Pulse Secure SSL VPN’in yeni sürümü üzerinde inceleme yapan güvenlik araştırmacıları, VPN’in en son sürümünde bulunan birden fazla zafiyetin bir arada kullanılarak, RCE (Remote Code Execution) güvenlik zafiyetine neden olabileceğini belirtti. Belirtilen RCE zafiyeti, sistemde herhangi bir giriş işlemi yapmamış bir saldırganın, sunucu üzerinde uzaktan kod çalıştırabilmesine neden oluyor. RCE zafiyeti Pulse Secure SSL VPN’in yönetim panelinin “downloadlicenses.cgi” dosyasında bulunuyor.
Keşfedilen bu zafiyet, bir saldırganın yönetici web arayüzü aracılığıyla rastgele kod yürütme işlemini gerçekleştirmek için bir URL oluşturmasına olanak tanıyor. Admin yetkilerine sahip bir saldırgan, URL’deki “cmd” parametresini “download” değeriyle değiştirerek zafiyeti tetikleyebiliyor. Daha sonra yapılan diğer işlemler, saldırganların “cmd” değişkenini sistem fonksiyonlarının yardımıyla bir shell komutu olarak çalıştırmasına olanak sağlıyor. Bu sayede, “Setcookie.cgi” dosyası üzerindeki hata çıktısı değiştirilebiliyor ve “Setcookie.cgi” çalıştırıldığı zaman, değiştirilmiş önbellek dosyası çalıştırılarak uzaktan kod çalıştırma işlemi başarıyla gerçekleştirilmiş oluyor.
Sistemi kullanan bir kullanıcıya yapılan “phishing” (oltalama) saldırısı ile zafiyetin tetiklenebilmesi, bu güvenlik zafiyetinin kritikliğini gözler önüne seriyor. Güvenlik zafiyetini tespit eden araştırmacılar, bulunan diğer güvenlik açıklarını, ilerleyen günlerde GoSec sanal konferansında bir sunum ile anlatacaklarını belirttiler.
Google Chrome’da Kritik Güvenlik Açığı Keşfedildi!
En popüler web tarayıcılarından biri olan Google Chrome’da Code Execution güvenlik açığı tespit edildi. CVE-2020-6492 kodlu güvenlik açığının başarılı bir şekilde tetiklenmesi, bir saldırganın rastgele kod çalıştırmasına olanak veriyor. CVSS puanı 10 üzerinden 8.3 olan güvenlik açığı, kullanılan WebGL bileşeninin bellekteki nesneleri düzgün bir şekilde işleyememesinden kaynaklanıyor. WebGL, kullanıcıların tarayıcılarında 2D ve 3D grafikler oluşturmalarına olanak veren bir JavaScript API’dır.
Güvenlik açığı, Google Chrome 81.0.4044.138 (Stable), Google Chrome 84.0.4136.5 (Dev) ve Google Chrome 84.0.4143.7 (Canary) sürümlerini etkiliyor. Ayrıca güvenlik açığının diğer projeler tarafından Windows’ta kullanılan OpenGL ve Direct3D arasındaki uyumluluk katmanı olan ANGLE katmanını da etkilediği belirtiliyor. Güvenlik açığından etkilenmemek için Google Chrome tarayıcısının son sürüme yükseltilmesi gerekmektedir.
Slack Masaüstü Uygulamasında RCE Zafiyeti
Slack masaüstü uygulamasında Cross-Site Scripting (XSS) ve HTML Injection zafiyetleri keşfedildi. Bu zafiyetlerin, hedef sistem üzerinde uzaktan komut çalıştırmaya neden olduğu ve saldırganların hedef sistem üzerinde tam kontrol sağlamalarına olanak verdiği belirtildi. Ayrıca güvenlik raporuna göre, zafiyetten yararlanan saldırganların Slack’in bağlı bulunduğu ağa dahil olabilecekleri belirtildi.
HackerOne platformundan “oskarsv” tarafından yayınlanan yazıya göre, saldırganların XSS ve HTML Injection zafiyetlerinden yararlanarak Slack masaüstü uygulaması aracılığıyla hedef sistem üzerinde komut çalıştırabildikleri belirtiliyor. Saldırganlar zafiyetten yararlanmak için, ilk olarak kendi zararlı HTTPS sunucularına zararlı bir payload dosyası yerleştiriyorlar. Bu payload’a işaret eden URL adresini içeren bir Slack gönderisi hazırlayan saldırganlar, gönderiyi bir Slack kullanıcısına veya Slack kanalı üzerinden tüm kullanıcılara göndererek, kullanıcıların gönderiye tıklamaları sonucunda hedef sistemde komut çalıştırabiliyorlar.
Belirtilen zafiyetler, Slack 4.4 ve önceki tüm sürümleri etkiliyor. Zafiyetlerden etkilenmemek için Slack uygulamasının en kısa sürede güncellenmesi önerilmektedir.
İranlı Hackerlar Kurbanlarını Kandırmak İçin Gazeteci Kılığına Giriyor
Hükümetleri, savunma teknolojilerini ve orduları hedeflediği bilinen İranlı siber casusluk grubu, LinkedIn ve WhatsApp aracılığıyla hedef cihazlara zararlı yazılım bulaştırmak için gazetecileri taklit ediyor. “Charming Kitten” adıyla bilinen grubun hedef cihazlara zararlı yazılım bulaştırmak için, ‘Deutsche Welle’ ve ‘Jewish Journal’ kimliğine bürünerek WhatsApp veya e-posta üzerinden hedef kullanıcıları zararlı bağlantıları açmaya ikna ettiği belirtiliyor.
Saldırganlar hedef kullanıcı ile kısa bir görüşme yaptıktan sonra, konuşmayı ilk olarak WhatsApp’a taşımak istiyor. Hedef kullanıcı bu isteği reddederse, saldırganlar bu kez sahte bir LinkedIn hesabından mesaj göndermeyi deniyor.
APT35, Parastoo, NewsBeef ve Newscaster takma adlarıyla da bilinen Charming Kitten grubunun daha önce (en azından Aralık 2017’den beri) insan hakları aktivistlerinden, akademik araştırmacılardan ve medya kuruluşlarından hassas bilgileri çalmak amacıyla yürütülen bazı gizli kampanyalarla bağlantılı olduğu da biliniyor.