Haftanın Önemli Gelişmeleri – 36. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

foxit
FOXIT PDF Yazılım Şirketinde Veri Sızıntısı

Popüler Foxit PDF Reader ve 525 milyondan fazla kullanıcı tarafından kullanılan PhantomPDF uygulamaları ile bilinen şirket, Foxit Software, servis kullanıcılarının kişisel bilgilerinin ifşa edildiği bir veri ihlaline uğradığını duyurdu.

Herhangi bir Foxit PDF yazılımının ücretsiz sürümlerini kullanmak için kullanıcıların bir hesaba kaydolmalarını gerektirmese de, yazılım deneme indirmeleri, sipariş geçmişi, ürün kayıt bilgileri, sorun giderme ve destek bilgilerine erişmek için kayıt olması zorunludur. Foxit tarafından yayınlanan rapora göre, bilinmeyen saldırganlar son zamanlarda veri sistemlerine yetkisiz erişerek, kayıtlı kullanıcıların, e-posta adresleri, parola, kullanıcı adları, telefon numaraları, şirket adları da dahil olmak üzere bir çok veriye erişmiştir. Şirketin açıklamasına göre, sızan hesap parolalarının, bilgisayar korsanlarının kırmalarını zorlaştırmak için sağlam bir karma algoritma ve hash mekanizmasıyla korunup korunmadığı belirtmemiştir. Bu güvenlik olayına yanıt olarak Foxit, etkilenen tüm kullanıcıların hesap parolalarını derhal geçersiz kıldı ve Foxit Software web sitesindeki çevrimiçi hesaplarına tekrar erişebilmek için parolalarını sıfırlamalarını istedi.

Ancak şirket, kullanıcılarının hiçbir ödeme kartı detayına veya diğer kişisel kimlik bilgilerinin sızdırılmadığını garanti etti.Bunun yanı sıra, Foxit Software, sistemlerini derinlemesine analiz etmek ve şirketi gelecekteki siber güvenlik olaylarına karşı korumak için özel bir siber güvenlik firmasıyla anlastı.

Foxit, kullanıcılarına, şüpheli e-postalara karşı dikkatli olmalarını, bağlantılara tıklanmamalarını,ekleri indirmemelerini, hesap açıklamalarını incelemelerini ve kimlik hırsızlıklarını önlemek için kredi raporlarını izlemelerini önerdi.

apple
iPhone Cihazlar Fark Edilmeden Yıllarca Hacklenmiş

Bu yılın başında Google’ın “Tehdit Analiz Grubu” hacklenmiş web sayfalarıyla ilgili bir koleksiyon keşfetti. Saldırganların hacklenmiş web sayfalarını iPhone’larda keşfedilen 0.Gün (0-day) zafiyetlerini kullandığı ve kullanıcılara karşı “Sulama Deliği” (Watering Hole) saldırılarını gerçekleştirdiği tespit edildi.

Hedef ayrımı olmaksızın hacklenmiş web sayfalarını ziyaret eden tüm kullanıcılar, sömürü için kullanılan bilgisayarların etkisi altında kaldı. Etkilenen kullanıcıların sistemlerine izleme (monitoring) saldırısı yapıldı. Hacklenen sitelerin haftalık kullanıcı sayısının binlerce olduğu düşünülüyor.

Project Zero analistlerinin paylaştığı bilgilerde tespit edilen zafiyetlerin temel nedeni ve yazılım geliştirme yaşam döngüsüyle alakalı olarak göz ardı edilen test süreçleri detaylı olarak açıklandı. Tespit edilen 5 farklı sömürü zincirinde toplam 14 güvenlik açığı tespit edildi. Bunlardan 7 tanesi iPhone web tarayıcısı Safari, 5 tanesi çekirdek (kernel) seviyesi ve 2 tanesi de sanal alan sızıntısı seviyesi (sandbox escape) olarak açıklandı.

Analizler başlatıldığında CVE-2019-7286 ve CVE-2019-7287 koduyla iki farklı yetki yükseltme 0.Gün (0-day) zafiyeti keşfedildi. Tespit edilen 0. Günlerin en az iki yıl boyunca fark edilmediği paylaşıldı. Şubat ayında yayınlanan iOS 12.1.4 sürümüyle yetki yüksetlme zafiyetlerine güvenlik güncelleştirmeleri yapıldı.

Zafiyetli Safari tarayıcısını kullanarak hacklenmiş web sayfalarını ziyaret eden iPhone kullanıcılarına saldırganlar tarafından WebKit sömürüsü uygulandı. Böylece kullanıcıların cihazlarına yetki yükseltme saldırısı (PrivEsc) yapılarak “root” seviyesinde erişim sağlandı. Zafiyetler öncelikle kullanıcıların mesajlarını, fotoğraflarını ve GPS konum bilgilerini her 60 saniyede bir uzaktaki sunucuya yüklemek için sömürüldü.

İzleme (monitoring) saldırısı sonucunda sisteme yüklenen zararlı yazılım cihaz yeniden başlatıldığında otomatik olarak silinse de, kullanıcılar hacklenen sayfayı tekrar ziyaret ettiğinde izleme saldırısı yeniden tetiklendi.

Apple tespit edilen iPhone sömürülerinin istismar edildiği güvenlik zafiyetlerinin çoğunu güncelledi. Kullanıcıların bu tür saldırı zincirlerinin hedefinde olmamaları için her zaman cihazlarını güncel tutmaları şiddetle tavsiye edilmektedir.

cisco
CISCO Cihazlarda Kritik Güvenlik Açıkları Tespit Edildi

Cisco UCS Director, Cisco Integrated Management Controller Süpervizörü ve Cisco UCS Büyük Veri Direktörü Express cihazlarında bir çok kritik güvenlik açığı tespit edildi.

Cisco UCS Director (UCS), ortak özel bulut altyapı yönetimi işlevlerini otomatikleştiren bir bulut düzenleme ürünüdür. UCS, 80 ve 443 numaralı bağlantı noktalarında bir yönetim web arabirimi sunar, böylece UCS kullanıcıları bulut yönetimi işlevlerini gerçekleştirebilir. Cisco UCS Director (UCS), ortak özel bulut altyapı yönetimi işlevlerini otomatikleştiren bir bulut düzenleme ürünüdür. Kodlama hatasından kaynaklı zafiyette, saldırganlar, kimlik doğrulamasını atlatma, isteğe göre komut çalıştırma, sistemde root kullanıcısı olarak işlemler yapabilme gibi işlemleri sağlayabilmektedir.

Cisco, Cisco UCS Director 6.6.0 ve 6.7.0 sürümlerinde zafiyetin olduğunu onayladı. Açıklanan rapora göre, CVE-2019-1937 numaralı zafiyet için, biri kimlik doğrulama atlatma ve komut enjeksiyonunu kullanan, diğeri de varsayılan SSH şifresini kullanan iki Metasploit modülü piyasaya sürüldü. CVE-2019-1936 ve CVE-2019-1935 numaralı diğer iki zafiyet de UCS cihazlarının web arayüzünden, root olarak komut çalıştırılabilmesine olanak sağlamaktadır.

Cisco’un açıklamasına göre raporda belirtilen 3 güvenlik açığı son yayınlanan güncelleme ile kapatıldı. Cisco IMC Supervisor için 2.2.1.0 ve daha üst sürümleri, Cisco UCS Director için 6.7.3.0 ve Cisco UCS Büyük Veri Direktörü Express cihazı için 3.7.2.0 ve daha sonraki üst sürümler yayınlandı. Bu sürümlerin zafiyeti barındırmadığı şirket yetkililerince belirtildi.

Imperva Hacklendi! Müşteri API Keyleri, SSL Sertifikaları Çalındı

Bulut güvenlik uzmanı Imperva, Cloud Web Uygulaması Güvenlik Duvarı (WAF) ürününün, 20 Ağustos’ta keşfedilen saldırıda müşterilerin API anahtarları ve SSL sertifikalarının saldırıya uğradığını ve ele geçirildiğini söyledi.

Özel sermaye devi Thoma Bravo tarafından Ekim 2018’de 2,1 milyar dolara satın alınan California merkezli bir şirket olan Redwood Shores ihlalin üçüncü taraflarca kendilerine açıklandığını söyledi. Şirket bu açıklamanın detaylarını henüz açıklamadı.

Bulut güvenliği firması DisruptOps’un kurucusu Rich Mogull, çalınan müşteri API anahtarlarının ve SSL sertifikalarının en kötü senaryoda, bir saldırganın “Incapsula istemci web sitesi trafiğini engellemesine, görüntülemesine veya değiştirmesine, hatta bu siteye yönelik tüm trafiği, saldırganın sahip olduğu bir siteye yönlendirebilmesine sebep olabilir.” dedi.

Ayrıca şunları ekledi: “Saldırganlar Incapsula güvenlik ayarlarından herhangi birini değiştirebilir ve hedefin SSL sertifikasını alırlarsa, trafiğin tamamını potansiyel olarak ortaya çıkarabilirler. Imperva gibi bir hizmet-güvenlik sağlayıcısı için, bu onların en kötü kabusları olabilir.”

Imperva’nın CEO’su müşterilere şunları söyledi: “Bu olayı aktif olarak araştırmaya devam ediyoruz ve tüm dünyada, yetenekli ekipler kurduk.”

Şirket müşterileri acil bir şekilde aşağıdaki işlemleri yapmaya teşvik ettiğini söylüyor:

  • Cloud WAF için kullanıcı hesabı şifrelerini değiştirin (https://my.incapsula.com)
  • Tek Oturum Açma (SSO) uygulayın
  • İki faktörlü kimlik doğrulamayı etkinleştirin
  • Yeni SSL sertifikası oluşturun ve yükleyin
  • API anahtarlarını sıfırlayın

Şirket CEO’su Chris Hylen, “Bu olayın gerçekleşmesine ve ileriye dönük güncellemeleri paylaşmaya devam edeceğimiz için üzgünüz” dedi.

XKCD Formunda Veri Sızıntısı

Amerikan yazar Randall Munroe tarafından 2005 yılında oluşturulan XKCD, teknoloji, bilim ve internet kültürüne odaklanan popüler bir webcomic’tir. Konusu, yaşam ve aşkla ilgili ifadelerden matematiksel, programlama ve bilimsel şakalara kadar çeşitlilik gösterir.XKCD, teknoloji mizahı ve romantizm, alay, matematik ve dil konusundaki bilim kurgu çizgi romanları ile bilinen popüler web platformlarındandır.

Geçtiğimiz günlerde forum kullanıcılarının verilerini açığa çıkaran bir veri ihlali tespit edildi. Güvenlik açığının, iki ay önce Troy Hunt adındaki güvenlik araştırmacısı tarafından şirkete bildirildiği söylenmektedir. Troy Hunt’a göre, saldırganlar, yaklaşık 562.000 kullanıcının, adı, e-posta, IP adresi ve kullanıcı parolalarını ele geçirdi.
XKCD, önlem olark yazı yazılan forum kısmını kapattı ve anasayfasında, “Xkcd forumları şu anda çevrimdışıdır. Forumumuzdaki PHPBB kullanıcı tablosunun bazı bölümlerinin sızdırılmış bir veri koleksiyonunda göründüğü bildirildi. Veriler kullanıcı adlarını, e-posta adresleri, hashler, ve bazı durumlarda Kayıt tarihinden itibaren IP adresleridir.” şeklinde bir bildirimde bulundu. Aynı zamanda yöneticiler kullanıcılarını şifrelerini değiştirmeleri konusunda uyardı.

Bunların yanı sıra forum yöneticileri de etkilenen kullanıcıları e-postayla bilgilendirdi. Belirtildiği gibi, XKCD ücretsiz ve açık kaynaklı bir forum olan phpBB’yi ve PHP programlama yazılımında bulunan bülten tahtası yazılımını kullanmaktadır. Ancak, şu anda XKCD’nin forum yazılımının daha eski bir sürümü kullanıldığı ve bu sürümün güvenlik zafiyeti bildirdiği düşünülmektedir. Bunun yanında, XKCD daha güvenli BCRYPT karma algoritması kullanan phpBB sürüm 3.1 ve sonraki sürümlerde çalışıyor olsa bile, XKCD formunun ilk kullanıcılarının parolaları eski ve daha az güvenli MD5 karma yöntemi ile şifrelendiği için zafiyet barındırmaktadır.
Zafiyetten etkilenen kullanıcılar, XKCD parolalarını hemen değiştirmeli ve aynı parolayı tekrar diğer çevrimiçi hesaplarda kullanmamalıdır.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri