Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Ayrıca: MOVEit, Anakart Güvenlik Açıkları, Hatalar ve Fidye Yazılımları hakkında daha fazla bilgi
Daha Fazla (AnvikshaDevamı) •
8 Haziran 2023
Information Security Media Group, her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini özetliyor. Bu hafta: Barracuda Networks, saldırıya uğramış e-posta güvenlik cihazlarını geri çağırdı, ABD federal hükümeti, Progress Software’in MOVEit dosya aktarım uygulamasındaki şu anda yamalanmış sıfır gün güvenlik açığının “yaygın bir şekilde istismar edilmesini” beklediği konusunda uyardı ve siber güvenlik firması Eclypsium, güvenli olmayan bir anakart yapılandırması tespit etti. Ayrıca araştırmacılar, Microsoft Visual Studio uzantı yükleyicisindeki bir hatayı ayrıntılı olarak açıkladılar ve bir Japon ilaç firması ile bir İspanyol bankası fidye yazılımı saldırılarına maruz kaldı.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
Barracuda: Etkilenen ESG Cihazı Yamalara Rağmen Geri Çağırıldı
Barracuda Networks Salı günü, saldırıya uğrayan Email Security Gateway cihazlarının sahiplerini, yakın tarihli bir sıfır gün güvenlik açığını gidermek için yamalar uygulamış olsunlar olmasın, ekipmanlarını derhal değiştirmeye çağırdı.
Şirket, kalıcı arka kapı erişimine izin veren kötü amaçlı yazılım içeren bir cihaz alt kümesi belirlediğini söyledi. Ayrıca veri hırsızlığına dair kanıt buldu.
Şirket, “Güvenliği ihlal edilmiş ESG cihazının kullanımına son verin ve yeni bir ESG sanal veya donanım cihazı edinmek için Barracuda desteğiyle ([email protected]) iletişime geçin” dedi.
Şirket ilk olarak 19 Mayıs’ta, ESG cihazının tüm donanım ve sanal sürümlerinde bulunan ve CVE-2023-2868 olarak izlenen bir uzaktan komut ekleme güvenlik açığı tespit etti. 20 Mayıs’ta bir yama yayınladı ve uyguladı (bkz: Barracuda, Bilgisayar Korsanlarının Zero-Day Bug’ı 8 Ay Boyunca Kullandıklarını Uyardı).
Daha fazla araştırma, ağ güvenliği şirketinin, saldırganların Ekim ayında ve muhtemelen daha önce başlayarak güvenlik açığını keşfettikleri ve bu güvenlik açığından yararlandıkları sonucuna varmasına neden oldu.
Barracuda, ESG cihazının kaç kullanıcısının etkilendiğini açıklamadı. Başkent Canberra’yı yöneten Avustralya Başkent Bölgesi, Perşembe günü kendisini sıfır gün bilgisayar korsanlarının kurbanı olarak listeledi. Barracuda’nın 24 Mayıs’ta güvenlik açığını kamuya duyurmasının ardından, bölgesel hükümet bir soruşturma başlattı ve bir ihlal tespit etti. “Sistemlerimize ve daha da önemlisi erişilmiş olabilecek verilere özgü etkiyi tam olarak anlamak için bir zarar değerlendirmesi yapılıyor” dedi.
CISA, FBI MOVEit Güvenlik Açığı Konusunda Uyarı Verdi
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı ve Federal Soruşturma Bürosu Çarşamba günü, Progress Software’in MOVEit tarafından yönetilen dosya aktarım uygulamasındaki şu anda yamalanmış sıfır gün güvenlik açığının “yaygın bir şekilde istismar edilmesini” beklediğine dair bir tavsiye niteliğinde uyarı yayınladı.
CISA Siber Güvenlik İcra Direktörü Eric Goldstein, “CISA, federal kurumlar ve kritik altyapı içindeki yaygınlığı anlamak için Progress Software ve FBI’daki ortaklarımızla yakın temas halinde olmaya devam ediyor” dedi.
Clop fidye yazılımı-as-a-service çetesi, MOVEit saldırılarının arkasındaki tehdit aktörü olduğunu söyledi ve karanlık web sızıntı sitesinde CVE-2023-34362 olarak izlenen kusurdan yüzlerce kişiden bilgi indirmek için yararlandığını iddia etti. şirketlerin.
Progress Software, müşterileri güvenlik açığı konusunda ilk olarak 31 Mayıs’ta uyardı ve 2 Haziran’da bir yama yayınladı.
İngiliz maaş bordrosu sağlayıcısı Zellis, MOVEit saldırılarının ilk büyük isim kurbanı olarak ortaya çıktı, çünkü bu saldırılar aracılığıyla British Airways, Aer Lingus, BBC ve Birleşik Krallık eczane zinciri Boots gibi şirketler de etkilendi.
Kredi derecelendirme kuruluşu Moody’s Investors Service Perşembe günü Zellis’e yapılan saldırının şirket için olumsuz sonuçları olabileceğini söyledi. Moody analisti Pamela Palmucci, “Şirket, artan müşteri kaybına yol açan bir itibar zedelenmesinden zarar görebilir” dedi. Yetkili, saldırının tam maliyetinin bilinmediğini ve hükümet soruşturmalarının yanı sıra olası davaların sonucuna bağlı olacağını da sözlerine ekledi. Zellis’in temsilcileri hemen yorum talebinde bulunmadı.
Gigabyte Anakartlarında Bulunan Donanım Yazılımı Arka Kapısı
Siber güvenlik firması Eclypsium, anakart üreticisi Gigabyte’ın güvenli olmayan bir şekilde UEFI aygıt yazılımına bir güncelleyici programı indirdiğini keşfetti. 400’den fazla model etkilenir. Tayvanlı şirket, 1 Haziran’da yaptığı açıklamada, uzak sunuculardan indirilen dosyalar için doğrulama sürecini destekleyen bir yama yayınladığını söyledi.
Eclypsium, güvenli olmayan üretici yazılımı güncelleme işlevinin oluşturduğu riskin, işletim sisteminden önce belleğe yüklendiği için tespit edilmesi veya ortadan kaldırılması çok zor olan kötü amaçlı yazılımlar olan UEFI rootkit’leri ve implantları ile eşit olduğunu söylüyor. Eclypsium tarafından tespit edilen sorunlar arasında hatalı uzak sunucu sertifikası doğrulaması ve HTTPS yerine HTTP yoluyla indirilen bir yük vardı. Araştırmacılar, saldırganların güncellenen ürün yazılımını kötüye kullanmak için Gigabyte’ın altyapısını tehlikeye atabileceğini yazdı.
Eclypsium yöneticisi John Loucaides, Wired’e “Bu makinelerden birine sahipseniz, temelde internetten bir şey kaptığı ve siz dahil olmadan çalıştırdığı ve bunların hiçbirini güvenli bir şekilde yapmadığı konusunda endişelenmeniz gerekir.”
Microsoft Visual Studio’da Kullanıcı Arayüzü Hatası
Varonis Threat Labs araştırmacıları, Microsoft Visual Studio uzantı yükleyicisinde, saldırganların bir uzantı imzasını taklit etmesine ve meşru bir yayıncının kimliğine bürünmesine olanak tanıyan, yararlanılabilir bir kullanıcı arabirimi hatası keşfetti. Nisan ayında Microsoft, güvenlik açığı için CVE-2023-28299 olarak izlenen bir yama yayınladı.
Saldırgan, yalnızca bir VSIX paketini zip dosyası olarak açarak ve dosyadaki bir etikete yeni satır karakterleri ekleyerek güvenlik denetimlerini atlayabilir. extension.vsixmanifest dosya, Varonis araştırmacıları yazdı
Japon İlaç Firması Eisai Fidye Yazılım Saldırısına Uğradı
Japon ilaç firması Eisai Salı günü, şirket sunucularını şifreleyen ve ülke içinde ve dışında bulunan lojistik sistemlerini bozan bir fidye yazılımı saldırısı bildirdi.
Merkezi Tokyo’da bulunan ilaç üreticisi, saldırıyı 3 Haziran’da tespit ettiğini ancak ihlalle ilgili daha fazla ayrıntı açıklamadığını söyledi. “Veri sızıntısı olasılığı şu anda araştırılıyor” dedi.
Eisai Group, Japonya’da ve başka yerlerde 15 araştırma laboratuvarı ve dokuz üretim tesisiyle lider bir Japon ilaç şirketidir.
Fidye Yazılım Saldırısı İspanyol Bankasını Etkiledi Globalcaja
Merkezi İspanya’nın Castilla-La Mancha eyaletinde bulunan İspanyol bankası Globalcaja, bildirildi 2 Haziran, fidye yazılımıyla tutarlı bir saldırı. İspanyolca bir danışma belgesinde, saldırının bankanın faaliyet gösterme kabiliyetini etkilemediği veya müşteri hesaplarına ulaşmış gibi görünmediği belirtildi.
Play ransomware grubu, saldırının arkasındaki tehdit aktörü olduğunu söyledi. Dark web sızıntı sitesinde “özel ve kişisel gizli verileri, müşteri ve çalışan belgelerini, pasaportları, sözleşmeleri” indirdiğini iddia etti ve verileri Cumartesi günü yayınlamakla tehdit ediyor.
Globalcaja’nın en son yıllık raporu, bankanın yaklaşık yarım milyon müşteriye hizmet verdiğini söylüyor.
Geçen Haftanın Diğer Kapsamı
ISMG’den Mumbai’deki Prajeet Nair ve Pune’daki Jayant Chakravarti’den gelen raporlarla