RAMP hacker formunun yöneticisi olan ve Babuk Ransomware saldırısının da başında olduğu düşünülen Orange isimli bir şahıs, Fortinet’e ait VPN hesaplarını sızdırdı. Orange isimli kişi, 7 eylül tarihinde RAMP formunda kimlik bilgilerini içeren bir dosya paylaşarak binlerce kullanıcı adı ve parolayı ifşa etti.
CVE-2018-13379 zafiyetinden yararlanarak kimlik bilgilerinin sızdırıldığı tespit edilen forum kullanıcısı Orange, zafiyet sayesinde hedef cihazın SSL portu kullanılarak Directory Traversal tekniğinden faydalanıldığı anlaşıldı. Yapılan analizlere göre 12.856 cihazda 498.908 kullanıcının bilgilerinin sızdırıldığı ortaya çıktı. Kullanılan zafiyet her ne kadar yamalanmış olsa da sızdırılan hesapların çoğu aktif bir şekilde kullanıldığı belirtiliyor.
Sızdırılan sunuculara bakıldığında ise Türkiye lokasyonunda yaklaşık olarak 750 adet cihaz bilgisi olduğu görülmektedir.
Fortinet’in olayla ilgili yaptığı açıklamada zafiyetin oldukça eski olduğunu, zafiyetin ortaya çıktığı sene müşterileri ile sürekli iletişim halinde olduğunu, güvenlik güncelleştirmelerini müşterilerine önerdiğini ve olayı detaylandıran blog ve bülten yazıları yayınladığı belirtildi. Ancak tüm bunlara rağmen 500.000 adet VPN hesabı sızdırılmış oldu.
Bu sızıntı karşısında VPN sunucu yöneticilerinin aşağıdaki yolları izlemeleri tavsiye ediliyor.
- Sızdırılan kullanıcıların parolaları yenilenmelidir.
- Sızdırılan sunuculara ait kullanıcıların parolaları yenilenmelidir.
- Sunucuların güvenlik ve yazılım güncellemeleri kontrol edilmeli ve yapılmalıdır.
- Sızdırılan sunucularda şüpheli bir davranış olduğu düşünülüyorsa loglara bakılmalı ve önlem alınmalıdır.
vCenter Sunucularını Etkileyen Kritik Dosya Yükleme Zafiyeti
Sanallaştırma hizmetleri sağlayıcısı VMware, 21 Eylül Salı günü 19 yeni güvenlik açığıyla ilgili bir uyarı bülteni yayınladı. Bu zafiyetlerden en kritik olanı Analytics servisinde bulunuyor ve VCenter Server 6.7 ve 7.0 sürümlerini etkiliyor.
CVE-2021-2200 koduna sahip Arbitrary File Upload zafiyetinin CVSS puani ise 9.8 olarak belirlendi. Şirketin yaptığı açıklamaya göre VCenter Sunucusunda 443 numaralı porta erişim sağlayabilen saldırgan, özel hazırlanmış bir dosya ile VCenter Sunucusu üzerinde kod çalıştırmak için bu zafiyeti kullanabiliyor. Bu güvenlik açığı, VCenter Sunucusunun konfigürasyon ayarlarından bağımsız olarak, ağ üzerinden vCenter Sunucusuna erişebilen herkes tarafından da kötüye kullanılabilmektedir.
VMware, müşterilerine VCenter kurulumlarını güncellemelerini önerdiği çağrısında, “CVE-2021-22005 zafiyetinin sonuçları ciddidir. Ransomware tehditlerinin gündeme geldiği bugünlerde yapılabilecek en güvenli şey, saldırganların bir masaüstüne ya da bir kullanıcı hesabında zaten kontrolünün olduğunu varsaymak ve buna göre hareket etmektir” şeklinde bilgi veriyor. VMware bu zafiyet için bazı çözümler yayınlasa da, güncelleme çıkana kadar yapılan işlemlerin geçici bir çözüm olduğu konusunda kullanıcılarını uyarıyor.
MSHTML’de Uzaktan Kod Çalıştırma Zafiyeti Keşfedildi
Son birkaç haftadır şirketler, Windows MSHTML Internet Explorertarayıcı oluşturma motorunda bulunan ve saldırganlar tarafından şirket ağlarına sızmak için phishing saldırılarında kullanılan Uzaktan Kod Çalıştırma güvenlik açığıyla başa çıkmak için mücadele ediyor.
CVE-2021-40444 koduyla tanımlanan zafiyetin CVSS puanı 8.8 olarak belirtildi. Microsoft tarafından 7 Eylül 2021 tarihinde yayınlanan açıklamalara göre saldırgan, tarayıcı oluşturma motorunu barındıran bir Microsoft Office belgesi aracılığıyla kötü amaçlı bir ActiveX denetimi kullanıldığını belirtiyor. Bu noktada sistemde daha düşük yetkili kullanıcı haklarına sahip olan kullanıcılar, yönetici haklarıyla çalışan kullanıcılara göre daha az etkilenmektedir.
Microsoft, CVE-2021-40444 güvenlik açığını gidermek için güvenlik güncelleştirmeleri yayınladı. Microsoft, Microsoft Defender’ın da bu güvenlik açığını algılayabileceğini ve koruma sağlayabileceği belirtiliyor. Bu nedenle, şu anda kullanıcılara kötü amaçlı yazılımdan koruma ürünlerini güncel tutmaları konusunda öneriler sunuluyor.
Kullanıcılar, kötü amaçlarla oluşturulmuş Microsoft Office belgeleri tarafından gerçekleştirilebilecek kimlik avı gibi sosyal mühendislik saldırılarına da maruz kalabilir. Çözüm olarak Microsoft tarafından yapılan açıklamaya göre, Internet Explorer’daki ActiveX denetimleri devre dışı bırakılması gerekiyor.
Microsoft Windows İşletim Sisteminde Yeni Zafiyet
Eclypsium Güvenlik araştırmacıları, Windows 8 ve sonrasındaki tüm Windows tabanlı cihazları etkileyen yamalanmamış bir zafiyet bulunduğunu açıkladı. Microsoft Windows Platform Binary Tablosunda (WPBT) bulunan zafiyet, rootkit yüklemek için kullanılabilecek durumda olduğu belirtiliyor.
ACPI (Advanced Configuration and Power Interface) tabloları, işletim sisteminin başlatılması aşamasında hafızaya yüklenerek sistemde hangi donanımın bulunduğunu ve nasıl yönetileceğini göstrermektedir. Windows Platform Binary Table (WPBT) ise ilk olarak Windows 8‘de tanıtılan bir ACPI tablosudur. Üreticiler bu özelliği kullanrak diskteki Windows imajını değiştirmeden dosyaları, sürücüleri ve çalıştırarak dosyaları sisteme dahil edebililiyor. Lenovo, HP ve Asus gibi pek çok üreticinin bu özelliği kullandığını da hatırlatmak isteriz.
Eclypsium araştırma ekibi Microsoft’un, Microsoft Windows Platform Binary Table (WPBT) kabiliyetlerinden yaralanarak işletim sistemi çalıştığında kernel haklarında zararlı kodlar çalıştırılabildiğini ortaya çıkardı.
Araştırmacılar tabloların uzaktan erişim, manufacturer supply chains veya fiziksel erişim ile sömürülebileceğini bildirdi. WPBT özelliği Windows 8 versiyonundan bu yana bütün Microsoft işletim sistemlerinde bulunuyor ve bu sebeple Windows 8 ve üzeri işletim sistemleri bu zafiyetten etkileniyor. Zafiyet WPBT mekanizmasının bütünlük denetimini sağlarken iptal edilmiş veya süresi dolmuş bir sertifikaya sahip binary dosyayı kabul etmesinden kaynaklanıyor. Bunun sonucunda bir saldırgan, zaten mevcut olan süresi dolmuş bir sertifika ile zararlı bir binary dosyayı imzalayıp sistemde kod çalıştırabiliyor.
Bulgulara yanıt olarak Microsoft, cihazlarda hangi binary dosyaların çalışmasına izin verilebileceğini sıkı bir şekilde denetlemek için bir Windows Defender Application Control (WDAC) ilkesinin kullanılmasını önerdi.
Microsoft Exchange Server’da Kimlik Doğrulamayı Atlatmak
Güvenlik araştırmacısı Le Xuan Tuyen, Microsoft Exchange Server’da bulunan kritik bir güvenlik açığını bildirdi. Güvenlik araştırmacıları tarafından ProxyToken adı verilen ve CVE-2021-33766 koduna sahip güvenlik açığından yararlanarak kimlik doğrulaması atlatılabiliyor.
Bu güvenlik açığıyla kimliği doğrulanmamış bir saldırgan, rastgele bir kullanıcıya ait mailboxta yapılandırmalar yapabilmektedir. Yapılacak bir yapılandırma ile bir hesaba gönderilen tüm e-postaların saldırgan tarafından kontrol edilen bir hesaba iletilmesi sağlanabilir.
Zafiyet, Exchange Server’ın frontend ve backend’i arasındaki kullanıcı kimlik doğrulamasının yönetimindeki boşluklardan kaynaklanmaktadır. Aynı sunucuda yönettiği mailbox’ı olan bir saldırgan, her mailbox’ta istediği yapılandırmaları yapabilir. Bu durum bir saldırganın kurumsal e-posta trafiğini izleyebileceği, çalabileceği veya değiştirebileceği ve kurumu dolandırıcılık ya da fikri mülkiyet hırsızlığına maruz bırakabileceği gibi bir dizi senaryoya yol açabilmektedir.
Aşağıdaki ürünler zafiyetten etkilenmektedir ve yakın zamanda güvenlik yamaları yapılmamışsa risk oluşturmaktadır:
- Exchange Server 2013’ten CU23’a kadar olan versiyonlar
- Exchange Server 2016’ten up to CU20’a kadar olan versiyonlar
- Exchange Server 2019’ten up to CU9’a kadar olan versiyonlar
Temmuz 2021 Exchange toplu güncellemelerinde Microsoft tarafından yamalandı. Önlem olarak, Microsoft tarafından yayınlanan güvenlik yamalarının en kısa sürede uygulanmasını tavsiye ediliyor.
Sızma Testleri ve Red Team hizmetleri için tecrübeli bir ekibe ihtiyacınız varsa, doğru yerdesiniz! Uzmanlarımızla iletişime geçerek fiyat teklifi ve detaylı bilgi alabilirsiniz.