Haftanın Önemli Gelişmeleri

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

wordpress
 Wordpress Yorum Bölümünde Kritik Zafiyet

WordPress’te daha önce çok sayıda kritik güvenlik açığı bulunduğunu bildiren RIPS Technologies GmbH’dali siber güvenlik araştırmacısı olan Simon Scannell, içerik yönetimi yazılımında (CMS) uzaktan kod yürütme saldırılarına neden olabilecek yeni bir zafiyet olduğunu keşfetti.

Zafiyet, WordPress’in yorum bölümünde, varsayılan olarak etkin hale gelen temel bileşenlerinden biri olan ve 5.1.1 sürümünden önceki tüm WordPress kurulumlarını etkileyen, CSRF sorunundan kaynaklanmaktadır.

Scannell, sitelerdeki yorum bölümlerinde bulunan zafiyet ile ilgili, “Yorumlar, blogların temel bir özelliğidir ve varsayılan olarak etkin olduğunu göz önüne alırsak, güvenlik açığı milyonlarca siteyi etkilemektedir” diye belirtti. Scannell exploit yöntemini, “WordPress, bir kullanıcı yeni bir yorum gönderdiğinde CSRF doğrulamasını kullanmaz ve saldırganların bir yönetici adına yorum göndermesine izin vermektedir. Bir yönetici hesabı tarafından yayınlanan yorumlar sterilize değildir ve isteğe bağlı HTML etiketleri, hatta script etiketleri içerebilmektedir. Tüm bu eksiklikleri birleştirerek, bir saldırgan, oturum açmış bir yöneticiyi, web sitesini ziyaret etmesini sağlayarak hedef web sitesine bu yazılımı enjekte edilmesini başarmaktır.” şeklinde açıkladı.

Araştırmacıya göre, saldırgan daha sonra, WordPress şablonunu zararlı bir PHP dosyası içerecek şekilde doğrudan değiştirebilecek bir XSS payloadı enjekte ederek hedef WordPress web siteleri üzerinde tam bir kontrol bile sağlayabilmektedir. Scannell bu güvenlik açığını geçen yılın ekim ayında bildirdikten sonra, WordPress ekibi CSRF korumasını etkinleştirmek yerine yorum formunda yöneticiler için bir düzeltme yayınladı. Bununla birlikte, Scannell, bundan sonra, CMS ekibinin nihayet Çarşamba günü kararlı bir düzeltme ekiyle WordPress 5.1.1’i yayınladığını da belirtti. WordPress güvenlik güncelleştirmelerini varsayılan olarak otomatik yüklemektedir. Bununla birlikte, CMS’nizin otomatik güncellenmesi kapatılmışsa, yorumları geçici olarak devre dışı bırakmanız ve güvenlik düzeltme eki yükleninceye kadar yönetici oturumundan çıkmanız önerilmektedir.

Hackerlar, Pakistan Hükümeti’nin Pasaport Başvuru İzleme Sitesini Hacklemek için Scanbox Framework’ü Kullandı

Trustwave’deki güvenlik uzmanları, Pakistan hükümetinin web sitesinde yaşanan son veri ihlalleriyle ilgili bulgularını paylaştı. Saldırının, geçen hafta Kahire’deki Bangladeş Büyükelçiliğine çarpan bir başka saldırıya benzediğini açıkladılar.

Saldırganlar, ziyaretçilerin cihazlarıyla ilgili verileri çalmak ve ziyaretçilerin tuş vuruşlarını kaydetmek için Scanbox Javascript kodunu enjekte etmişler.
Uygulama sadece ana bilgisayardan veri toplar, daha sonrasında onu komut ve kontrol sunucusuna gönderir. Özellikle hedeflenen makinede çalışan uygulamaları ve daha sonra bir saldırgan tarafından belirli istismarlara hizmet etmek için kullanılabilecek bilgileri tespit edebilir.

Trustwave, Scanbox bulaşmasını keşfettiği gün, saldırganların 70 ziyaretçi hakkında bilgi aldıklarını ve yaklaşık üçte birinin giriş bilgilerini aldıklarını açıkladı.

“Son olaylar, hükümet sitelerinin güvenliği ile ilgili endişelere yol açıyor, özellikle de çevrimiçi sunulan hizmetlerin hassas bilgilere erişimini içeren durumlar. Bir APT’nin bakış açısından, Scanbox gibi bir araç potansiyel olarak daha ayrıntılı bir saldırının başlangıcı olacaktır ” diye belirtti Trustwave.

Mirai Botnet
Yeni Mirai Versiyonu Kurumsal IoT Cihazlarını Exploit Etmek için Yeni Yöntemler Barındırıyor

Güvenlik araştırmacıları, fazla yaygın olmayan Mirai IoT Botneti’nin yeni bir türünü keşfetti. Bu yeni versiyonda Mirai, yıkıcı DDoS saldırıları gerçekleştirmek ve daha büyük bant genişliği üzerinde kontrol sahibi olmak amacıyla kurumsal networklerde kullanım amaçlı gömülü aygıtları hedef alıyor.

Mirai Botnet’in geliştiricileri zaten tutuklanmış ve hapsedilmiş olsa da, Satori ve Okiru da dahil olmak üzere, kötü niyetli IoT kötü amaçlı yazılımlarının varyasyonları, 2016’dan bu yana, İnternet’teki kaynak kodunun kullanılabilirliği nedeniyle ortaya çıkmaya devam ediyor.

En son olarak, Palo Alto Network araştırmacıları, ilk kez WePresent WiPG-1000 Kablosuz Sunum sistemleri ve LG Supersign TV’ler de dahil olmak üzere kurumsal odaklı cihazları hedef alan en yeni Mirai türünü tespit ettiler. Bu yeni Mirai varyantı, çoklu exploit özelliğine 11 yeni özellik ekleyerek, internete bağlı cihazlara yönelik brute force saldırıları için “normalde kullanılmayan default credential’lar” seti de içinde bulunmak üzere toplamda 27 adet yeni özellik ekliyor.

Palo Alto araştırmacıları pazartesi günü yayınlanan bir blog yazısında “Bu yeni özellikler Botnet’e büyük bir saldırı yüzeyi kazandırıyor. Özellikle, kurumsal bağlantıları hedeflemek, DDoS saldırıları için Botnet’e daha fazla saldırı yüzeyi ile sonuçlanan daha büyük bant genişliğine erişimini de sağlıyor.” dedi.

LG Supersign TV’lerde (CVE-2018-17173) kodlu uzaktan kod yürütme istismarı geçen yıl Eylül ayında kullanıma sunulmuşken, WePresent WiPG-1000’de bulunan command-injection güvenlik açığından yararlanan saldırı kodu 2017’de yayınlanmıştı.

Bu iki istismarın yanı sıra, yeni Mirai versiyonu aynı zamanda aşağıdaki gibi gömülü donanımları da hedef alıyor:

  • Linksys yönlendiricileri
  • ZTE yönlendiricileri
  • DLink yönlendiricileri
  • Ağ Depolama Cihazları
  • NVR’ler ve IP kameralar
Sanal Alemde yeni tehlike: PirateMatryoshka

Kaspersky Lab araştırmacıları, dünyanın en popüler torrent takip sitesi Pirate Bay üzerinden yayılan yeni bir zararlı yazılım tespit etti.

Çok katmanlı yapısı, gizli ve neredeyse sonsuz sayıda işlevi nedeniyle klasik Rus oyuncağı matruşkalara benzetilen, “PirateMatryoshka” adı verilen zararlı yazılım ile torrent kullanıcılarının kimlik bilgileri çalınıyor.

Kullanıcıların bilgisayarlarına başka zararlı yazılımların kurulmasına yol açan araçlar ve reklam yazılımları yükleyen PirateMatryoshka, karmaşık ve çok işlevli yapısıyla dünyanın dört bir tarafındaki kullanıcıların bilgisayarlarına etkili bir şekilde yayılıyor.

Kaspersky Lab Güvenlik Uzmanı Anton Ivanov, daha geniş kitlelere yayılmak için kimlik avı bileşenine sahip, hedef gözetmeyen, geniş ölçekli bir saldırı için bunun epey gelişmiş bir yöntem olduğunu vurguladı.

Torrent takipçilerinin zararlı yazılımları yaymak için kullanılan en bilindik hedef olduğuna dikkati çeken Ivanov, “Siber suçlular zararlı yazılımları popüler programlar, oyunlar, medya dosyaları ve diğer talep gören içerikler gibi gösteriyorlar. Siber suçlular her zaman yeni dolandırıcılık yöntemleriyle karşımıza çıkıyor. Buradaki olayda kullanıcıların bilgisayarlarına reklam yazılımı kuran zararlı içerik, torrent takipçileri üzerinden dağıtılmış. Sonuçta, saldırıdan etkilenen torrent kullanıcıları, yalnızca sistemlerine reklam yazılımları veya zararlı yazılım bulaştırmakla kalmıyor, hesap bilgilerini de kaybediyor.” şeklinde konuştu.