Cyble’ın Güvenlik Açığı İstihbaratı birimi, Ruby SAML kütüphanesi, D-Link NAS cihazları ve aiohttp çerçevesi dahil olmak üzere çeşitli yazılım sistemlerindeki kritik güvenlik açıklarını hedef alan bir dizi siber saldırıyı ortaya çıkardı.
2 Ekim ile 8 Ekim 2024 tarihleri arasında Cyble’ın bal küpü sensörleri, birçok yüksek profilli sistemdeki güvenlik açıklarından yararlanan çok sayıda yeni siber saldırı tespit etti. En dikkate değer hedefler arasında Ruby SAML kütüphanesi, bir dizi D-Link NAS cihazı, aiohttp istemci-sunucu çerçevesi ve restoranlar ve diğer işletmeler tarafından kullanılan popüler bir WordPress eklentisi vardı.
Bu hedefli saldırılara ek olarak, Cyble’ın sensörleri 350’den fazla yeni kimlik avı e-posta adresi tespit etti ve bilinen zayıflıklardan yararlanmayı amaçlayan binlerce kaba kuvvet saldırısı bildirdi.
Cyble Güvenlik Açığı İstihbaratı Yeni Siber Saldırıları Ortaya Çıkarıyor
Cyble’ın kapsamlı raporu, şu anda tehdit aktörleri tarafından aktif olarak istismar edilen 40’tan fazla güvenlik açığını inceledi. Aşağıda özellikle güvenlik açıklarıyla ilgili dört tanesi yer almaktadır:
Ruby SAML Kriptografik İmza Güvenlik Açığının Uygunsuz Doğrulanması (CVE-2024-45409)
İstemci tarafında SAML yetkilendirmesini yöneten Ruby SAML kitaplığının, 1.16.0’a kadar olan sürümlerde SAML yanıtlarının imzasını hatalı şekilde doğruladığı tespit edildi. 9,8 önem derecesine sahip bu güvenlik açığı, kimliği doğrulanmamış saldırganların SAML yanıtlarını taklit etmesine ve sistemlere yetkisiz erişim sağlama potansiyeline sahip olmasına olanak tanır. Sorun 1.12.3 ve 1.17.0 sürümlerinde giderilmiştir.
aiohttp Yol Geçişi (CVE-2024-23334)
Asyncio ve Python için aiohttp istemci-sunucu çerçevesindeki bu güvenlik açığı, statik yolların hatalı işlenmesi nedeniyle dizin geçişine izin verir. ‘Follow_symlinks’ seçeneği etkinleştirildiğinde, yetkisiz kullanıcılar belirlenen kök dizinin dışındaki hassas dosyalara erişebilir. Güvenlik açığı sürüm 3.9.2’de giderilmiştir ve uzmanlar riskleri azaltmak için bu seçeneğin devre dışı bırakılmasını önermektedir.
D-Link NAS Cihazlarında Sabit Kodlanmış Kimlik Bilgisi Güvenlik Açığı (CVE-2024-3272)
Bu ciddi güvenlik açığı, kullanım ömrü sonundaki D-Link NAS cihazlarını etkileyerek, sabit kodlanmış kimlik bilgileri nedeniyle uzaktan istismara olanak tanır. Etkilenen cihazlar arasında DNS-320L, DNS-325, DNS-327L ve DNS-340L yer alıyor; önerilen eylem planı, satıcı tarafından onaylandığı üzere bu cihazların kullanımdan kaldırılması ve değiştirilmesidir.
PriceListo’da SQL Enjeksiyon Güvenlik Açığı (CVE-2024-38793)
PriceListo Best Restaurant Menu WordPress eklentisinde, saldırganların veritabanı sorgularını manipüle etmesine olanak tanıyan bir SQL Enjeksiyon güvenlik açığı keşfedildi. Bu güvenlik açığından 1.4.1’e kadar olan sürümlerde yararlanılabilir.
Bu güvenlik açıkları, tümü aktif saldırı altında olan PHP, GeoServer ve AVTECH IP kameralarında daha önce bildirilen güvenlik açıkları da dahil olmak üzere devam eden tehditlerin daha geniş bir yelpazesinin parçasıdır.
Kaba Kuvvet Saldırıları Yükselişte
Cyble’ın sensörleri bu dönemde binlerce kaba kuvvet saldırısı kaydetti; saldırganların çoğunluğu Vietnam ve Rusya’dan geliyordu. En çok hedeflenen bağlantı noktaları 22, 445, 23 ve 3389’du ve saldırıların önemli bir kısmı uzak masaüstü hizmetlerine yönelikti. Güvenlik analistlerinden, sıklıkla saldırıya uğrayan bu bağlantı noktalarını engellemek için güvenlik önlemleri almaları isteniyor.
Cyble’daki araştırma ekibi ayrıca 351 yeni kimlik avı e-posta adresi tespit etti ve çok sayıda dolandırıcılığın altını çizdi. Dikkate değer kimlik avı girişimleri şunları içeriyordu:
- Talep Yönergeleri: Sahte bir geri ödeme dolandırıcılığı.
- DEĞERLİ KAZANAN: Sahte ödül kazançları vaat eden bir piyango dolandırıcılığı.
- ALLAH SİZİ KORUSUN: Bir hayır kurumu gibi davranan bir bağış dolandırıcılığı.
- SEÇİLMİŞ E-POSTA: Gerçekçi olmayan getiriler vaat eden bir yatırım dolandırıcılığı.
- Gümrükten Geçmiş Sipariş: Kurbanlardan ücret almak için tasarlanmış bir nakliye dolandırıcılığı.
- BM Tazminat Fonu: Hileli bir hükümet tazminat planı.
Çözüm
Cyble’ın Güvenlik Açığı İstihbaratı biriminden elde edilen bulgular, kuruluşların siber tehditlere karşı acilen tetikte olma ihtiyacını vurguluyor. Kuruluşlar, bilinen tehditleri engellemek, güvenlik açıklarını düzeltmek ve güçlü parola politikaları uygulamak gibi proaktif stratejiler uygulayarak savunmalarını geliştirebilirler. Cyble sensörleri tarafından sağlanan bilgiler, güvenlik açığı istihbaratını güçlendirmek ve çevrimiçi risklere karşı koruma sağlamak için temel rehberlik sunar.