Siber Güvenlik Bülteni #81 – Önemli Zafiyetler

Siber güvenlik araştırmacıları, Dell Client BIOS’da bulunan BIOSConnect özelliğini etkileyen ve etkilenen aygıtın BIOS/UEFI düzeyinde rastgele komut çalıştırmasına izin verebilecek bir dizi güvenlik zafiyetini açıkladı. Eclypsium araştırmacıları, “Saldırgan, uzaktan komut çalıştırma yeteneğine sahip olduğundan, bu zafiyeti işletim sistemini bozmak için kullanabilir. Zafiyet, cihaz üzerinde neredeyse sınırsız kontrol sağlıyor” şeklinde yorum belirttiler.

Zafiyetler, dizüstü bilgisayarlar, masaüstü bilgisayarlar ve tabletlere yayılan 128 Dell modelini etkiliyor bu da tahminiolarak toplamda 30 milyon ayrı cihaza ulaşmakta. Zafiyetler ayrıca Secure Boot özelliği aktif edilmiş bilgisayarları da etkilediğini belirtmek isteriz.

CVE-2021-21571 (CVSS puanı: 5.9) kodlu ilk zafiyet, Dell BIOSConnect özelliği ve Dell HTTPS Boot özelliği tarafından desteklenen Dell UEFI BIOS HTTPS yığınında bulunan hatalı sertifika doğrulamasından kaynaklanıyor. CVE-2021-21572, CVE-2021-21573 ve CVE-2021-21574 (CVSS puanı: 7.2) kodlu zafiyetler ise Dell BIOSConnect özelliğinde bulunan Buffer Overflow hatasından kaynaklanıyor. Sisteme yerel erişimi olan kimliği doğrulanmış bir admin hesabı, rastgele kod çalıştırmak ve UEFI kısıtlamalarını atlatmak için bu güvenlik zafiyetinden yararlanabilir.

Zafiyetler, Oregon merkezli şirket tarafından 3 Mart’ta Dell’e bildirildi ve ardından 28 Mayıs’ta CVE-2021-21573 ve CVE-2021-21574’ü düzeltmek için sunucu taraflı güncellemeleri yapıldı. Dell ayrıca kalan iki zafiyeti gidermek için istemci tarafı BIOS üretici yazılımı güncellemelerini yayınladı.

Kritik VMware Carbon Black Zafiyeti

VMware’in Carbon Black App Control (AppC) hizmetinde, kimlik doğrulama olmadan sunucuya erişim sağlanmasına izni veren kritik önem derecesine sahip bir güvenlik zafiyeti keşfedildi. Kritik VMware Carbon Black Zafiyeti, kimlik doğrulamanın atlatılmasını izin veriyor.

AppC’nin yönetim sunucusunda bulunan 9.4 CVSS puanına sahip zafiyet, kimlik doğrulamanın atlatılmasına neden oluyor ve sonucunda yönetici hakları elde edilmesine izin veriyor. Bu zafiyet kullanılarak saldırganlar, PoS’tan endüstriyel kontrol sistemlerine kadar her şeye saldırabiliyor.

CVE-2021-21998 kodlu zafiyet, kritik önem derecesine sahiptir ve CVSS puanı 10 üzerinden 9,4‘tür. Zafiyet, ağ erişimine sahip olan bir saldırganın kimlik doğrulaması gerekmeden yönetici ayrıcalıkları elde etmesine izin vermektedir.

VMware’in güvenlik danışma belgesine göre, kimlik doğrulama atlatma (authentication bypass) zafiyeti, 8.5.8’den önceki AppC 8.0, 8.1, 8.5 ve 8.6.2’den önceki 8.6 sürümlerini etkiliyor. Önlenmesi için geçici bir çözüm olmadığından, kuruluşların yama yapması öneriliyor.

DarkRadiation Ransomware, Linux ve Docker Makineleri Hedefliyor

Siber güvenlik araştırmacıları, tamamen Bash‘te kodlanan ve komuta kontrol (C2) iletişimleri için mesajlaşma hizmeti Telegram‘ıkullanan bir ransomware’i açıkladı. Linux ve Docker bulut containerları hedefleyen ransomware, DarkRadiation adı ile biliniyor.

Bulgular, tanımlanamayan tehdit aktörünün sisteminde(IP adresi “185.141.25.168”) “api_attack” adlı bir dizinde barındırılan hack araçlarının analiz edilmesiyle ortaya çıktı. Araç seti ilk olarak 28 Mayıs’ta Twitter kullanıcısı @r3dbU7z tarafından fark edildi.

Trend Micro’dan araştırmacılar, yayınlanan bir raporda “Fidye yazılımı Bash betiğiyle yazılmış ve RedHat/CentOS ve Debian Linux dağıtımlarını hedef alıyor. Çeşitli dizinlerdeki dosyaları şifrelemek için OpenSSL’nin CBC modlu AES algoritmasını kullanıyor. Ayrıca tehdit aktörlerine bulaşma durumu göndermek için Telegram’ın API‘sini kullanıyor” dedi.

Zyxel Güvenlik Duvarları ve VPN’ler Aktif Siber Saldırı Altında

Tayvanlı ağ ekipmanı şirketi Zyxel, müşterilerini güvenlik duvarı ve VPN sunucuları gibi güvenlik ürünlerinin “küçük bir alt kümesini” hedef alan ve hala devam eden bir saldırı konusunda uyarıyor.

Zyxel, Twitter’da paylaşılan bir e-posta iletisinde “Tehdit aktörü bir cihaza WAN aracılığıyla erişmeye çalışıyor; başarılı olursa, kimlik doğrulamasını atlatıyor ve cihazın yapılandırmasını değiştirmek için ‘zyxel_slIvpn’, ‘zyxel_ts’ veya ‘zyxel_vpn_test’ gibi bilinmeyen kullanıcı hesaplarıyla SSL VPN tünelleri kuruyor” dedi.

Saldırıların, Zyxel cihazlarındaki sistemleri ihlal etmek için önceden bilinen güvenlik zafiyetlerinden veya zeroday zafiyetlerinden yararlanıp yararlanmadığı henüz bilinmiyor. Ayrıca saldırının ölçeği ve etkilenen kullanıcı sayısı da belirsiz. Saldırı yüzeyini azaltmak için şirket, müşterilere WAN’dan HTTP/HTTPS hizmetlerini devre dışı bırakmalarını ve yalnızca güvenilir konumlardan ve güvenilir ip listesi kullanarak uzaktan erişime izin vermelerini öneriyor.

Tek Tıkla Bir Atlassian Hesabının Ele Geçirilmesine İzin Veren Zafiyet

Siber güvenlik araştırmacıları, Atlassian projesi ve yazılım geliştirme platformundaki bir hesabı devralmak ve bağlanan bazı uygulamaları kontrol etmek için single sign-on (SSO) özelliğinin kullanılmasına izin veren kritik zafiyetleri açıkladı.

Check Point Research, bir analizde “Bir saldırgan, yalnızca tek bir tıklamayla, Atlassian’ın Jira yayınlama sistemine erişmek ve Atlassian bulut, Bitbucket ve şirket içi ürünlerdeki güvenlik sorunları gibi hassas bilgileri almak için bu zafiyetleri kullanabilirdi”.

 Bu zafiyetlerden başarılı bir şekilde yararlanılması sonucunda bir saldırgan, bir hesabı ele geçirebilir, kurban adına yetkisiz eylemler gerçekleştirebilir, Confluence sayfalarını düzenleyebilir, Jira biletlerine erişebilir ve hatta daha ileri aşamaya geçmek için sisteme kötü niyetli kodlar enjekte edebilir.

 Zafiyetler 8 Ocak 2021’de Atlassian’a bildirildikten sonra Avustralyalı şirket, 18 Mayıs’ta kullanıma sunulan güncellemelerinin bir parçası olarak bir düzeltme yayınladı.

Zafiyetlerden etkilenen alt alan adları

  • jira.atlassian.com
  • confluence.atlassian.com
  • getsupport.atlassian.com
  • partners.atlassian.com
  • developer.atlassian.com
  • support.atlassian.com
  • training.atlassian.com