Haftanın Önemli Gelişmeleri – 32. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

KDE’de 0-Day
KDE’de 0-Day

Siber güvenlik araştırmacısı olan Dominik Penner (zer0pwn), 5 Ağustos 2019 tarihinde Twitter platformundan KDE masaüstü ortamında keşfettiği 0-Day güvenlik açığını takipçileriyle paylaştı.

KDE (K Desktop Environment) yani K Masaüstü Ortamı adı verilen Unix ve Unix benzeri işletim sistemleri için geliştirilmiş bir masaüstü ortamıdır. KDE frameworkü Kubuntu, OpenMandriva ve OpenSUSE dahil olmak üzere çeşitli GNU/Linux dağıtımlarında yaygın olarak kullanılmaktadır.

Keşfedilen güvenlik zafiyeti KDE Framework 5.60.0 sürümü ve öncesini etkilemektedir. KDesktopFile sınıfının .desktop veya .directory dosyalarını işleme biçiminden ortaya çıkmaktadır. Bir .desktop veya .directory dosyası başlatıldığında KConfigGroup :: readEntry() fonksiyonu, KConfigPrivate :: expandString() aracılığıyla çalıştırılmaktadır. Sisteme zarar verebilecek şekilde hazırlanan bir .desktop dosyası hedef sistemde kurban tarafından görüntülendiğinde saldırgan tarafından rastgele kod çalıştırmaya (RCE) imkan vermektedir.

ZDNet tarafından paylaşılan görüntülerde keşfedilen 0-Day uygulamalı olarak gösterilmektedir. Zararlı koda bir sahip dosyanın yalnızca sisteme indirilmesiyle komut satırından oturum alındığı görülmektedir.

Dominik Penner, keşfettiği 0-Day’i KDE geliştirici ekibine henüz bildirmediğini açıkladı. DefCon’dan önce yaptığı bu hamle ile bütün dikkatleri üzerine toplamış oldu.

GermanWiper Fidye Yazılımı Almanya’daki Şirketleri ve Kurum Çalışanlarını Hedef Aldı
GermanWiper Fidye Yazılımı Almanya’daki Şirketleri ve Kurum Çalışanlarını Hedef Aldı

GermanWiper fidye yazılımı, phishing e-postalarıyla Alman kullanıcılara yayıldı. Hedeflenen sistemlerde bilindik fidye yazılımlarının yaptığı gibi dosyaları şifreleme işleminin aksine tüm dosyaların içeriğini sıfırlarla (0) değiştirdi. Daha da kötüsü GermanWiper’ın kurbanları fidyeyi ödemesine rağmen değiştirilen dosyalarını geri alamadı.

GermanWiper, ilk kez 30 Temmuz 2019 tarihinde Bleeping Computer adlı web sitesinde duyuruldu. Spam e-posta yoluyla hedef kullanıcılara dağıtıldığı tespit edildi. Gönderilen e-posta iş başvurusu içeriğine sahip, Lena Kretschmer adında sahte bir isimle yayılmaktadır. E-posta ekinde bulunan “Unterlagen_Lena_Kretschmer.zip” adındaki sıkıştırılmış dosya içerisinde iki farklı PDF uzantılı zararlı yazılım bulunuyor. Dosyalardan birisi çalıştırıldığında tetiklenen .LNK uzantılı komut, sisteme bir HTA dosyası indirmek için arkaplanda PowerShell komutu çalıştırıyor. Sisteme indirilen HTA dosyası tetikleniyor ve fidye yazılımı sisteme bulaşıyor.

Çalıştırılan fidye yazılımı sistemde sanki şifreleme işlemi yapıyor gibi görünüyor ancak tüm dosyaların içeriğini siliyor. Windows’un ve web tarayıcısının çalışabilmesi için gerekli olan dosyaların haricinde içeriği silinen tüm dosyaların isimleri anlamsız karakterlerden oluşan bir uzantıyla değiştiriliyor (.08kJA, .AVco3 veya .Fi2Ed gibi). Daha sonra sistemde “Fi2Ed_Entschluesselungs_Anleitung.html” adında bir fidye notu oluşturuluyor ve bu notta 0.15038835 BTC (yaklaşık 1600 €) belirtilen BitCoin adresine isteniyor.

Ne yazık ki ödemeyi yapan kurbanlar içeriği silinen dosyalarını geri alamıyor. İnternet teknolojisi birçoğumuzun hayatında olumlu etkiler bıraksa da maalesef bazı kullanıcılar için olumsuz etkiler bırakmaya devam ediyor.

ABD Ulusal Güvenlik Bakanlığı Uçuş Verileri Manipülasyonu Ataklarına Karşı Hassas Olan Küçük Uçakları Uyardı
ABD Ulusal Güvenlik Bakanlığı Uçuş Verileri Manipülasyonu Ataklarına Karşı Hassas Olan Küçük Uçakları Uyardı

Amerika Birleşik Devletleri Ulusal Güvenlik Bakanlığı (DHS), geçtiğimiz hafta küçük uçak sahiplerini ilgilendiren bir uyarı yayınladı. Yayınlanan uyarıda, saldırganların küçük uçakların CAN veri yolunu kolayca ele geçirmesinden kaynaklı zafiyetten ve bu zafiyetin çözümlerinden bahsedildi. Tespit edilen bu zafiyet, kilit navigasyon sistemlerinin kontrolünü ele geçirerek, pilotun yanlış yönlendirilmesine sebep olmaktadır.

Rapid 7’deki bir siber güvenlik araştırmacısı tarafından keşfedilen güvenlik açığı, modern uçakların CAN (Denetleyici Alan Ağı) veri yolunda, otomobillerde ve küçük uçaklarda kullanılan, mikrodenetleyicilerin ve cihazların birbirleriyle iletişim kurmasına olanak tanıyan popüler bir araç ağı standardı uygulamasında bulunmaktadır. Rapid7 araştırmacısı Patrick Kiley, küçük bir uçağın tellerine fiziksel erişimi olan bir bilgisayar korsanının, yanlış veri ekleme ve bu verileri CAN veri yoluna eklenebileceğini uygulamalı olarak gösterdi. Kiley, Salı günü yayınladığı bir raporda, “Modern uçak, çeşitli sensörlerden gelen sinyalleri çevirmek için bir elektronik ağ kullanıyor ve bu verileri uygun cihazlar tarafından yorumlanıp pilotlara gösterilecek bir ağa yerleştiriyor.” dedi.

Saldırgan istismarı kullanarak aşağıdaki verileri değiştirebilir:

  • Motor telemetri okumaları
  • Pusula ve tutum verileri
  • İrtifa, hava hızı ve saldırı açısı (AoA) verisi

DHS ‘nin siber bölümü salı günü yaptığı açıklamada, “Araştırmacılar, alet okumalarını kullanan bir pilotun, etkilenen uçağın kontrolünün kaybedilmesine neden olabilecek yanlış ve yasal okumalar arasında ayrım yapamayacağının altını çizdiler.” dedi.

Araştırmacı ayrıca, aviyonik sektörünün CAN veri yolu sistemine göre otomotiv endüstrisinin gerisinde kaldığını belirtti. Otomotiv endüstrisi, CAN veriyolu sistemlerine benzer fiziksel saldırıları önleyen CAN veri yoluna özgü filtreleme, beyaz liste ve ayırma gibi güvenlik önlemlerinin uygulanmasında ilerleme kaydetmiştir. Uçak üreticileri de bu önlemleri almalıdır. DHS ‘CISA, uçak üreticilerini CAN veri yolu sistemi etrafındaki ağ korumalarını göz önünde bulundurmaya ve uçaklarına erişimini kabiliyetlerini en iyi şekilde kısıtlamalarını sağlamaya çağırmaktadır.

Honda Motors Şirketi Veritabanlarından, 40GB Çalışan Verisini Sızdırıldı
Honda Motors Şirketi Veritabanlarından, 40 GB Çalışan Verisini Sızdırıldı

Geçtiğimiz hafta, Honda Motor şirketinin veritabanından, yaklaşık 40 GB çalışan bilgisiyle 134 milyon satır verilerisinin sızdırdırldığı bildirildi. Güvenlik araştırmacısı xxdesmus, ilk olarak veritabanını keşfetti. Sonrasında Honda ile iletişime geçerek bilgi verdi ve veri tabanının güvenliği sağlandı.

Shodan aracılığıyla arama yaparken, herhangi bir kimlik doğrulaması yapılmadan girilebilen ve Honda Motor şirketine ait bilgiler içeren Elasticsearch veritabanı keşfedildi. Görüntülenebilen veriler arasında makine ana adları, MAC adresleri, dahili IP, yamanın uygulandığı işletim sistemi sürümleri ve Honda’nın uç nokta güvenlik yazılımının durumu gibi bilgiler yer almaktadır. Veritabanı IP’sinin Shodan’a göre 1 Temmuz 2019’dan beri halka açık olduğu görülmüştür. Veriler potansiyel olarak hassastır, çünkü saldırganlara hassas noktaların tam olarak nerede olduğunu göstermektedir. Güvenlik araştırmacısının yaptığı açıklamaya göre “Honda’nın makinelerini koruyan başlıca güvenlik sağlayıcısını özellikle isimlendirmeyeceğim, ancak verilerin hangi sağlayıcıyı kullandıklarını ve hangi makinelerin güvenlik yazılımını etkinleştirdiğini ve güncellediğini açıkça ortaya koyuyor” dedi.

ZeroNorth İcra Kurulu Başkanı Ernesto DiGiambattista, “Honda’da bildirilen zafiyet, tüm uygulamalar ve altyapıdaki zafiyetleri sürekli izlemenin ne kadar gerekli olduğunu tekrar vurgulamaktadır” dedi.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri