Haftanın Önemli Gelişmeleri

Brandefense ile siber saldırılara karşı önlem alın!

Exim’de Uzaktan Kod Çalışmaya İzin Veren Kritik Zafiyet
Exim’de Uzaktan Kod Çalışmaya İzin Veren Kritik Zafiyet

Popüler açık kaynaklı Exim e-posta sunucusu yazılımında, en az yarım milyondan fazla e-posta sunucusunu hackerlara karşı savunmasız bırakan kritik bir uzaktan kod çalıştırma güvenlik açığı keşfedildi.

Bugün Exim geliştiricileri, erken bir uyarı yayınladıktan sonra Exim sürüm 4.92.2’yi piyasaya sürerek, sistem yöneticilerine e-posta sunucusu yazılımının güncellemelerinin nasıl yapılacağı hakkında bilgiler verildi.

Exim, e-posta sunucularının neredeyse %60’ını çalıştıran Linux, Mac OSX veya Solaris gibi Unix benzeri işletim sistemleri için geliştirilen ve yaygın olarak kullanılan, açık kaynaklı bir posta aktarım aracı (MTA) yazılımıdır.

CVE-2019-15846 olarak yayınlanan güvenlik açığı, yalnızca TLS bağlantılarını kabul eden Exim sunucularını etkiliyor. Potansiyel olarak saldırganların sisteme kök(root) düzeyinde erişim kazanmalarına imkan sağlıyor. Bahsi geçen açık ilk TLS isteği sırasında SNI alanına ters eğik çizgi (\) eklenmesi ile ortaya çıkıyor.

SNI, tek bir IP adresi altında birden fazla site için birden fazla TLS sertifikasını güvenli bir şekilde barındırmasına olanak tanıyan, TLS protokolünün bir parçasıdır.

Exim ekibine göre, güvenlik açığı sunucu tarafından kullanılan TLS kütüphanesine bağlı olmadığından, hem GnuTLS hem de OpenSSL etkileniyor.

Ayrıca, Exim posta sunucusu yazılımının varsayılan yapılandırması TLS etkin olarak gelmese de, bazı işletim sistemleri, Exim’i varsayılan olarak TLS bağlantılarını kabul edecek şekilde yapılandırdı ve yayınladı.

Güvenlik açığı, Zerons takma adını kullanan ve Qualys’teki siber güvenlik uzmanları tarafından keşfedildi.

Qualys bu zafiyet için kanıt (PoC) bulunduğunu, ancak şu anda halka açık bilinen bir istismarın olmadığını söylüyor.

Sistem yöneticilerine en son Exim 4.92.2 sürümünü hemen yüklemelerini öneriyoruz ancak bu güncellemeleri yapmaları mümkün değilse, mevcut exim sürümüne yama yapmaları ve TLS bağlantılarını kabul etmesine izin vermemeleri gerekiyor.

Metasploit, Bluekeep için Exploit Yayınladı
Metasploit, Bluekeep için Exploit Yayınladı

Metasploit penetrasyon testi frameworkünün geliştiricileri, BlueKeep Windows güvenlik açığı için bir exploit yayınladı. Diğer güvenlik araştırmacıları, önceden tanımlanmış BlueKeep kavram kanıt kodunu yayınlarken, bu exploit, uzak sistemler üzerinde kod çalıştırmayı sağlamaktadır.

CVE-2019-0708 olarak da bilinen BlueKeep, Windows işletim sisteminin daha eski sürümlerinde (Windows XP, Windows 2003, Windows 7, Windows Server 2008 ve Windows Server 2008 R2) Uzak Masaüstü Protokolü (RDP) hizmetindeki bir güvenlik açığıdır. Microsoft, 14 Mayıs’ta yayınlanan Mayıs 2019 güvenlik güncellemsinde BlueKeep’i yamadı ve kullanıcılara en kısa zamanda sistemlerini güncellemeleri konusunda uyardı. O sırada, OS üreticisi BlueKeep’i, EternalBlue’nun 2017’deki WannaCry fidye yazılımının milyonlarca bilgisayara yayılmasına yardım etmesine benzer şekilde kendi kendine yayılabilecek “zararlı” bir güvenlik açığı olduğunu açıkladı.

Çeşitli siber güvenlik firmaları ve güvenlik araştırmacıları BlueKeep için exploit geliştirdi, ancak hepsi sonuçlarından korktuğu için kodu public etmeyi reddetti. Temmuz ayında, infosec topluluğu, Immunity Inc. adlı bir siber güvenlik şirketi özel bir BlueKeep exploiti satmaya başladı. Ancak, exploit hiçbir zaman sızdırılmadı. Dün yapılan açıklamaya göre de Metasploit, bluekeep için exploit yayınladı.

Fakat hala 700.000 binden fazla bilgisayarın bu zafiyeti barındırdığı tahmin edilmektedir. Bu nedenle herhangi bir saldırıdan sistemlerini korumak için ivedilikle sistemlerinizi güncellemeniz önerilmektedir.

facebook
Facebook’da Veri Sızıntısı

Güvenlik araştırmacısı Sanyam Jain, Facebook kullanıcılarına ait 419 milyon telefon numarası içeren korumasız bir sunucuyu ortaya çıkardı. Etkilenen kullanıcılar arasında ABD’den 133 milyon, İngiltere’den 18 milyon insan var. Dün açıklanan sızıntı sayılarına göre sızıntının, toplamda 87 milyon kişiyi etkileyen Cambridge Analytica sızıntısından beş kat daha fazla kişiyi etkilediği belirtildi.

Facebook kanadından ise veri ihlali ile ilgili “1 yıllık telefon numaraları gerçeği yansıtmıyor olabilir, ayrıca verilerin kötü amaçlı kullanıldığına dair bir tespitimiz yok” şeklinde açıklama geldi. Fakat Jain, aynı zamanda çoğu telefon numarasının Facebook id ile eşleştirilmiş bir şekilde bulunduğunu belirtti. Bu nedenle saldırgan, kullanıcının bütün kişisel bilgilerine erişebilmektedir.

Mayıs ayında, Facebook’un Instagram hizmeti de veri ihlali yaşamıştı ve 49 milyon kullanıcının verileri sızdırılmıştı. O sırada, Facebook bir kez daha sorunu küçümsemişti ve verilerin kötü amaçlı kullanıldığına dair hiçbir kanıt bulamadığını söylemişti.

Facebook, üçüncü tarafların kullanıcı verilerine nasıl erişebileceği konusunda geçen yıl bazı değişiklikler yaptığını ve bunun veri sızıntısını önlemede yardımcı olduğunu söyledi. Bununla birlikte, şirketin bu kısıtlamalara yeterince önem vermediği anlaşılmaktadır, çünkü kullanıcı verileri hala çeşitli üçüncü taraflara sızdırılmaktadır.

GooglePlay’de Casus ve Premium Abonelik Botu
GooglePlay’de Casus ve Premium Abonelik Botu

Şimdiye kadar, toplamda 472.000’den fazla kuruluma sahip 24 uygulama tespit edildi. Kötü amaçlı yazılımı “Joker” adıyla reklam web siteleriyle etkileşimi sessizce simüle eden ikinci bir aşama bileşeni sunuyor, mağdurun SMS mesajlarını, iletişim listesini ve cihaz bilgilerini ele geçiriyor.

Bot web siteleriyle otomatik etkileşim, tıklama simülasyonunu ve premium hizmet abonelikleri için yetkilendirme kodlarının girilmesini sağlıyor. Bu strateji, premium teklifin web sayfasıyla gerekli etkileşimi otomatikleştirerek, operatörün teklif kodunu, SMS mesajı bekleyerek ve normal ifadeler kullanarak çalışmaktadır. Son olarak, Joker premium aboneliği yetkilendirmek için çıkarılan kodu web sayfasına iletmektedir.

Joker kötü amaçlı yazılımı yalnızca hedeflenen ülkelere saldırmaktadır. Etkilenen uygulamaların çoğu, Mobil Ülke Kodları’nın bir listesini (MM) içeriyor ve mağdurun ikinci aşamadaki taşıma yükünü almak için bu ülkelerin birinden bir SIM kart kullanmasını gerektiriyor. Keşfedilen uygulamaların çoğu AB ve Asya ülkelerini hedef almaktadır. Ancak bazı uygulamalar sayesinde herhangi bir ülkeden de kullanıcılar etkileniyor. Keşfedilen uygulamaların çoğunun, ABD veya Kanada’da çalışırken yükün yürütülmeyeceğinden emin olmayı sağlayan ek bir çek sistemi bulunuyor. C&C panelinin kullanıcı arayüzü ve bazı bot kod açıklamaları, -coğrafi nitelik açısından ipucu olabilecek- Çince dilinde yazıldığı görüntülendi.

Hedeflenen 37 ülkenin tam listesi: Avustralya, Avusturya, Belçika, Brezilya, Çin, Kıbrıs, Mısır, Fransa, Almanya, Gana, Yunanistan, Honduras, Hindistan, Endonezya, İrlanda, İtalya, Kuveyt, Malezya, Myanmar, Hollanda, Norveç, Polonya, Portekiz, Katar, Arjantin, Sırbistan, Singapur, Slovenya, İspanya, İsveç, İsviçre, Tayland, Türkiye, Ukrayna, Birleşik Arap Emirlikleri, İngiltere ve Amerika Birleşik Devletleri olarak açıklandı.

PHP Programlama Dilinde Birden Çok Kod Çalıştırma Hatası Bulundu
PHP Programlama Dilinde Birden Çok Kod Çalıştırma Hatası Bulundu

PHP programlama dilinin geliştiricileri yakın zamanda, uzaktan saldırganların rasgele kod çalıştırmasına ve hedeflenen sunucuları tehlikeye sokmasına izin verebilecek, çekirdek ve kütüphanelerde bulunan birden fazla kritik güvenlik açığını gidermek için PHP’nin en son sürümlerini yayınladı.

Genellikle PHP olarak bilinen Hypertext Preprocessor, günümüzde İnternet’in yüzde 78’inden fazlasına güç veren en popüler sunucu taraflı web programlama dilidir. Güncellemeden önce, bir PHP uygulamasında, etkilenen kod tabanının türüne, oluşumuna ve kullanımına bağlı olarak, zafiyetin istismar edilmesi sonucunda saldırgan, etkilenen uygulama bağlamında rasgele kod çalıştırabilmektedir. Öte yandan, istismar girişimlerinin başarısız olması, etkilenen sistemlerde hizmet reddi durumuna(DoS) da neden olabilmektedir. Güvenlik açıkları, WordPress, Drupal ve Typo3 gibi popüler içerik yönetim sistemleri tarafından desteklenen web siteleri de dahil olmak üzere, PHP’yi kullanan binlerce web uygulamasında uygulanabilir.

Uzaktaki bir saldırgan, bu kusurdan etkilenen bir web uygulamasına özel hazırlanmış bir kod parçası ekleyerek, potansiyel olarak kod çalıştırmaya veya bilgilerin açığa çıkmasına neden olabilir. Red Hat bu güvenlik açığını açıklayan güvenlik raporunda, “Saldırgan, onig_new_deluxe() tarafından ele alınan multi-byte kodlamaya sahip bir çift regex deseni ve bir dize sunuyor.” şeklinde belirtti.

İyi haber şu ana kadar saldırganlar tarafından dış ortamlarda istismar edilen bu güvenlik açıklarının hiçbiri hakkında bir rapor bulunmamaktadır. PHP güvenlik ekibi son versiyonlardaki güvenlik zafiyetlerini ele aldı. Bu nedenle, kullanıcılara, sunucularını en son PHP 7.3.3, 7.2.22 veya 7.1.32 sürümüne yükseltmeleri şiddetle tavsiye edilir. Eğer sizde kurumunuzda PHP’nin eski versiyonunu kullanıyorsanız ve henüz güncellemediyseniz, ivedilikle güncellemeniz önerilmektedir.

Twitter CEO’su Hacklendi ve SMS Tweet Özelliği Devre Dışı Bırakıldı
Twitter CEO’su Hacklendi ve SMS Tweet Özelliği Devre Dışı Bırakıldı

Twitter CEO’su Jack Dorsey’in hesabı geçtiğimiz haftalarda hacklendi. SMS aracılığıyla tweet paylaşan hackerlar ırkçı ve saldırgan içeriklerle Dorsey’in takipçilerini şaşırttı. Bunun üzerine “SMS ile Tweetleme” adı verilen özellik geçici olarak kapatıldı. Bu özellik sayesinde kullanıcılar, Twitter hesaplarıyla ilişkili cep numaralarından “Twitter Kısa Kodu” içeren mesajlarını operatörleri aracılığıyla sosyal medya platformunda paylaşabilmektedir.

“SMS ile Tweetleme” özelliği ülkemizde de kullanılmaktadır. “Twitter Kısa Kodu” için farklı operatörlerin kodları Twitter destek sayfasından erişime açıktır.

“Chuckling Squad” adıyla bilinen hacker grubu, Amerika’nın çok uluslu telekomünikasyon şirketi olan AT&T çalışanını sosyal mühendislik yöntemiyle istismar etti ve Twitter CEO’su Jack Dorsey’in telefon numarasına erişti. “SIM Swapping” adı verilen saldırı yöntemini kullanan saldırganlar, bir başkası ile ilişkilendirilmiş cep telefonu numarasını kopyalama tekniğini uyguladı.

Saldırganlar “SIM Swapping” tekniğini kullanırken genellikle iki faktörlü doğrulama (2FA) zayıflığına odaklanmaktadır. Keşfedilen zayıflığın sonucunda dolandırıcılık işlemleri için ciddi derecede koz elde edilmektedir. Yaşanan bu olayda da görüldüğü gibi saldırganların edindiği bu koz, sosyal mühendislik saldırılarında kullanılmaktadır.

Twitter’ın yaptığı açıklamaya göre SMS ile Tweet özelliği geçici olarak devre dışı bırakıldı ve şirket kimlik doğrulama yöntemlerini geliştireceğini açıkladı. AT&T firmasının da saldırıdan etkilendiğinin altı çizildi. Kurum içerisindeki personellerin siber saldırıların bilincinde olmaları gerektiği bir kez daha önemini kanıtladı.

Kripto Para Sektörünü Sarsan Hack Saldırısı
Kripto Para Sektörünü Sarsan Hack Saldırısı

Türkiye kripto para sektörü, günlerdir borsa hack saldırısı ile uğraşıyor. Geçtiğimiz aylarda hack saldırısına uğrayıp kepenk kapatan Bayebit’in ardından, şimdi de bir başka Türkiye menşeili borsa Bitexlive, hack saldırısına uğradığını açıkladı.

Borsadaki yetkililer tarafından yapılan açıklamaya göre, hack saldırısının yaşandığı ve bu zararın 6 bin dolardan fazla olduğunu teyit edildi. Hack saldırısından kaynaklı olarak da borsanın şu anda operasyonlarını geçici olarak durdurduğu belirtildi. Hack saldırılarından sonra borsadan LTC, ETH, VITAEve XRP gibi kripto paraların çalındığı bilgisi, kamuoyu ile paylaşıldı.

Yetkililer tarafından yapılan açıklamada çalınan coinlerin Coinbase hesabına transfer edildiği de ifade edilirken Bitexlive yetkilileri, Coinbase ile iletişime geçmeye çalıştıklarını fakat şu ana kadar herhangi bir yanıt alamadıklarını ifade etti.

Bitexlive yetkilileri yaşanan bu hack saldırısında fonları çalınan müşterilerinin hiçbir şekilde zarar görmeyeceğini belirtti. Yetkililer, hack saldırısının ön ve arka yüzü tamamen aydınlatılana kadar sistemi çalıştırmayacaklarını da belirtti.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri