, ING Türkiye, DenizBank, Albaraka, QNB Finansbank gibi Türkiye’de hizmet veren kuruluşların müşterilerini de özellikle hedef almaktadır.

BlackRock’ın şu anlık, yalnızca üçüncü taraf sitelerde sunulan sahte Google güncelleme paketleri olarak Play mağazası dışından “.apk” formatı olarak iletildiği tespit edilmiştir. Bu nedenle Android kullanıcılarının cihazlarına Play mağazası dışından uygulama yüklememelerini ve bilinmeyen kaynaklardan uygulama yükleme izinlerini açık tutmaları önerilmektedir.

Oracle’ın BlueKai’sinden Milyarlarca Kayıt, Güvenlik Kaybı Nedeniyle Çevrimiçi Ortamda Ortaya Çıktı
Oracle Ürünlerini Etkileyen Kritik Zafiyetler Tespit Edildi

Oracle, birden fazla ürünü için 433 farklı güvenlik zafiyetleri giderdiğini açıklamıştır. Saldırganların bu zafiyetleri kolaylıkla istismar edebildiği ve hedef sistemlerde yetki yükseltebildiği açıklanmıştır. Tespit edilen zafiyetlerin büyük bir kısmının kimlik doğrulamasına ihtiyaç duyulmadan istismar edilebildiği paylaşılmıştır.

Oracle kritik yama güncelleştirmeleri, üç aylık standart döngünün bir parçası olarak gelmektedir fakat Temmuz 2020 çeyreği için yayınlanan bu yeni güncelleştirmeler, tek seferde en çok açığı barındıran güncelleştirme olarak yerini almıştır.

Zafiyetlerden Etkilenen Oracle Ürünleri:

  • Oracle Weblogic
  • Oracle Coherence
  • Oracle BI Publisher
  • Oracle Endeca Information Discovery Studio
  • Oracle Business Intelligence Enterprise Edition
  • Oracle İletişim Uygulamaları
  • Oracle İnşaat ve Mühendislik
  • Oracle E-Business Suite, Oracle Enterprise Manager
  • Oracle Finansal Hizmet Uygulamaları
  • Oracle Fusion Middleware
  • Oracle JD Edwards, Oracle MySQL
  • Oracle Perakende Uygulamaları
  • Oracle Siebel CRM
  • Oracle Tedarik Zinciri Yönetimi
  • Oracle Veritabanı Sunucusu
  • Oracle GoldenGate

Weblogic’de saldırganların İnternet-ORB (IIOP) ve T3 protokolleri üzerinde çalışan sunuculara, zararlı paketler göndererek kod çalıştırmasına olanak sağlayacak CVE-2020-14625, CVE-2020-14644, CVE-2020-14645, CVE-2020-14687 kodlu zafiyetler içermektedir. Oracle Communications Uygulamaları için ise 60 yeni güvenlik yaması barındıran bu güncelleme, 46’sı kimlik doğrulamasına gerek duymadan uzaktan istismar edilebilecek CVE-2020-14701, CVE-2020-14606 zafiyetlerini düzeltmiştir. E-Business Suite için kimlik doğrulamasına gerek duymadan uzaktan tetiklenebilecek 30 farklı güvenlik zafiyeti için düzeltmeler barındırmaktadır. Bu zafiyetler CVE-2020-14598, CVE-2020-14599, CVE-2020-14658, CVE-2020-14665 kodlarıyla yayınlanmıştır. Aynı zamanda Oracle MySQL için 40 farklı güvenlik zafiyeti de tespit edilmiştir. Bunların 6 tanesi kimlik doğrulamasına gerek duymadan uzaktan istismar edilebilmektedir. Aralarında en önemlisi ise Apache Tomcat uygulamalarında bulunan bir hatalı yapılandırmadan kaynaklanan, Oracle sunucularda RCE (uzaktan kod çalıştırma) tetikleyebilecek 9.8 CVSS skorlu CVE-2020-1938 zafiyetidir.

Tespit edilen kritik zafiyetlerin sonucunda yaşanabilecek potansiyel tehditler nedeniyle, kritik yama güncelleştirmelerinin mümkün olduğunca kısa sürede uygulanması önemle tavsiye edilmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri