Haftanın Önemli Gelişmeleri – 30. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

Waydev Firmasına Siber Saldırı Gerçekleştirildi
Waydev Firmasına Siber Saldırı Gerçekleştirildi

Yazılım mühendislerinin üretkenliğini ve Git kod tabanlarını analiz eden Waydev, bir grup siber tehdit aktörü tarafından manipüle edildiğini duyurmuştur. Bahsedilen hizmeti sunmak için GitHub ve GitLab uygulama mağazalarında kendi uygulaması bulunan Waydev’in bir veritabanına SQL enjeksiyonu yöntemi ile sızan saldırganlar, şirketin müşterilerine ait OAuth kodlarıını ele geçirerek, müşteri hesaplarına sızmıştır.

Erişim yetkisi standartı OAuth, kullanıcıların parolalarını paylaşmadan uygulamalara hesaplarına erişim vermek için kullanılmaktadır. Kullanıcılar Waydev uygulamasını yüklediğinde, uygulamanın Git projelerine erişebilmesi için OAuth parolası paylaşılmaktadır. Waydev bu parolayı veritabanında saklamaktadır ve müşterilerine günlük raporlar üretmek için kullanılmaktadır.

Siber tehdit aktörleri bu OAuth parolalarını kullanarak online kredi uygulaması Dave ve yazılım test servisi Flood.io’ya da başarılı bir şekilde sızmıştır. Dave veritabanlarına erişim, geçtiğimiz günlerde paylaştığımız haberde bahsedildiği üzere 7 milyon kullanıcı bilgisinin çalınmasıyla sonuçlanmıştır.

Waydev bu olaydan, müşterilerinden birinin hesabında Waydev OAuth parolasıyla şüpheli aktivitenin tespit edilmesiyle iletişime geçen Github güvenlik ekibi aracılığı ile haberdar olmuştur. Yaşanan bu güvenlik ihlalinin farkına varan şirket, uygulamalarını mobil mağazalardan kaldırıp bütün OAuth parolalarını iptal ederek saldırganların erişimlerini kestiğini açıklamıştır.

magento
Magento Platformlarında Kritik Zafiyet Alarmı

Adobe, Magento Commerce ve Magento Open Source yazılımlarını etkileyen iki farklı kritik seviyeye sahip kod yürütme zafiyeti ile ilgili açıklama yayınlamıştır. Tespit edilen zafiyetler Magento Commerce ve Magento Open Source 2.3.5-p1 sürümü dahil önceki versiyonlarda çalışan yazılımları etkilemektedir.

Magento, ücretli ve açık kaynaklı iki sürümü bulunan, yaklaşık 250.000 aktif kullanıcıya sahip, B2B ve B2C online satış platformudur. Gartner tarafından en iyi e-ticaret altyapısı olarak seçilen Magento, ülkemizde birçok orta ve büyük ölçekli şirket tarafından da kullanılmaktadır.

Magento yazılımlarında, kritik seviye olarak değerlendirilen Path Traversal (dizin geçişi) zafiyetinin (CVE-2020-9689) tespit edildiği açıklanmıştır. Bu zafiyetin yönetici ayrıcalıklarına sahip olarak saldırganların hedef sistemlerde rastgele kod yürütmesine izin verdiği paylaşılmıştır. Ayrıca kimliği doğrulanmamış saldırganların hedef sistemlerde rastgele kod çalıştırmasına olanak verebilecek bir DOM-XSS saldırısı da CVE-2020-9691 koduyla açıklanmıştır. CVE-2020-9690 koduyla açıklanan başka bir zafiyet sonucunda da yönetici ayrıcalıklarına sahip saldırganların imza doğrulamasını atlaması mümkün olmaktadır.

Zafiyet KategorisiZafiyetin EtkisiKimlik DoğrulamasıCVE Kodu
Path TraversalRastgele Kod YürütülmesiGerekmiyorCVE-2020-9689
Observable Timing Discrepancyİmza Doğrulamasının AtlatılmasıGerekmiyorCVE-2020-9690
DOM-Based XSSRastgele Kod YürütülmesiGerekiyorCVE-2020-9691

En son sürüme güncellenmemiş olan Magento uygulamaları, siber tehdit aktörlerinin kurum müşterilerine ait ödeme bilgilerini ve hassas kişisel bilgileri ele geçirmeye yarayan kötü amaçlı JavaScript kodlarıyla kritik siber saldırılara fırsat vermektedir. Magecart olarak bilinen bu saldırılar, yüz binlerce e-ticaret uygulamasına ulaşarak, bu tür kampanyalara katılan birden fazla siber tehdit aktörleri ile hem çevrimiçi ödeme hizmeti sunan KOBİ’leri (küçük ve orta ölçekli işletmeler) hem de devlet kurumlarını hedeflemektedir. Adobe, Magecart saldırılarına karşı bir önlem alarak Magento platformuna iki faktörlü kimlik doğrulama (2FA) özelliğinin eklendiğini açıklamıştır.

Açıklanan zafiyetler için teknik detaylar paylaşılmamıştır ve henüz bilinen bir siber saldırı bulunmamaktadır. Yaşanabilecek siber saldırıların önlenebilmesi adına Magento sürümlerini çalıştıran sistemlerin en son sürüme (2.4.0) güncelleştirilmesi veya Magento Commerce ve Magento Open Source 2.3.5-p2 sürümlerine mümkün olan en kısa sürede yükseltilmesi önerilmektedir.

Dijital Bankacılık Uygulamasında Veri İhlali Tespit Edildi
Dijital Bankacılık Uygulamasında Veri İhlali Tespit Edildi

Dijital bankacılık uygulaması olan Dave.com’un 7.516.625 müşterisine ait bilgiler, halka açık bir forumda siber tehdit aktörleri tarafından yayınlanmıştır. Dave sızıntının, eski bir iş ortağı olan Waydev’in (mühendislik ekipleri tarafından kullanılan analiz yazılımı) ağına izinsiz bir erişim yüzünden yayınlandığını söylemektedir. Ancak siber tehdit aktörleri şirket çalışanlarına GitHub temalı oltalama saldırıları gerçekleştirerek bu bilgilere ulaştığını iddia etmektedir.

Şirket sızıntıdan haberdar olur olmaz saldırganın erişimini kapattığını ve bu bilgilerin ifşa edilmesine dair kolluk kuvvetleri ile birlikte bir soruşturma başlattığını belirtmiştir.

Bu veritabanını ifşa eden siber tehdit aktörlerinin, çalınan bilgilerin satıldığı bir forumda birçok şirkete ait kayıtları paylaştığı bilinmektedir. Dave’e ait veritabanı ise ücretsiz olarak anonim kişilere sunulmaktadır.

Veritabanında Dave.com’a ait kullanıcıların isim/soyisim bilgileri, telefon numaraları, eposta adresleri, doğum tarihleri ve ev adresleri gibi bir çok kişisel bilginin yer aldığı tespit edilmiştir. Bazı kullanıcılar için ise ödeme bilgileri ve kimlik numaraları da bulunmaktadır.

Yapılan incelemelerde henüz herhangi bir saldırganın bu bilgileri kullanarak kullanıcı hesaplarına erişim sağlamaya çalıştığı tespit edilememiştir.

cisco
Cisco Firewall Ürünlerini Etkileyen Kritik Zafiyet Alarmı

Cisco, Firewall (güvenlik duvarı) cihazlarında CVE-2020-3452 koduyla yayınlanan ve saldırganların hedeflediği sistemlerde hassas dosyalara erişim elde etmek için kullanılan Path Traversal (dizin geçişi) zafiyeti tespit edilmiştir. Zafiyetin yalnızca web hizmetleri dosya sistemini etkilediği, saldırganların WebVPN yapılandırmalarına, çerezlere ve yer işaretlerine erişebilmelerine neden olduğu açıklanmıştır. Cisco’nun Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) yazılımlarının web hizmetleri arayüzünün etkilendiği paylaşılmıştır.

Tespit edilen zafiyet, işlenen HTTP isteklerindeki URL’lere uygun girdi kontrollerinin yapılmamasından kaynaklanmaktadır. Böylece saldırgan özel hazırlanmış ve dizin geçişi için karakter dizileri barındıran HTTP istekleri göndererek, hedeflenen cihazın web servisindeki dosyaları ve dizinleri görüntüleyebilmektedir. Bu saldırı yalnızca AnyConnect veya WebVPN konfigürasyonları ile çalışan cihazlara karşı etkili olmaktadır.

ASA ve FTD cihazları için interneti tarayan araştırmacılar, 398’ü Fortune 500 şirketlerine ait olmak üzere yaklaşık 85.000 cihaz tespit etmiştir. Bu cihazların ise yalnızca %10’unun yayınlanan güncelleştirmeyi uyguladığı düşünülmektedir.

Bu zafiyeti sömüren kod parçacığının internette yayınlanması sebebiyle Cisco, birkaç sömürü denemesi tespit ettiğini de belirtmiştir. Zafiyetten yararlanmak isteyen aktivitelerin tespit edilebilmesi veya engellenebilmesi için “Cisco Firepowers” yönetim merkezi aracılığıyla 2020-07-22-001 SRU numarasından, “54598-54601” aralığındaki Snort kurallarının aktifleştirilmesi önerilmektedir. Zafiyetten etkilenmemek adına, ASA ve FTD kullanılan sistemlerde Cisco tarafından yayınlanan güncelleştirmenin ivedilikle uygulaması gerekmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri