Güvenlik Bülteni – 3

Sistem

Güvenlik Bülteni – 3

Fortinet Firewall Cihazlarındaki Gömülü Parola Arka KapısıÖnceki bültenlerimizde Juniper Firewall’ları etkileyen arka kapı açığından bahsetmiştik. Daha üzerinden bir ay geçmeden bağımsız bir güvenlik araştırmacısı Fortinet’in FortiOS Firewall’larında şüpheli bir kod keşfetti.
Sızan habere göre Firewall cihazlarına erişimi sağlayan bir SSH arka kapısı bulunmakta. “Fortimanager_Access” kullanıcı adı ve hashlenmiş halde “FGTAbc11*xy+Qqz27” parolasını giren herkes firewall’ların içine gömülü haldeki parola sayesinde Fortinet’in FortiGate firewall cihazlarına giriş sağlayabiliyor.
Daha da önemlisi arka kapı hesabıyla giriş yapıldığında cihazın erişim loglarında izinin olmaması. Bu da arka kapının FortiManager bakım platformu ile bağlantılı olabileceğini düşündürüyor.
Tabii ki Firewall’un SSH portunu internetten erişilebilir halde tutuan system yöneticisi sayısı azdır ancak şirket içi ataklar ve şirket ağındaki bilgisayarlara bulaştırılacak zararlı yazılımlar bu arka kapıyı kullanılabilir hale getirebilir.
FortiGuard makalesine göre etkilenen sistemler: (http://www.fortiguard.com/advisory/multiple-products-ssh-undocumented-login-vulnerability)FortiAnalyzer: 5.0.5 to 5.0.11 and 5.2.0 to 5.2.4 (branch 4.3 is not affected)FortiSwitch: 3.3.0 to 3.3.2FortiCache: 3.0.0 to 3.0.7 (branch 3.1 is not affected)FortiOS 4.1.0 to 4.1.10FortiOS 4.2.0 to 4.2.15FortiOS 4.3.0 to 4.3.16FortiOS 5.0.0 to 5.0.7

“The Fappening” Ünlülerin Fotoğraflarını Sızdıran İsmi FBI Açıkladı
2014 ortalarında aralarında Jennifer Lawrence, Kim Kardashian, Kate Upton ve Kirsten Dunst’ın da bulunduğu birçok ünlünün özel fotoğrafları sızdırılmıştı. Binlerce Apple iCloud hesabının hacklenmesi ile Hollywood aktirislerinin, modellerin ve ünlülerin sırları açığa çıkmıştı.
The Fappening olayının üzerinden iki yıl geçmesinin ardından mahkeme yeni kanıtlar ışığında FBI’ın baş şüphelisi Ed Majerczyk ismini açıkladı.
Ekim 2014’te FBI Ed Majerczyk’in Chicago’daki evine yasa dışı yollardan iCloud hesaplarına erişmek şüphesi ile baskın düzenlemişti. Kendini Apple Teknisyeni olarak tanıtarak ve appleprivacysecurity@gmail.com gibi sahte hesapları da kullanarak ünlülerin hesaplarını ele geçirdiği belgelenmiş durumda.
FBI raporuna göre Majerczyk 2014’te 330 farklı iCloud hesabına 600’den fazla kez erişerek kurbanların tüm iPhone fotoğraflarını 4chan’e yüklemiş. FBI’ın araştırması hala sürerken bakalım daha neler açıklanacak.

Linux Kernel’inde Milyonları Etkileyen Sıfırıncı Gün Açıklığı Bulundu
Linux Kernel’inde saldırganların yönetici (root) haklarına sahip olmalarını sağlayan sıfırıncı gün açıklığı keşfedildi. Perception Point araştırmacıları tarafından keşfedilen açığın kaydı CVE-2016-0728
Açıklığın 2012’den beri var olduğu ve ilk bakışta 32 ve 64 bit 3.8 ve üstü versiyon kernel kullanan Linux ve Android cihazları etkili olabileceği düşünüldü. Neyse ki Linux ile belirli kodları paylaşan Android cihazlar için durum sanıldığı kadar vahim değil. Root edilmemiş Android cihazlar için üçüncü parti uygulamaların açıklığı oluşturan koda erişme şansları olmaması durumu hafifletiyor.
Giriş bilgilerini saklayan ve şifreleyen daha sonra uygulamalar ile bağlantısını sağlayan “keyrings” tarafında bir referans sızıntısı açıklığı sayesinde istismar edilebilir hale geliyor.
Linux sunucu ve istemciler için patch yayınlandı. Kullandığınız dağıtıma göre “sudo apt-get update && sudo apt-get upgrade” ya da “sudo yum update” komutları ile sisteminizi bu açığa karşı koruyabilirsiniz. Android cihazlar için ise her üretici ve servis sağlayıcının güncelleme sıklığı farklı olduğu için daha uzun sürecek bir yama dağıtımından bahsediyoruz.

Blackenergy Boryspil Havaalanına Karşı Yapılan Hedefli Saldırıya Karıştı
Daha önceki bültenlerimizde Ukrayna’da elektrik kesintisinin arkasından BlackEnergy zararlısının çıktığını iletmiştik. Bu sefer hedefte Boryspil havaalanı var.
Anti Terör Operasyonları başkanlık idaresi sözcüsü Andriy Lysenko atağın kontrol merkezi sunucusunun Rusya orjinli olduğunu söyledi. Zararlı yazılımın havaalanı sisteminde erken fark edildiğini ve bir zararın oluşmadığını da iletti.
Bir uzmanın Boryspil havayoluna ait bir çalışma istasyonunda Black Energy virüsünü fark etmesi ve hemen network bağlantısını kesmesi ile olası bir hacklemenin önüne geçildiği bildirildi. CERT-UA (Ukrayna Siber Olaylara Müdahale Takımı) BlackEnergy zararlısı tespit etmeyi anlatan özel bir sayfa yayınladı. (http://cert.gov.ua/?p=2464)

IOS, Mac OS ve Microsoft Açıklıkları
Apple Mac bilgisayarları Windows çalışan bilgisayarlara göre virüs ve zararlı yazılımlara karşı daha güvenli olarak bilinir ama araştırmacıların keşfettiği yeni istismar aracı bunun çok da doğru olmayabileceğini söylüyor.
Mac OS X
Geçen sene Mac OS X sistemlerinin zararlılara karşı güvenliğinden sorumlu Gatekeeper özelliğinin temel güvenlik bileşenini aşabilen basit bir istismar aracı keşfedilmişti. Bunu düzeltmek için Apple’ın çıkarttığı yama ana sebebi ortadan kaldırmak yerine bu istismar araçlarını engellemek mantığı ile çalıştığından yeniden istismar etmek kaçınılmazdı.
Gatekeeper’ın kontrolleri arasında kontrollü yüklenen yazılımın kendi klasöründen başka bir uygulama yüklemesi ya da çalıştırması durumuna yönelik bir kontrol olmadığı için bu açıklık ortaya çıkıyor.
Apple kalıcı bir çözüm ile açığı kapatana kadar Mac App Store dışında bir yerden uygulama indirirken çok daha dikkatli olmakta fayda var.
iOS
Apple IOS için web sitelerinin şifresiz kimlik doğrulama çerezlerine okuma ve yazma hakkına sahip olarak kullanıcıların kimliklerini kullanabilme açıklığını kapatan bir yama yayınladı. IOS 9.2.1 versiyonu ile kapatılan açıklık neredeyse üç yıl önce keşfedilerek Apple’a iletilmişti.
Apple bir hatayı kapatmak için harcadığı en uzun süre olmasını tahmin edilenden daha karmaşık bir yama olmasına bağlıyor. iPhone 4S ve iPad 2 cihazları ve sonrası cihazlar için geçerli olan açıklığa karşı bir an önce güncelleme yapılması gerekiyor.
Microsoft
Her ayın ikinci salısı yamaları yayınlayan Microsoft bu kez Windows 10, Officei Silverlight, IE ve Edge için toplamda 26 açıklığı kapatan yamalar yayınladı. Bunlardan altı tanesi kritik seviyede ve eğer yama yapılmaz ise uzaktan kod çalıştırma yapılabilmesine olanak sağlıyor.
İlginç olan konu ise çıkan bülten numaraları MS16-001 den MS16-010 a kadar ancak arada MS16-009 eksik. Bu da son anda bir hata bulunduğu ve geri çekildiği izlenimini veriyor. Muhtemelen hatanın etkileri açıklığın etkilerinden daha fazla ki Microsoft bu kararı almış.
Bu arada 12 Ocak 2016 itibari ile belirli IE versiyonlarına artık patch gelmeyeceğini tekrar hatırlatmakta fayda var. Son sürüm IE geçişlerini planlamakta geç kalmayın.

2015’in En “Kötü” Parolaları Açıklandı
Her yıl parola yönetimi yazılımı üreticisi SplashData tarafından Kuzey Amerika ve Batı Avrupa sızdırılan parolalar baz alınarak hazırlanan en “kötü” ya da “sık kullanılan” parolaların listesi açıklandı.
Parola belirlemek ile ilgili birçok politika ya da zorlama yapıyor olabilirsiniz ama kullanıcılara farkındalık eğitimi vermediğiniz sürece kolay tahmin edilebilir ya da zayıf parolalar seçmelerine engel olamazsınız.
Güçlü parolalar oluşturmak için dikkat etmeniz gerekenler:Büyük küçük harf, sayı, özel karakter içeren ve sekiz ya da daha uzun parolalar tercih etmeniz.K4%w^9$s@p gibi bir parolayı akılda tutmak zor olabilir. Hatırlayabileceğiniz bir kaç kelimenin arasına özel karakterler koyarak bunu aşabilirsiniz hIzLI@giT%MeHer sitede aynı parolayı kullanmayınGüvenilir bir parola yönetimi uygulaması da kullanabilirsiniz.
İşte 2015 Starwars etkisiyle de yeni eklentiler içeren en kötü 25 parola listesi123456password12345678qwerty12345123456789football12341234567baseballwelcome1234567890abc1231111111qaz2wsxdragonmastermonkeyletmeinloginprincessqwertyuiopsolopassw0rdstarwars

Ve Sonunda Skype IP Adresinizi Saklayacak Güncellemeyi Çıkarttı
Online oyun oynayanların en büyük kabusu haline gelen DoS saldırılarının ve daha da ileri gidenler için kapınızda SWAT takımını görmeye kadar gidebilecek durumların yaşanmasını sağlayan Skype ID den IP bulma tarihe karışıyor.
Beş yıldan uzun bir süredir mahremiyeti tehdit eden bu açıklığı Microsoft sonunda kapattı. Keşfinden bir buçuk yıl sonra 2012 Mayısında Skype ID den bilinen son IP adresini bulma tool’u başlıkları süslemişti.
Özellikle online oyun oynayanların birbirlerine karşı DoS saldırısı düzenleyerek intikam almaları ciddi bir sorun olmuştu. Daha da ileri gidenler IP spoofing ile sanki sizin IP’nizden devlet sitelerine saldırı yapılıyormuş gibi göstererek kapınızda SWAT takımı ile burun buruna gelmenize sebebiyet verebiliyordu.
Son çıkan Skype güncellemesi ve bundan sonrası için artık bu olay tarihe karışıyor. Tabii ki bir sonraki açıklığın istismar edilmesine kadar…

Yahoo! Eposta Servisi XSS Zafiyeti için Yama Yayınladı ve Araştırmacıya 10.000$ Ödül Verdi
Yahoo! Eposta servisi siteler arası betik çalıştırma (XSS) zafiyeti için yama yayınladı ve bu açığı tespit ederek bildiren Finlandiyalı araştırmacı Jouko Pynnonen’e 10.000 USD ödül verdi.
Yahoo! Eposta filtrelerine takılmadan geçebilen bozulmuş bir HTML kodunun sebebiyet verdiği açıklık ile yapılabilecekler arasında saldırganın eposta alıp gönderme, eposta ayarlarını değiştirme ve tüm epostaları başka bir sunucuya yönlendirme bulunuyor.
Eposta ön izlemedeyken çalışabildiği için sadece bunlarla da sınırlı kalınmayabilir. İmzaya kendini ekleyerek tüm gönderilen epostalarda kendini yaymayı bile başarabiliyor. Canlı halini görmek isteyenler için video:
​​

​Anti Şifreleme Tasarısı iPhone ve Android Cihazlarını California için Yasaklayabilir
California yasama meclisi yeni bir anti şifreleme tasarısı sundu. Eğer tasarı geçer ise California eyaleti için iPhone ve Android cihazlarına yasak getirilmesi anlamına gelecek.
2017 Ocak 1 itibariyle üretilen tüm akıllı telefonların üreticisi ya da servis sağlayıcısı tarafından şifresinin çözülebilmesini içeren tasarı için tepkiler sürüyor. Hükümet ise insan tacirleri ve kötü hatta şeytani şeyler yapan insanların peşine düşüyoruz. İnsan tacirliği söz konusu olduğunda mahremiyet için “eğer” lere, “ya da”lara, “ama”lara bakamayız diyerek tasarının arkasında duruyor.

 

Arşivler