Haftanın Önemli Gelişmeleri – 35. Hafta

Brandefense ile Siber Saldırılara Karşı Önlem Alın!

cisco
Cisco Enterprise NFVIS Servisinde Kritik Bir Authentication Bypass Güvenlik Zafiyeti Tespit Edildi

Cisco Enterprise NFV Infrastructure Software’in (NFVIS) kimlik doğrulama, yetkilendirme ve muhasebe bileşenlerinde tespit edilen bir güvenlik zafiyeti, kimliği doğrulanmamış, uzak bir tehdit aktörünün kimlik doğrulamasını atlamasına ve etkilenen bir cihazda yönetici olarak oturum açmasına izin vermektedir. (Referans Linki)

CVE-2021-34746 kodlu söz konusu güvenlik zafiyeti, bir kimlik doğrulama komut dosyasına geçirilen kullanıcı tarafından sağlanan girdinin eksik doğrulanmasından kaynaklanmaktadır. Tehdit aktörleri bir kimlik doğrulama isteğine parametreler ekleyerek bu güvenlik zafiyetinden yararlanabilmektedir. Başarılı yararlanma, tehdit aktörünün kimlik doğrulamasını atlayarak etkilenen cihazda yönetici ayrıcalıkları ile oturum açmasına sebebiyet vermektedir.

Kritik olarak değerlendirilen söz konusu zafiyet TACACS harici kimlik doğrulama yöntemi yapılandırılmışsa Cisco Enterprise NFVIS Sürüm 4.5.1’i etkilemektedir. Cisco, söz konusu güvenlik zafiyetini Cisco Enterprise NFVIS 4.6.1 ve sonraki sürümlerinde gidermiştir. Savunmasız sürümü kullanan kullanıcıların zafiyetin giderildiği güncel sürümlere ivedilikle yükseltme yapmaları tavsiye edilmektedir.

Siber Güvenlik Bültenine Abone Ol!

Zoho ManageEngine ADSelfService Plus Servisinde SQL Injection Zafiyeti Tespit Edildi
Zoho ManageEngine ADSelfService Plus Servisinde SQL Injection Zafiyeti Tespit Edildi

ManageEngine ADSelfService Plus web tabanlı parola sıfırlama yönetim sisteminde uzak tehdit aktörlerinin veritabanında rastgele SQL sorguları yürütmesine olanak tanıyan bir SQL Injection güvenlik zafiyeti tespit edilmiştir. (Referans Linki)

Güvenlik zafiyeti, Oracle Veritabanı için manuel hesap bağlama sırasında kullanıcı tarafından sağlanan verilerin yetersiz şekilde sterilize edilmesinden kaynaklanmaktadır. Uzak bir kullanıcı, etkilenen uygulamaya özel hazırlanmış bir girdi göndererek uygulama veritabanında rastgele SQL komutları çalıştırabilmektedir. Bu güvenlik zafiyetinden başarıyla yararlanılması, uzaktaki bir tehdit aktörünün veritabanındaki verileri okumasına, silmesine, değiştirmesine ve etkilenen uygulama üzerinde tam denetim elde etmesine olanak sağlamaktadır.

Kritiklik derecesi orta seviye olarak değerlendirilen söz konusu zafiyet, ManageEngine ADSelfService Plus 6000 ile 6111 arasındaki sürümleri etkilemektedir. Buna ek olarak, ManageEngine ADSelfService Plus servisi üzerinde SSRF zafiyeti de dâhil olmak üzere Eylül 2021 güvenlik güncellemeleri kapsamında 4 güvenlik zafiyeti daha tespit edilmiştir. Savunmasız sürümleri kullanan kullanıcıların zafiyetler kullanılarak gerçekleştirilebilecek saldırıların hedefi olmamak adına zafiyetlerin giderildiği güncel sürümlere ivedilikle yükseltme yapmaları tavsiye edilmektedir.

Rusya’yı Hedef Alan Kampanyada Yeni Bir Konni RAT Varyantı Kullanılıyor
Rusya’yı Hedef Alan Kampanyada Yeni Bir Konni RAT Varyantı Kullanılıyor

Malwarebytes Labs güvenlik araştırmacıları tarafından, Rusya’yı hedef alan ve devam eden yeni bir zararlı yazılım kampanyası tespit edilmiştir. Konni RAT olarak adlandırılan zararlı yazılım ilk olarak 2017 yılında Cisco Talos araştırmacıları tarafından fark edilmiştir ve 2014 yılından bu yana fark edilmeden yüksek hedefli saldırılarda kullanılmıştır. Konni RAT, sürekli geliştirilmesi ve değiştirilmesi nedeniyle algılanmayı önlemekte, enfekte olduğu hedef sistemlerde ise rastgele kod yürütebilmekte ve verileri ele geçirebilmektedir. Konni RAT, Thallium ve APT37 olarak izlenen Kuzey Kore bağlantılı tehdit aktörleri ile ilişkilendirilmektedir.(Referans Linki)

Malwarebytes araştırmacıları, Rusya ile Kore Yarımadası arasındaki sözde ticari ve ekonomik sorunları konu alan, Rusça olarak yazılmış iki zararlı belge keşfetmiştir. İkinci belgenin, hükümetler arası Rus-Moğol komisyonunun bir toplantısını tuzak olarak kullandığı gözlemlenmiştir. Belgelerde bulunan makronun etkinleştirilmesinin ardından enfeksiyon zincirini yürütülmekte, Konni RAT’ın iyi bir şekilde gizlenmiş yeni bir varyantı dağıtılmaya başlanmaktadır. Güvenlik araştırmacıları tarafından gerçekleştirilen analizlerde, bu kampanya ile Kuzey Kore bağlantılı APT grubu tarafından düzenlenen önceki kampanyalar arasında bir dizi farklılık tespit edilmiştir.

Japonya, Nepal, Moğolistan ve Vietnam da dahil olmak üzere diğer ülkelerde de enfeksiyonları gözlemlenen söz konusu kampanyaya yönelik IoC bulguları paylaşılmıştır. Benzer zararlı yazılımlar kullanılarak gerçekleştirilebilecek saldırıların hedefi olmamak adına internet kaynaklı dosya ve belgelerin taranmadan açılmaması ya da makroların etkinleşmemesi adına korumalı görünümde açılması tavsiye edilmektedir. Ayrıca makro yapılandırması etkinleştirilmişse devre dışı bırakılması ve paylaşılan IoC bulgularının güvenlik cihazlarından engellenmesi önerilmektedir.

Söz konusu kampanyaya ilişkin tespit edilen bazı IoC bulguları;

FileHash-SHA256:
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Domain-IP:

takemetoyouheart[.]c1[.]biz
taketodjnfnei898[.]ueuo[.]com
taketodjnfnei898[.]c1[.]biz
romanovawillkillyou[.]c1[.]biz

Fortress S03 Wi-Fi Ev Güvenlik Sistemini Tehlikeye Atan Birden Fazla Zafiyet Tespit Edildi
Fortress S03 Wi-Fi Ev Güvenlik Sistemini Tehlikeye Atan Birden Fazla Zafiyet Tespit Edildi

Rapid7 araştırmacıları tarafından, Fortress Security Store tarafından sunulan ev güvenlik sistemlerinden birini uzaktan devre dışı bırakmak için kullanılabilecek iki zafiyet tespit edilmiştir. Fortress S03 Wi-Fi Ev Güvenlik Sistemi, kullanıcıların evlerini ve küçük işletmelerini güvence altına almak için kendi alarm sistemlerini kurmalarına olanak tanıyan güvenlik çözümüdür. Güvenlik kameralarını, pencere ve kapı sensörlerini, cam kırılma sensörlerini, titreşim ve hareket sensörlerini ve duman/gaz/su alarmlarını desteklemektedir.(Referans Linki)

CVE-2021-39276 ve CVE-2021-39277 olarak izlenen zafiyetler, sisteme yetkisiz erişim elde etmek için bir tehdit aktörü tarafından kötüye kullanılabilmektedir. Tehdit aktörleri bu zafiyetlerden yararlanarak, sistem davranışını denetlemek veya değiştirmek için yetkisiz erişime sahip olabilmekte ve depolama ya da aktarım sırasında şifrelenmemiş bilgilere erişim sağlayabilmektedir.

  • CVE-2021-39276 olarak izlenen zafiyet, güvenli olmayan bir bulut API dağıtımından kaynaklanmaktadır. Tehdit aktörleri, hedeflenen kullanıcının e-posta adresini bilerek CVE-2021-39276’dan yararlanabilmekte ve bunu API’yi sorgulamak ve güvenlik sistemiyle ilişkili IMEI numarasını almak için kullanabilmektedir. IMEI numarasının alınmasının ardından, sistemin davranışını değiştirmek ve devre dışı bırakmak gibi faaliyetler gerçekleştirilebilmesi için POST istekleri gönderilebilmektedir.
  • CVE-2021-39277 olarak izlenen zafiyet ise tehdit aktörlerinin, Radyo Frekansı sinyal aralığındaki herkesin sistem davranışını değiştirmek için RF sinyallerini yakalamasına ve yeniden oynatmasına izin vermektedir. Söz konusu zafiyet, ev güvenlik sisteminin farklı bileşenleri arasındaki iletişim uygun şekilde korunmadığından bir radyo frekansı (RF) sinyali yeniden oynatma saldırısı başlatmak için kullanılabilmektedir.

Söz konusu zafiyetleri gideren güvenlik güncellemeleri yayınlanana kadar zafiyetli cihazları kullanan kullanıcıların, CVE-2021-39276 zafiyeti ile açıklanan IMEI numarası ifşasını önlemek için alarm sistemlerini benzersiz, tek seferlik bir e-posta adresiyle yapılandırmaları tavsiye edilmektedir. CVE-2021-39277 zafiyeti içinse henüz azaltıcı bir önlem bulunmamaktadır. Kullanıcıların yayınlanacak olan güncellemeleri takip etmeleri ve ivedilikle uygulamaları önem arz etmektedir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri