Güvenlik Bülteni – 4

Sistem

Güvenlik Bülteni – 4

Korsanlar 9.000 DHS Çalışanının Bilgisini Yayınladı, Sırada 20.000 FBI Çalışanı Var
Bir hacker 9.000’den fazla Amerikan iç güvenlik bakanlığı DHS (Department of Homeland Security) çalışanının kişisel bilgilerini yayınladı. Sonrasında ise 20.000 FBI çalışanını da içeren verileri de elde ettiğini açıkladı.
7 Şubatta Twitter hesabından 9.000 DHS çalışanının İsim, Unvan, Telefon Numarası, Eyalet ve E-Posta bilgilerini yayınlayan hacker. 9 Şubatta ise söz verdiği gibi 20.000 FBI çalışanının İsim, Unvan, Telefon Numarası, E-Posta ve Ülke bilgilerini paylaştı.
Motherboard Online Dergisine ele geçirdiği hesaplardan biri ile ulaşan hacker olayı nasıl gerçekleştirdiğini açıkladı. Önce Adalet Bakanlığı DOJ (Department of Justice) eposta hesaplarından birini ele geçirmeyi başardıklarını ve DOJ web portaline giriş yapmayı denediklerini ancak başarılı olamadıklarını anlatan hacker, daha sonra sosyal mühendislik çalışmalarına başladıklarını aktardı.
​Telefonla arayarak yeni bir çalışan olduğuna ve portale nasıl ulaşması gerektiğini bilmediğine ikna eden hacker, token kodu olmadığı için giriş yapamadığını öğrendi. Token’ı olmadığını söylediğinde ise aldığı cevap gerçekten efsane: “bizimkini kullan”
Bu noktadan sonra içerideki çalışma bilgisayarına giriş yapmayı başaran ve DOJ iç ağındaki 200GB bilgiyi kendine indiren hacker, 2TB verinin içinden yakalanmadan ancak bu kadar indirdiğini belirtti.
Motherboard dergisinin detaylı haberi:http://motherboard.vice.com/read/hacker-publishes-personal-info-of-20000-fbi-agents

Cisco Güvenlik Duvarı Cihazlarındaki Deliği Tıkadı
Cisco RV220W Wireless Network Security Firewall cihazlarındaki kolaylıkla istismar edilebilen ve uzaktan saldırganların cihaz kontrolünü ele geçirebilmelerini sağlayan kritik zafiyet için bir Firmware güncellemesi çıkarttı.
Cihazların web tabanlı yönetim ara yüzünde bulunan açıklık 1.0.7.2 öncesi tüm Firmware’lerde mevcut durumda. Zafiyetin kaynağı HTTP istek başlıklarında yeterli düzeyde girdi doğrulaması bulunmaması.
Uzaktan saldırganlar zararlı SQL ifadeleri kullanarak hazırladıkları HTTP isteğini yetkileri bulunmayan hedef cihaza gönderiyorlar. Başarılı olunduğunda ise tüm yetki doğrulama mekanizmalarından geçmiş ve yönetim ara yüzüne yönetici seviyesinde yetkilerle erişim sağlanmış oluyor.
Dışarıdan erişime cihazı kapatmak bir geçici çözüm olsa da mümkün olan en kısa sürede 1.0.7.2 Firmware sürümüne geçilmesi öneriliyor.
​RV120W Wireless-N VPN Firewall, RV180 VPN Router, RV180W Wireless-N Multifunction VPN Router ürünlerinin bu zafiyeti barındırmadığını belirten Cisco’nun konu ile ilgili kritik seviyedeki güvenlik duyurusu:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160127-rv220​

Oracle’dan Windows için Acil Güncelleme Geldi
Amerikan uygulama üreticisi Oracle alışık olunmadık bir şekilde acil güvenlik yaması çıkarttı. Kapatmaya çalıştığı açıklık ise Windows platformlarında Java kurulumu sırasında istismar edilebilen bir açıklık.
CVE-2016-0603 olarak tanımlanan açıklık başarılı bir şekilde istismar edildiğinde saldırganlar şüphelenmeyen kullanıcıları kandırarak Java 6, 7 ya da 8 yüklerken yönlendirdikleri sitedeki zararlı yazılımları da indirmesini sağlayabiliyor.
Her ne kadar zafiyetin istismarı çok karmaşık olsa da başarılı olunduğunda tüm sistem ele geçirilmiş oluyor. Başarılı bir saldırı için saldırganının şüphe duymayan bir kullanıcıyı Java Websitesi dışında Java yüklemesini sağlamak zorunda olması gerekiyor.
Oracle güvenlik uzmanı Eric Maurice’ın söylediğine göre 6u113, 7u97 ya da 8u73 öncesi bir Java versiyonu kullanıyorsanız bu dosyaları silip 6u113, 7u97, 8u73 ya da daha güncel bir sürümü Oracle’dan indirip kurmanız öneriliyor.

Comodo Internet Security Güvenli Olmayan Chrome Tabanlı Bir Browser Yüklüyor
Google araştırmacısı Travis Ormandy yine bir güvenlik ürününde zafiyet buldu. Bu seferki ürün Comodo Internet Security. Chromodo isimli bir browser yükleyen ve bunu geçerli internet tarayıcısı haline getiren ürünün bu tarayıcısında ise zafiyet tespit edildi.
Chromodo için firmanın açıklaması “Hızlı ve çevik internet tarayıcısı Chromium tabanlı aynı zamanda en üst düzey hız, güvenlik ve gizlilik sunuyor”. Fakat bu açıklama araştırmacının ortaya çıkarttığı “same-orgin policy” web güvenliğini devre dışı bırakması sayesinde pek de doğru gözükmüyor.
Ürün bununla da kalmayıp tüm kısa yolları Chromodo bağlantıları haline getirip, Chrome’dan da ayarları, çerezleri vb. kendine alıyor. DNS ayarlarına da müdahale eden uygulamanın daha da fazla şüpheli hareket yaptığına da değiniyor Ormandy.
Comodo firmasına konu bildirildiğinde bir yama yayınladı ancak araştırmacı bundan pek memnun değil. Çünkü sadece araştırmacının kullandığı istismar yazılımının kullandığı execCode API kaldırılmış durumda. Faklı yöntemler ile aynı problemlerin varlığını ispatlamış durumda.
Araştırmacının daha önce zafiyet bulduğu güvenlik ürünleri arasında FireEye, Karspersky, Avira, Webroot, Trend Micro ve Malwarebytes bulunuyor.

21 Milyon Alibaba Hesabı Aynı Parola Kullanımıyla Hacklendi
Alibaba gruba ait Taobao e-ticaret sitesine ait 21 milyon kullanıcının hesapları ele geçirildi. Kök neden ise kullanıcıların aynı kullanıcı adı ve parolaları faklı web siteleri için de kullanmaları.
Saldırganları yakalayan Çin Kamu Güvenliği Bakanlığı’nın açıklamalarına göre saldırı bir grup bilgisayar korsanının 99 milyon kullanıcı adı ve parolanın bulunduğu başka bir web sitesinin veri tabanına ulaşması başladı.
Reuters haberine göre daha sonra saldırganlar Alibaba’nın bulut bilişim platformunda bu kullanıcı adı ve parolaların yeniden kullanılmış olma ihtimalini test ettiler. 99 milyon kullanıcı adı ve parola girişi denemesi sonrası 20,59 milyonunun Taobao için de kullanılmış olduğu ortaya çıktı.
Geçen senenin son çeyreğinde gerçekleşen ve satıcı sıralamalarını yükseltmek için satışlar yapılmış gibi göstermekten, hesap bilgilerini satmaya kadar birçok farklı amaçla kullanılan hesaplar ile ilgili Alibaba polise haber vermişti.

Apple tvOS Güvenlik Güncellemesi 9.1.1 ile Birçok Zafiyeti Yamadı
Apple tvOS güvenlik güncellemesi 9.1.1 ile Apple TV (4. Jenerasyon) birçok zafiyet için yama yayınlamış oldu.
Amerikan Bilgisayar Olayları Hazırlık Ekibi (US-CERT) bültenine göre, açıklıkların bazılarının istismarı sonucu uzaktan saldıran bir saldırganın sistemi ele geçirmesi mümkün.
Güvenlik Güncellemesi yedi bellek bozulması hadisesini daha gelişmiş bir bellek yönetimi ile bertaraf ediyor. Bunlar: Disk Images, IOHIDFamily, IOKit, Kernel, syslog ve WebKit içindeki zafiyetler. Ayrıca libxslt içindeki bir tip karışıklığı sorunu da bu güncelleme ile giderilmiş oluyor.
WebKit için sorunu Apple güvenlik ekipleri bulmuş, CVE-2016-1724 ve CVE-2016-1727 kodları ile yayınlamıştı. Diğer sorunları ise Yahoo Sızma Testi Ekibi, Google Project Zero, Trend Micro ve Zimperium zLabs keşfetmişti.

LG G3 Akılı Telefonlarında Önceden Yüklenmiş Yazılımda Ciddi Hata
Güvenlik danışmanlarının ortaya çıkarttığı ciddi açıklık LG G3 Android telefonlarında kurulu olarak gelen uygulamanın kullanıcı verilerini çalma, oltalama saldırısı yapma, zararlı yazılım yükleme ve daha fazlasını yapabilmeye olanak tanıyor.
Cihazda önceden yüklenmiş ve aktif durumda olan Smart Notice uygulamasının bu zafiyete olanak tanıdığı ortaya çıktı. Bu güvenlik açığının kök nedeni ise Smart Notice uygulamasının kullanıcıya sağlanan veriler için bir doğrulama/onaylama yapmaması. Konu ile ilgili video:

​LG konu ile ilgili bilgilendirilmiş ve bu zafiyetin Smart Notice uygulamasının son sürümünde ortadan kaldırılmış olduğu bilgisi alınmıştır. Kullanıcıların acilen güncelleme yapması önerilirken bilinen bir istismar durumu oluşmadığı bilgisi de veriliyor.​

 

Arşivler