Haftanın Önemli Gelişmeleri – 50. Hafta

PRISMA HACKERCAMP! 4 Hafta sürecek bu muhteşem deneyime hazır mısın?

phpmyadmin
phpMyAdmin Kritik Yazılım Güncellemesi Yayımladı!

phpMyAdmin, web tarayıcısı üzerinden basit bir grafik arabirim kullanarak MySQL veritabanlarını yönetmek için ücretsiz, açık kaynaklı bir yönetim aracıdır. Yaygın olarak kullanılan MySQL veritabanı yönetim sistemlerinden biri olan phpMyAdmin’in geliştiricileri, saldırganların sunucuların kontrolünü ele geçirmelerine olanak verebilecek birkaç önemli güvenlik açığını kapatmak için kendi yazılımlarını 4.8.4 sürümüne güncelledi.

phpMyAdmin sürüm yöneticisi Isaac Bennetch yaptığı açıklamada “Paketleyicilerin ve hosting sağlayıcılarının hazırlaması için herhangi bir güvenlik açığını önceden duyuran diğer projelerin (Mediawiki gibi) iş akışından ilham alıyoruz. Böyle bir iş akışının projemize uygun olup olmadığını görmeye çalışıyoruz.“ dedi.

Yeni phpMyAdmin Güvenlik Açıkları
Yeni keşfedilen üç phpMyAdmin güvenlik açığının ayrıntıları şu şekildedir:

  • Yerel dosya ekleme (CVE-2018-19968) – phpMyAdmin 4.0 ile 4.8.3 sürümleri arasında, saldırganın zafiyeti kullanarak sunucudaki yerel dosyalardan hassas içeriği okumalarına olanak verebilecek bir yerel dosya içerme hatasından kaynaklanır.
  • Siteler Arası Talep Sahteciliği (CSRF) / XSRF (CVE-2018-19969) – phpMyAdmin 4.7.0 – 4.7.6 ve 4.8.0 – 4.8.3 sürümlerinde, CSRF / XSRF kusuru bulunmaktadır. Saldırganların veritabanlarını yeniden adlandırma, yeni tablolar / rutin oluşturma, tasarımcı sayfalarını silme, kullanıcı ekleme / silme, kullanıcı şifrelerini güncelleme gibi zararlı SQL işlemlerini gerçekleştirmelerine izin veren bir güvenlik açığından kaynaklanır.
  • Siteler arası komut dosyası oluşturma (XSS) (CVE-2018-19970) – phpMyAdmin 4.0’dan 4.8.3’e kadar olan sürümleri etkileyen bir siteler arası komut dosyası güvenlik açığı içerir. Özel hazırlanmış bir veritabanı / tablo adı aracılığıyla kötü amaçlı kodu panoya enjekte etmeye izin veren bir güvenlik açığından kaynaklanır.

Yukarıda listelenen tüm güvenlik açıklarının kapatılması için, phpMyAdmin geliştiricileri bu hafta en son sürüm 4.8.4’ü ve bazı önceki sürümler için ayrı yamaları yayınladı.

Prisma CSI ekibi olarak, tüm web sitesi yöneticilerine ve barındırma sağlayıcılarına, en son güncelleştirme veya düzeltme eklerini hemen yüklemelerini öneriyoruz.

atm hack
KoffeyMaker: notebook vs ATM

CCTV ve güvenlik personeli tarafından yakalanma riskine rağmen, doğrudan bağlantı kullanan ve siyah kutu saldırıları denilen ATM’lere yönelik saldırılar, siber suçlular arasında hala popüler. Temel neden, siber-soyguncular için düşük “giriş koşulları” dır. Özel siteler hem gerekli araçları hem de nasıl yapılır talimatlarını zaten anlatıyor.

Kaspersky Lab uzmanları, bir Doğu Avrupa bankasının, ATM’lerine yapılan saldırı için yardım istedikten sonra (2017 – 2018) KoffeyMaker adında bir araç setini araştırdı. Kısa bir süre sonra bir kara kutu saldırısı ile uğraşıldığı anlaşıldı – siber suçlu ATM’yi açtı, bankamatörü bir dizüstü bilgisayara bağladı, ATM’yi kapattı ve suç mahallini terk etti, cihazı içeride bıraktı. Daha fazla soruşturma, “suç aleti” ATM dağıtıcı sürücüleri ve yamalı bir KDIAG aracı olan bir dizüstü bilgisayar olduğunu gösterdi; Uzaktan erişim, bir USB GPRS modeme bağlantı yoluyla sağlandı. Daha iyi sürücü uyumluluğu için işletim sistemi Windows, büyük olasılıkla XP, ME veya 7 idi.

Durum daha sonra olağan senaryoya göre gelişti: siber suçlu tayin edilen saatte geri döndü ve ATM’yi kullanmak için harekete geçti, gizli dizüstü bilgisayara uzaktan bağlı bir suç ortağı, KDIAG aracını çalıştırdı ve dağıtıcıya banknot vermeye talimat verdi. Saldırgan parayı çaldı ve sonra da laptopu geri aldı. Tüm operasyon yalnız yapılabilirdi, ancak bir inatçı nakit ve ATM tarafını ele aldığı şema, ikinci bir “jackpotter” ise yağma payı için teknik destek sağladı. Tek bir ATM onbinlerce dolar çıkardı ve bir ATM PC’si ve dağıtıcısı arasında sadece donanım şifrelemesi bir saldırının gerçekleşmesini engelleyebilir. Genel olarak, saldırı yazılım araçları haricinde geçen yıl tarif ettiğimiz Cutlet Maker’ı hatırlatıyordu. Test laboratuarında KoffeyMaker’ın tüm adımları yeniden üretildi. Gerekli tüm yazılımlar çok fazla zorluk çekmeden bulundu. Bu programın aynı versiyonunun daha önce Carbanak grubundan siber suçlular tarafından kullanıldığı tespit edildi. Dosya imzalarına alttan ulaşabilirsiniz.

KDIAG, incl. patched files

49c708aad19596cca380fd02ab036eb2
9a587ac619f0184bad123164f2aa97ca
2e90763ac4413eb815c45ee044e13a43
b60e43d869b8d2a0071f8a2c0ce371aa
3d1da9b83fe5ef07017cf2b97ddc76f1
45d4f8b3ed5a41f830f2d3ace3c2b031
f2c434120bec3fb47adce00027c2b35e
8fc365663541241ad626183d6a48882a
6677722da6a071499e2308a121b9051d
a731270f952f654b9c31850e9543f4ad
b925ce410a89c6d0379dc56c85d9daf0
d7b647f5bcd459eb395e8c4a09353f0d
0bcb612e6c705f8ba0a9527598bbf3f3
ae962a624866391a4321c21656737dcb
83ac7fdba166519b29bb2a2a3ab480f8

Drivers

84c29dfad3f667502414e50a9446ed3f
46972ca1a08cfa1506d760e085c71c20
ff3e0881aa352351e405978e066d9796
4ea7a6ca093a9118df931ad7492cfed5
a8da5b44f926c7f7d11f566967a73a32
f046dc9e38024ab15a4de1bbfe830701
9a1a781fed629d1d0444a3ae3b6e2882

android patch
Google’ın Android Ekibi 11 RCE Zafiyetine Yama Yayınladı

Google’ın aralık ayı Android Güvenlik Bülteninde adeta RCE zafiyeti şöleni yaşandı. RCE zafiyetleri, Android güvenlik ekibi tarafından bulunan ve yamanan toplamda 53 kritik zafiyetin 11 tanesinde keşfedildi. Bulunan zafiyetlerin altısının, işletim sisteminin Media Framework ve sistem bileşenlerine bağlı RCE kusurları olduğu belirtildi.

Google, zafiyetlerin daha önceden keşfedilip, herhangi bir saldırıda kullanıldığına dair bir kanıtın veya haberin olmadığını belirtti. Zafiyetlere yönelik yamalar, Google’ın Pixel ve Nexus cihazlarına, Samsung, LG, HTC ve diğer önde gelen Android cihazlara uygulanabilmektedir.

Geçtiğimiz hafta içinde Android Güvenlik Ekibi tarafından yayınlanan güvenlik zafiyetlerinin en önemlileri , uzaktaki saldırganın sistem üzerinde isteğe bağlı kod çalıştırmasına imkan tanıyan RCE zafiyetleridir. Kritik CVE’lerle ilgili ek bilgiler henüz açıklanmadı.

Sonuç olarak, bulunan zafiyetlerin 42’si şiddetli yüksek zafiyetlerdir. Dokuz zafiyet ise hak yükseltme zafiyeti olarak belirtildi. Ayrıca farklı bir açıklamada CVE-2018-10840 kod numaralı hak yükseltme zafiyetinin sebebinin Android Kernel bileşenine (ext4 dosya sistemi) bağlı olduğunu ortaya çıktı.

edgechromium
Microsoft, Windows 10’daki Edge’i Değiştirmek için Chromium Tabanlı Tarayıcı Oluşturuyor

Microsoft’un 3 yaşındaki Edge web tarayıcısının, önemli yatırımlar ve sürekli iyileştirmelere rağmen Google Chrome’a karşı rekabet edemediği bir sır değil.

Söylentilere göre Microsoft, Edge’den vazgeçti ve yeni bir Chrome tabanlı web tarayıcısı oluşturdu, proje kod adı “Anaheim” olarak adlandırdı. Bu, Windows 10 işletim sisteminde Edge’i yeni varsayılan tarayıcısı olarak değiştirecek.

Şu anda Microsoft Web sitesinde Project California’dan bahsetmemesine rağmen (Kaliforniya’daki Anaheim Kongre Merkezi hariç), birçok yeni yerleşik tarayıcının Microsoft’un Insider Preview programının 19H1 geliştirme döngüsünde görünebileceğini düşünüyor.

Rapora göre, yeni tarayıcı Chromium tarafından kullanılan ve Microsoft’un kendi EdgeHTML motoru yerine Google’ın Chrome tarayıcısını kullanan Blink oluşturma motoru tarafından desteklenecek.

Chromium, web tarayıcı geliştiricileri arasında popüler olan ve aynı zamanda Vivaldi ve Opera tarayıcıları olan Google tarafından başlatılan açık kaynaklı bir Web tarayıcı projesidir. Eğer söylentiler doğruysa, bu yıl Chrome web tarayıcısının 10. yılını kutlayan Google, tarayıcı pazarında rakipsiz bir tekel kazanacaktır.

linux
Linux’da Bulunan Zaafiyet ile Yetkisiz Kullanıcıların Komut Çalıştırmasını Sağlıyor

PolicyKit’te fark edilen güvenlik açığı ile UID değeri 2147483647’den büyük olan kullanıcılar systemctl komutlarını kontrolsüz bir biçimde çalıştırabilmekte.

Ubuntu, Debian, Red Hat gibi birçok popüler Linux dağıtımında ön yüklü gelen PolicyKit, kullanıcıların cihaza USB yerleştirmek ya da kapatmak gibi işlemleri yapabilmeleri için yönetici yetkilerine sahip olmasını önlemek için kullanılmaktadır.

Rich Mirch isimli güvenlik araştırmacısının bulduğu güvenlik açığını kullanmak için sistemde INT_MAX değeri olan 2147483647’den (hexadesimal olarak 0x7FFFFFFF) büyük bir UID’ye sahip kullanıcıya sahip olmak gerekmekte. UID’si INT_MAX değerinden büyük olan kullanıcı oluşturulduğunda sistem gönderilen tüm systemctl izin vermektedir.

Şuanda güvenlik açığı için herhangi bir patch yayınlanmamış durumda. Sistem yöneticileri için önerimiz UID değerinin negatif veya INT_MAX değerinden büyük olmadığını patch yayınlanana kadar engellemeleri yönünde.

kubernetes
Kubernetes’deki Kritik Zaafiyet , Containerlar’a Kolayca Giriş Yapabilmeye İzin Veriyor

Konteyner uygulamalarının dağıtımı, ölçeklendirilmesi ve yönetimi için kullanılan açık kaynaklı sistem Kubernetes’te, geçtiğimiz günlerde privileged escalation(yetki yükseltme) güvenlik zaafiyeti bulundu. CVE-2018-1002105 standartı ile yayınlanan bu zaafiyet, saldırganın serbestçe veri çalmasına ,üretim uygulamalarını çökertmesine, uzaktan erişime izin verebiliyor.

Redhat zafiyetin, V1.10.11, v1.11.5 ve v1.12.3’ten önceki tüm Kubernetes sürümlerinde, kube-apiserver’daki proxy eklentileriyle ilgili yanıtların yanlış şekilde ele alınması sebebiyle kaynaklandığı belirtti.

Redhat şirketinin açıklamasına göre OpenShift Konteyner Platformunda bulunan bu yetki yükseltme zaafiyeti ile saldırgan, bilgisayar düğümündeki kapsüller arasında kolayca geçiş yapabilir.Hatta bu erişim ile birlikte tüm konteynerlara, kapsüllere, ortam değişkenlerine, çalışan kapsül / konteyner süreçlerine , ayrıcalıklı konteynerlar da dahil olmak üzere erişim sağlayabilir.

Ayrıca bu güvenlik açığı, OpenShift Container Platform’unun 3.6 ve sonraki sürümlerinde yetkilendirilmiş ve kimliği doğrulanmamış tüm kullanıcıların, sistemlerde API çağrıları yapmalarına izin verir.

Zaafiyetli sürümleri kullanmamak için Kubernetes v1.0.x – v1.9.x komutunu kullanılmamalıdır.Kubernetes v1.10.11, v1.11.5, v1.12.3 ,v1-13.0-rc.1 sürümlerine yükseltilmeli , OpenShift Container Platform’u kullanılıyorsa 3.7 ve sonraki sürümüne yükseltilmelidir.

adobe
Adobe Flash’da Zero Day Açığı Bulundu!

Siber güvenlik araştırmacıları, Adobe Flash Player’da yeni bir Zero-Day zafiyeti keşfettiler. Bilgisayar korsanlarının bu zafiyeti Rus devlet sağlık kurumlarına karşı aktif bir şekilde kullandığı ve birçok kez saldırdığı belirlendi.

CVE-2018-15982 olarak tanımlanan güvenlik açığı, Flash Player’da başarılı bir şekilde kullanıldığında, bir saldırganın hedeflenen bilgisayarda rasgele kod yürütmesine ve sonunda sistem üzerinde tam denetim kazanmasına izin verebiliyor.

Yeni keşfedilen Flash Player’ın Zero-Day zafiyeti, geçen hafta Ukraynalı üzerindeki bir IP adresinden çevrimiçi kötü amaçlı yazılım tarama hizmeti olan VirusTotal’a gönderilen kötü niyetli Microsoft Office belgeleri içinde bulundu.

Güvenlik açığından etkilenmemek için kullandığınız Adobe ürünlerini güncelleyebilirsiniz. Şirket geçtiğimiz günlerde yayımladıkları bir güncelleme ile açığı kapattıklarını belirtti.