Haftanın Önemli Gelişmeleri – 52. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

facebook
Facebook’da Veri Sızıntısı

Geçtiğimiz günlerde güvenlik araştırmacısı Bob Diachenko, Comparitech ile birlikte, güvenli olmayan bir veritabanında 267 milyondan fazla Facebook kullanıcı kimliği, telefon numarası ve kullanıcı adı keşfettiğini açıkladı. Yaşanan veri sızıntısının, Vietnam’daki bir grup hacker tarafından yasadışı faaliyetlerin sonucunda ve ek olarak Facebook API’nin kötüye kullanılması sonucunda ortaya çıktığı düşünülmektedir. Açıklanan veriler, hackerlar tarafından büyük ölçekli SMS spam ve phishing kampanyaları yapmak için kullanılabilir.

Veri ihlalinin toplamda 267.140.436 kayıt içerdiği ve etkilenen kullanıcıların çoğunun ABD’den olduğu tespit edilmiştir. Facebook verilerinin 12 Aralık’tan bu yana hacker forumlarında yayınlandığı görülmüştür. Veri sızıntısına ilişkin raporun gönderildiği ve 19 Aralık’ta veritabanının kapatıldığı bilinmektedir.

Hackerların verileri nasıl elde ettiğiyle ilgili net bir bilgi bulunmamaktadır. Ancak güvenlik araştırmacısı Diachenko olası senaryoları raporunda paylaşarak, ilk senaryoda saldırganların geliştiriciler tarafından verilere (arkadaş listesi, fotoğraflar, gruplar gibi) erişmek için Facebook API’dan yararlandığını açıkladı. İkinci bir saldırı senaryosunda ise saldırganların bir güvenlik açığından yararlanmış olabileceği paylaşıldı.

Facebook’tan yapılan açıklamaya göre, şirketin süreci araştırdığı ve verilerin 2018’den önce sızdırıldığı söylendi.

drupal vulnerability
Drupal Kritik Zafiyetlerine Yama Yayınlandı

Drupal geliştiricileri, ciddi bir dosya işleme sorunu da dahil olmak üzere çeşitli güvenlik açıklarını ele alan 7.69, 8.7.11 ve 8.8.1 sürümlerini yayımladı. Güvenlik açığı, Drupal ekibinden Jasper Mattsson tarafından bildirildi.

En kritik zafiyetin, Archive_Tar f kütüphanesi ile ilgili olduğu paylaşılmıştır. Archive_Tar, PHP’de TAR arşiv dosyalarını yüklemek için tasarlanmış bir araçtır. Zafiyet ise Drupal 7x, 8.7.x ve 8.8.x sürümlerini etkilemektedir. Güvenlik açığının, kötüye kullanılması durumunda saldırganın zararlı yazılım içeren bir tar dosyasını yüklemesine ve hedeflenen bir sunucudaki sistem dosyalarının üzerine yazmasına olanak sağlamaktadır.

Bu kritik güvenlik açığının yanı sıra, Drupal geliştiricileri, Core yazılımında, kısa ayrıntıları aşağıda açıklanan “orta derecede kritik” güvenlik açıklarını da paylaştı:

  • Hizmet Reddi (DoS): Drupal 8 Core tarafından kullanılan install.php dosyası, önbelleğe alınmış verilerini bozarak hedeflenen bir web sitesinin kullanılabilirliğini bozmak için saldırgan tarafından yararlanılabilecek bir kusur içermektedir.
  • Yetkisiz Erişim: Bu güvenlik açığı, Drupal’ın varsayılan Medya Kitaplığı modülünde, belirli kısımlardaki erişimleri doğru şekilde kısıtlamadığında ortaya çıkmaktadır. Bu nedenle, düşük yetkili bir kullanıcının erişemeyeceği hassas bilgilere erişim kazanmasına izin vermektedir.

Geliştiricilere göre, etkilenen web sitesi yöneticileri, / admin / config / media / media-library’deki “Advanced UI etkinleştir” onay kutusunun işaretini kaldırarak erişim ortamını atlar ve güvenlik açığını azaltabilir, ancak bu önlem 8.7.x’de mümkün değildir.

Yukarıdaki “orta derecede kritik” güvenlik açıklarının tümü, Drupal 8.7.11 ve 8.8.1 versiyonlarının piyasaya sürülmesiyle düzeltilmiştir. Drupal’ın güvenlik açığı olan sürümlerini çalıştıran kullanıcıların kısa zamanda en son Drupal çekirdek sürümüne güncellemesi gerekmektedir.

TP-Link Archer Model Routerlarda Zero Day Keşfedildi
TP-Link Routerlarda Zero Day Keşfedildi

TP-Link geçen hafta yaptığı açıklamada kritik bir zero day güvenlik zafiyetinin giderdiğini açıkladı. CVE-2017-7405 olarak numaralandırılan zafiyet, saldırganların uzaktan kontrolü ele geçirmelerini sağlamaktadır. Zafiyetin istismarı sırasında telnet bağlantısı aracılığıyla kimlik doğrulama olmadan router’a giriş yapılabileceği tespit edilmiştir.

IBM X-Force Red’den Grzegorz Wypych, yaptığı açıklamada “Bu, daha önce fark edilmeyen ve hem ev hem de iş ortamlarını etkileyebilen bir zafiyettir.” demiştir. Yapılan açıklamada Eğer router üzerinde bu güvenlik zafiyeti varsa, uzaktaki bir saldırganın bu router üzerinde yerel alan ağındaki(LAN) router’a telnet aracılığıyla erişim elde etmesine ve LAN veya geniş alan ağı (WAN) üzerinden FTP sunucusuna bağlanmasına olanak sağlanabileceğini açıklanmıştır.

Açıklanan zafiyette, router’a, saldırgan tarafından beklenen dizi uzunluğundan daha uzun bir HTTP isteği gönderilerek, parolanın tamamen geçersiz kalmasına ve boş bir değerle değiştirilmesine neden olduğu için izinsiz giriş yapılabildiği tespit edilmiştir.

Bu zafiyetin bulunduğu yönlendiricilerin özellikle kurumsal iş ağlarında yarattığı risklerin daha büyük olabileceği düşünülmektedir. TP-Link, Archer C5 V4, Archer MR200v4, Archer MR6400v4 ve Archer MR400v3 yönlendiricileri için güvenlik yamalarının piyasaya sürülmesiyle birlikte, ivedilikle sistemlerinizdeki gerekli güncellemeleri yapmanız önerilmektedir.

RavnAir Havayolu Siber Saldırı Sonucu Uçuşlarını İptal Etti
Ünlü Havayolu Şirketine Siber Saldırı

RavnAir havayolu geçtiğimiz günlerde siber saldırıya maruz kaldığını, saldırı sonrasında Cumartesi günü Alaska’da en az yarım düzine uçuşunu iptal etmek zorunda kaldığını ve yaklaşık 260 yolcunun bu durumdan etkilendiğini açıkladı. Şirket, saldırının uçakların bakım sistemini etkilediğini, bu nedenle uçuşlarını iptal etmek zorunda kaldığını açıkladı.

Şirket sözcüsü Debbie Reinwand’a göre İptal edilen uçuşlardan yaklaşık 260 yolcu etkilendi. Şirket, yazılı bir bildiride, “Dash 8 model uçakların kullanıldığı tüm uçuşlar öğlene kadar iptal edilmiştir, çünkü yapılan siber saldırı bakım sistemlerimizi ve sistem yedekleme servislerimizi durdurmuştur.” açıklamasını yaptı.

RavnAir, Alaska’da 100’den fazla gruba hizmet veren bölgesel bir şirkettir, hizmet verdiği bölgelerde bazı durumlarda servis alanlarına karayoluyla erişilemez, bu da bu hava yolunu daha kritik bir konuma getirmektedir.

Havayolu şirketi, olayı başta FBI ve şu anda siber saldırıyı araştıran diğer yetkililere bildirdiğini, ayrıca sistemi geri yüklemek için bir siber güvenlik firması kiraladığını ve uçuş programlarının aynı günün akşamında normale döndüğünü açıklamıştır.

WAGO Mantık Denetleyicilerinde Kritik Güvenlik Açıkları Tespit Edildi
Wago’da Kritik Güvenlik Zafiyetleri Tespit Edildi

Geçtiğimiz günlerde Cisco Talos araştırmacıları tarafından keşfedilen, WAGO programlanabilir mantık denetleyicileri üzerindeki (PLC) kritik güvenlik açıklarının, rastgele kod yürütme ve hizmet reddi (DoS) saldırılarında kullanılabileceği açıklandı.

Cico Talos tarafından bulunan tüm zafiyetlerin; WAGO, PFC100 ve PFC200 serisi PLC üzerinde kullanılan I / O konfigürasyon protokolünü etkilediği açıklandı.

Talos tarafından keşfedilen toplam dokuz güvenlik açığından sekizine, kritik önem kategorisine göre 9.8 veya 10 CVSS puanları verilmiştir. Kalan zafiyetler, sadece bilgi toplamak için kullanılabilir olduğundan zafiyetlerin orta kritiklik düzeyinde olduğu belirtilmiştir.

Birçoğu buffer overflow nedeniyle oluşan kritik güvenlik açıklarının, uzaktaki bir saldırganın aygıtta rastgele kod yürütmesine veya özel hazırlanmış paketler göndererek DoS saldırısına neden olabileceği görülmektedir. DoS zafiyetlerinden birinin, saldırılan cihazın fabrika ayarlarını geri yüklemesine fırsat verdiği bunun sonucunda cihazın kontrolünün saldırgana geçebileceği tespit edilmiştir.

Etkilenen PLC’leri kullanan kuruluşların, I/O-Check hizmeti tarafından kullanılan portları (6626) devre dışı bıraktığında saldırıların önlenebileceği belirtilmiştir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri