Haftanın Önemli Gelişmeleri – 27. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

cisco
Cisco Veri Merkezi Ağ Yöneticisi Uygulamasında Kritik Güvenlik Zafiyetleri Tespit Edildi

Cisco Data Center Network Manager (CDCNM) uygulaması üzerinde kritik ve yüksek öncelikli zafiyetler tespit edildi. DCNM (Veri Merkezi Ağ Yöneticisi), Cisco destekli veri merkezleri için kullanılan bir ağ yönetim platformudur.

Web tabanlı platformda tespit edilen CVE-2019-1620 kodlu kritik seviyedeki güvenlik açığı, saldırganlara kimlik doğrulaması yapmadan uzaktan kod çalıştırmaya (RCE), platforma dosya yüklemeye ve yetki yükselterek kod çalıştırmaya fırsat vermektedir.

Güvenlik açığı, DCNM uygulamasındaki hatalı izin yapılandırılmasından kaynaklanmaktadır. Saldırganlar bu güvenlik açığını zararlı verileri hedefe yükleyerek istismar edebilir. Başarılı bir saldırı sonucunda dosya sistemine zararlı yazılımlar yüklenebilir ve yetkili kullanıcıyla kod çalıştırılmasına izin verilebilir.

CVE-2019-1619 koduyla tespit edilen bir başka güvenlik açığında, saldırganların kimlik doğrulamasını atlatarak yönetici ayrıcalıklarıyla uygulamada keyfi etkinlikler yapmalarına imkan veriyor ve bu zafiyet basit bir HTTP isteği sonucunda tetikleniyor.

Cisco ayrıca CVE-2019-1621 kodlu güvenlik zafiyetinde saldırganların hassas verilere erişmelerine ve bu verileri indirmelerine imkan veren DCNM sorununu ele aldı. Kimlik doğrulaması yapmış bir kullanıcı, belirli URL istekleriyle bu zafiyeti sömürmektedir.

Paylaşılan bu güvenlik açıkları “iDefense Zafiyet Katılımcı Programı” aracılığıyla Pedro Ribeiro tarafından tespit edildi. Cisco paylaştığı DCNM 11.2 yamasıyla zafiyetlerin giderildiğini aktardı.

android
Orta Doğu’daki Zararsız Android Uygulamaları Casus Yazılım’a Dönüştürülüyor

Siber güvenlik araştırmacıları, 2016’dan beri aktif olan ve ilk kez Ağustos 2018’de kamuya açık bir şekilde rapor edilen ve devam etmekte olan Android zararlı yazılım kampanyası hakkında kullanıcıları uyarmaktadırlar.

Kaspersky’deki araştırmacılar tarafından “ViceLeaker” adlandırılan kampanya, yakın zamanda arama kayıtları, kısa mesajlar, fotoğraflar, videolar ve konum dahil olmak üzere neredeyse tüm erişilebilir bilgileri kullanıcının haberi olmadan çalmak üzere tasarlanmış güçlü bir güvenlik yazılımıyla, özellikle İsrail vatandaşlarını ve aynı zamanda diğer Orta Doğu ülkelerini hedef almaktadır.

Zararlı yazılım, bu geleneksel casusluk işlevlerinin yanı sıra, dosya yükleme, indirme ve silme, ses kaydı yapabilme, kurbanın telefonunun kamerasının kontrolünü tam olarak ele geçirme ve arama yapma veya belirli numaralara mesaj gönderme dahil backdoor yeteneklerine de sahiptir.

Geçtiğimiz günlerde yayınlanan yeni bir raporda Kaspersky Lab, saldırganların, kötü niyetli kodlarını, genellikle Smali enjeksiyonu olarak bilinen bir teknik ile enjekte ettikten sonra uygulamanın kaynak kodunu tamamen ele geçirmek ve ardından tekrar kurmak için Baksmali aracını aktif olarak kullandığını göstermektedir.

Araştırmacılara göre, ViceLeaker saldırı kampanyası hala devam etmektedir. Aynı zamanda saldırganlar meşru uygulamaların yeniden paketlenmiş sürümlerini, üçüncü parti uygulama mağazalarında, anlık mesajlaşma programlarında veya saldırganlar tarafından kontrol edilen çevrimiçi web sayfaları aracılığıyla dağıtmaktadır.

Bu tür uygulamalar meşru veya popüler uygulamalar olarak maskelendiğinden, Android kullanıcılarının bu saldırıya maruz kalmamak için her zaman uygulamaları Google Play Store gibi güvenilir kaynaklardan indirmeleri şiddetle tavsiye edilir. Ancak, Google Play Store’daki her uygulamaya da güvenmemelisiniz. Bu nedenle, kötü amaçlı uygulamalar yüklemekten kaçınmak için her zaman yalnızca doğrulanmış geliştiricilere bağlı kalınmasında fayda vardır.

ramsonware
Florida Ransomware Saldırısı İçin Hacker’lara 1.1 Milyon Dolar Ödedi

Amerika’nın Florida eyaleti, son iki hafta içinde, biri Riviera Beach’e ve diğeri Lake City’ye karşı olmak üzere iki ayrı fidye yazılım saldırı ile karşı karşıya kaldı. Eyalet şifrelenmiş dosyalarını kurtarmak için siber suçlulara toplamda 1.1 milyon dolardan fazla bitcoin ödedi.

Kuzey Florida’da bulunan Lake City, bilgisayar sistemlerini iki hafta boyunca durduran fidye saldırısının ardından telefon ve e-posta sistemlerinin kilidini açmak için bilgisayar korsanlarına 42 Bitcoin (şu anki değerde 573.300 Dolara eşdeğer) ödemeyi kabul etti. Fidye yazılımı saldırısının, üç farklı saldırı yöntemini hedef ağ sistemlerinde birleştirdiği ortaya çıktı. 10 Haziran’da bir belediye çalışanın zararlı bir e-postayı açmasından sonra virüs bulaştığı düşünülmektedir. BT personeli, siber saldırının başlamasından sadece 10 dakika sonra bilgisayarın bağlantısını kesti, ancak yazılım sistemlere bulaştığı için dosyalar şifrelenmişti. Polis ve itfaiye departmanları farklı bir sunucuda faaliyet gösterdiğinden saldırıdan etkilenmedi. Fakat şehir işçilerinin e-posta hesapları ve sunucuları saldırıdan dolayı kilitledi.

Yerel basında çıkan haberlere göre, Florida’daki bir başka şehir olan Riviera Beach, bir şehir çalışanının bir e-postadaki zararlı bir bağlantıyı tıklamasından sonra 29 Mayıs’ta bir fidye yazılım saldırısının kurbanı oldu. Fidye yazılımı saldırısı, kentin bilgisayar sistemlerini en az üç hafta boyunca kilitledi. Riviera Beach City Council, kilitli sistemlerine yeniden erişebilmek için 65 Bitcoin (bugünkü değerde 897.650 $) fidye ödenmesine karar verdi. Federal makamlar ve siber güvenlik uzmanları, mağdurlara siber suçluları teşvik ettiği için fidye ödememelerini tavsiye etti. Bilgisayar korsanlarına fidye ödemek yerine, kuruluşlar ve şirketler önemli dosya ve verilerinin güçlü bir yedeğini almalı, ayrıca çalışanlarını siber saldırıların kurbanı olmamasını sağlayacak şekilde eğitmelidir.

origin
Milyonlarca Kullanıcısı olan EA Games Origin Platformunda Güvenlik Zafiyeti Bulundu

Araştırmacılar tarafından, dünya çapında yüz milyonlarca insan tarafından kullanılan popüler oyun platformunun, bilgisayar korsanlarının oyuncuların hesaplarını ele geçirmesine ve hassas verileri çalmasına izin verebilecek bir çok güvenlik açığına karşı savunmasız olduğu tespit edildi.

Söz konusu güvenlik açıkları, 300 milyon kullanıcılı ve Dünyanın en büyük oyun şirketi olan Electronic Arts (EA) tarafından geliştirilen “Origin” dijital dağıtım platformunda bulunmaktadır.

Check Point ve CyberInt’taki araştırmacılar tarafından keşfedilen, zincirleme sırasında ortaya çıkan güvenlik açıkları, saldırganların yalnızca EA Games web sitesinden, başka bir web sitesini açmaya ikna etmesi ile oyuncunun EA hesabının çalınmasına neden olmaktadır.

Araştırmacılar, ea.com ve origin.com alan adlarında ve alt alanlarında TRUST mekanizması olduğunu belirtti. Bu mekanizmanın kötüye kullanılması, araştırma ekibinin, OAuth protokol uygulamasını devralmasına ve istismar etmesine olanak sağlamaktadır. En kötü senaryoda saldırganlar, bütün müşterilerin kredi kartı verileri dahil bütün satın alma verilerine erişebilmektedir.

CyberInt ve Check Point bulgularını hemen EA Games’e bildirdi ve şirketin, müşterilerini korumak için güvenlik zafiyetlerini düzeltmelerine yardımcı oldu.

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.