VMware vSphere sistemleri için merkezi bir yönetim yazılımı olan vCenter Server’da ve VMWare ESXi servisinde bir dizi yeni zafiyet keşfedildi. vSphere servisinde bulunan CVE-2021-21972 kodlu zafiyet, vCenter Sunucusunda bulunuyor ve sistemde uzaktan komut çalıştırmaya izin veriyor.
CVE-2021-21972 kodlu zafiyet, Positive Technologies’de bir güvenlik araştırmacısı olan Mikhail Klyuchnikov tarafından keşfedildi ve VMware’e bildirildi. Zafiyet, vRealize Operations vCenter Plugin’deki kimlik doğrulama eksikliğinden kaynaklanıyor. Zafiyetin CVSSv3 puanı ise 9,8 (kritik) olarak açıklandı. Kimliği doğrulanmamış bir saldırgan, özel hazırlanmış bir dosyayı 443 numaralı port üzerinden, halka açık olarak erişilebilen bir vCenter sunucusu endpointine yükleyerek bu zafiyetinden yararlanabiliyor. Bu zafiyetten başarılı bir şekilde yararlanılması, bir saldırganın vCenter sunucusunun bulunduğu işletim sisteminde uzaktan komut çalıştırması ile sonuçlanabiliyor.
23 Şubat’ta VMware, zafiyeti gidermek için bir danışma belgesi (VMSA-2021-0002) yayınladı. Belgede ayrıca, vCenter Sunucusundaki bir Sunucu Tarafı İstek Sahteciliği (SSRF) zafiyeti olan CVE-2021-21973 ve VMware ESXi servisinde bulunan heap-overflow zafiyeti olan CVE-2021-21974 de ele alındı. CVE-2021-21972 ve CVE-2021-21973 zafiyetleri için en kısa sürede güncellemelerin yapılması önerilmektedir.
Telegram’daki ‘Kendini İmha Eden Mesajlar’ Silinmiyor!
Popüler mesajlaşma uygulaması Telegram, macOS uygulamasında bulunan ve kendi kendine kaybolan ses ve video mesajlarına kaybolduktan çok uzun süre sonra bile erişmeyi mümkün kılan bir zafiyeti düzeltti.
Zafiyet, 26 Aralık 2020 tarihinde siber güvenlik araştırmacısı Dhiraj Mishra tarafından, uygulamanın 7.3 sürümünde keşfedildi. Normal sohbet yoluyla bir sesli veya görüntülü mesaj gönderildiğinde uygulamanın, kaydedilen mesajı depoladığı dizin görüntülenebiliyor. Signal veya WhatsApp’ın aksine, kullanıcılar Telegram’da verilerin şifreli tutulmasını sağlayan “gizli sohbet” özelliğini aktifleştirmedikleri sürece, Telegram’daki konuşmalar varsayılan olarak uçtan uca şifrelenmiyor.
Gizli sohbet özelliğinin bir parçası olan kendi kendini imha eden mesajlar kullanıldığında dizin bilgisi açık edilmiyor ancak kaydedilen mesaj yine aynı dizinde depolanıyor. Kullanıcı, gizli sohbette kendi kendini imha eden bir multimedya mesajı aldığında, mesaj sohbet ekranında kaybolsa bile sistemde erişilebilir durumda kalıyor. Ayrıca Mishra; Telegramın macOS uygulamasında “/Users/<user_name>/Library/Group Containers/<*>.ru.keepcoder.Telegram/accounts-metadata/” dizini altında bulunan bir JSON dosyasında yerel parolaları düz metin olarak depolayan bir başka zafiyet bildirdi. Telegram zafiyeti, 29 Ocak’ta yayınlanan 7.4 sürümünde giderildi. Zafiyetin çözümü için uygulamanın en kısa sürede güncellenmesi önerilmektedir.
PAN-OS (Palo Alto Networks) Güvenlik Zafiyetleri
Palo Alto Networks yeni nesil güvenlik duvarı (NGFW), çeşitli siber saldırılara karşı koruma sağlamak için dünya çapında şirketler tarafından kullanılan önde gelen kurumsal güvenlik duvarlarından biridir. Kendi işletim sistemi olan “PAN-OS” üzerinde çalışır. Yakın zamanda PAN-OS üzerinde kritik güvenlik zafiyetleri tespit edildi.
CVE-2020-2037 koduyla anılan zafiyet, PAN-OS 9.1 < 9.3, PAN-OS 9.0 < 9.0.10, PAN-OS 8.1 < 8.1.16 sürümlerinde bulunuyor. Yüksek önem derecesine sahip zafiyet, sistemde rastgele komut çalıştırmaya izin veriyor. CVE-2020-2038 koduyla anılan zafiyet ise PAN-OS 10.0 < 10.0.1, PAN-OS 9.1 < 9.1.4, PAN-OS 9.0 < 9.0.10 sürümlerinde bulunuyor. Her iki zafiyet de firewall web yönetimi arayüzünde bulunuyor ve sisteme giriş yapan kullanıcının Command Injection zafiyetinden yararlanmasına izin veriyor.
CVE-2020-2039 koduyla anılan zafiyet ise PAN-OS 10.0 < 10.0.1, PAN-OS 9.1 < 9.1.4, PAN-OS 9.0 < 9.0.10, PAN-OS 8.1 < 8.1.16 sürümlerinde bulunuyor. Orta önem derecesine sahip zafiyet, kimliği doğrulanmamış olan herhangi bir saldırganın sunucudaki belirli bir dizine, herhangi bir boyutta rastgele dosya yüklemesine ve Servis Dışı Bırakma (DoS) saldırıları gerçekleştirmesine izin veriyor. Zafiyetin başarılı bir şekilde kullanılması sonucunda, Palo Alto Networks NGFW web yönetim paneli tamamen kullanılamaz hale gelebilir. CVE-2020-2036 koduyla anılan reflected XSS zafiyeti ise PAN-OS 9.0 < 9.0.9, PAN-OS 8.1< 8.1.16 sürümlerinde bulunuyor. Sistem üzerinde bulunan “/unauth/php/change_password.php” dosyası içerisinde bulunan bir değişkenin, herhangi bir filtrelemeden geçirilmeden kullanılması sonucu ortaya çıkıyor.
Palo Alto Networks tespit edilen zafiyetler için güncellemeler yayınladı. Güncellenmiş versiyonlara güvenlik danışma belgesinden ulaşılabilir. Etkilenen versiyonların en kısa sürede güncellenmesi önerilmektedir.
Windows’ta EoP Güvenlik Zafiyeti
Microsoft, Şubat 2021’de 56 adet zafiyet yayınladı. Bunlar arasında yer alan ve CVE-2021-1732 kodlu elevation-of-privilege (ayrıcalık yükseltme) zafiyetinden aktif olarak yararlanıldığı açıklandı. Zafiyetin CVSS puanı 7,8 olarak belirlendi.
Windows Win32k işletim sistemi çekirdeğinde bulunan CVE-2021-1732 kodlu zafiyet, bir ayrıcalık yükselme (EoP) zafiyetidir. Oturum açmış bir kullanıcının, özel olarak hazırlanmış bir uygulamayı çalıştırarak daha yüksek ayrıcalıklarla sahip olmasına olanak tanır. Başarılı saldırılar sonucunda, sistemde yüksek ayrıcalıklı komutlar çalıştırılabilir ve bir Windows sistemindeki en yüksek ayrıcalıklı kullanıcı olan SYSTEM ayrıcalıkları elde edilebilir. Güvenlik zafiyeti, Windows 10’u ve Windows Server 2016 ve üzeri sürümleri etkilemektedir.
CVE-2021-1732 ve diğer 55 zafiyete yönelik yamalar yayınlandı. Güvenlik zafiyeti bulunan sürümleri kullanan kullanıcıların mümkün olan en kısa sürede güncellenmiş sürümleri edinmeleri önerilir. Güncellemelerin tam listesine update adresinden ulaşılabilir.
Python’da Kritik RCE Zafiyeti
Python Software Foundation (PSF), Python’da bulunan kritik zafiyetler için yama yayınladı. Yayımlanan yamada CVE-2021-3177 kodlu Buffer Overflow ve CVE-2021-2336 kodlu Web Cache Poisoning zafiyetleri kapatıldı. Kapatılan zafiyetlerin birincisi olan Buffer Overflow zafiyetinin CVSS puanı 9.8 , Web Cache Poisoning zafiyetinin CVSS puanı ise 5.9 olarak belirlendi.
CVE-2021-3177 numaralı zafiyet Python dilinde bulunuyor ve Remote Code Execution’a (RCE) olanak sağlıyor. Python 3.x ile 3.9.1 arasındaki belli sürümler bu zafiyetten etkileniyor. Zafiyet “_ctypes/callproc.c” kütüphanesindeki “PyCArg_repr” fonksiyonundaki Buffer Overflow hatasından kaynaklanıyor. Zafiyetin asıl sebebi, sprintf() fonksiyonunun uzunluğunun kontrol edilmemesidir. Saldırgan bu zafiyetten yararlanarak, “ctype” kullanan uygulamalarda RCE saldırılarını tetikleyebilir ve yetkisiz komut çalıştırabilir. Ayrıca başarısız RCE saldırıları da DOS ile sonuçlanabilir.
İkinci zafiyet, CVE-2021-23336 kodu ile anılmaktadır ve 3.6.13’ten eski olan, 3.7.0’dan 3.7.10’a kadar, 3.8.0’dan 3.8.8’e kadar ve 3.9.0’dan 3.9.2’e kadar olan Python sürümlerini etkilemektedir. Zafiyet, urllib modülü içerisinde bulunan “urllib.parse.parse_qs” ve “urllib.parse.parse_qsl” fonksiyonlarında ortaya çıkmaktadır. Saldırgan, sorgu parametrelerini noktalı virgül (;) kullanarak ayırdığında sistemde yetkisiz komut çalıştırabilir. Yetkililer, bu zafiyetlerden etkilenmemek için python sürümlerinin Python 3.9.2 veya 3.8.8’e güncellenmesini önermektedir.
Microsoft’ta Hesapları Ele Geçirmeye İzin Veren Zafiyet Keşfedildi
Microsoft çevrimiçi servislerinde, herhangi bir Microsoft hesabının ele geçirilmesine izin veren bir güvenlik zafiyeti bulundu. Microsoft güvenlik ekibi sorunu düzeltti ve Identity Bounty Programının bir parçası olarak zafiyeti bulan Laxman Muthiyah’ı 50.000 $ ödüllendirdi.
Yakın zamanda Instagram hesaplarını ele geçirmesini sağlayan bir güvenlik zafiyeti keşfeden araştırmacı Laxman Muthiyah, diğer servislerde de benzer zafiyetler aramaktaydı. Araştırmacı, Microsoft’un da kullanıcıların parolalarını sıfırlamak için benzer bir teknik kullandığını fark etti.
Bir Microsoft hesabının parolasını sıfırlamak için, e-posta adresinin veya telefon numarasının ‘parolamı unuttum’ sayfasına girilmesi gerekir. Daha sonra ise güvenlik kodunu almak için kullanılabilecek e-posta veya cep telefonu numarasının seçilmesi istenir. Gönderdiği 7 basamaklı kodun HTTP POST isteğini inceleyen Laxman Muthiyah, kodun istekte şifrelenmiş bir şekilde yer aldığını gördü ve şifreleme tekniğini çözerek, kodun şifrelenmesi ve birden çok eşzamanlı istek gönderilmesi işlemlerini içeren süreci otomatikleştirdi. Sürekli olarak gönderilen istekler ilgili kullanıcı hesabının daha fazla deneme göndermesini engelliyordu. Ardından araştırmacı, eşzamanlı istekler göndermeyi denedi ve engellenmeden çok sayıda istek gönderebildiğini fark etti. Doğru olan da dahil olmak üzere yaklaşık 1000 adet yedi basamaklı kod gönderdi ve parolayı değiştirmek için bir sonraki adıma geçmeyi başardı.
2FA ile de aynı testleri gerçekleştiren araştırmacı, bunun daha zor bir işlem olduğunu ancak mümkün olduğunu söyledi. Zafiyet, Kasım 2020’de düzeltildi. Araştırmacı 9 Şubat 2021’de hackerone aracılığıyla 50.000 $ ödül aldı.