En son Cy’den Sensör İstihbaratı Raporu4-10 Aralık 2024 tarihli ble, kötü amaçlı yazılım izinsiz girişleri, kimlik avı dolandırıcılıkları ve Nesnelerin İnterneti (IoT) cihazlarındaki güvenlik açıklarını hedef alan saldırılar da dahil olmak üzere siber tehditlerdeki rahatsız edici artışa ışık tutuyor.
Cyble’ın geniş Honeypot sensörleri ağı tarafından toplanan gerçek zamanlı verilerden derlenen bu rapor, istismar girişimleri, kötü amaçlı yazılımlar, mali dolandırıcılık ve Yaygın Güvenlik Açıkları ve Etkilenmeler (CVE’ler) hakkında kritik bilgiler sunar.
Cyble Sensör İstihbaratı Raporuna Genel Bakış
Cyble’ın kesmesig-edge Sensör İstihbaratı Raporu şunları sağlar: Geçtiğimiz hafta en yaygın siber tehditlerin kapsamlı bir analizi. Temel bulgular arasında, hem IoT cihazları hem de yaygın olarak kullanılan yazılım platformlarındaki istismar girişimlerinde, kötü amaçlı yazılım salgınlarında ve güvenlik açıklarında dikkate değer bir artış var.
Cyble’ın Küresel Sensör İstihbaratı (CGSI) ağı, bu dönemde çeşitli saldırı vektörlerinin tespit edilmesinde önemli bir rol oynadı. Bu saldırılar öncelikle Mirai ve Gafgyt kötü amaçlı yazılım türlerinde bulunanlar gibi yüksek profilli güvenlik açıklarının yanı sıra Telerik UI ve Cisco ASA platformlarını etkileyen açıkları hedef aldı.
Göze çarpan gözlemlerden biri, genellikle kişisel ve finansal verileri çalmak için tasarlanmış kimlik avı kampanyaları aracılığıyla gerçekleştirilen mali dolandırıcılık girişimlerinin artan sıklığıydı. Birçoğu meşru yazılım güncellemeleri veya sistem uyarıları olarak gizlenen bu kampanyalar, hem işletmelere hem de bireylere çevrimiçi riskler sunmaya devam ediyor.
IoT Güvenlik Açıklarına Odaklanma
Tanımlanan birçok saldırı vektörü arasında IoT güvenlik açıkları, siber suçluların birincil hedefi olarak ortaya çıktı. Bağlantılı cihazların hızla çoğalması, geniş bir saldırı yüzeyi yaratarak kritik sistemlerin açığa çıkmasına neden oldu. Bu raporda Cyble, IoT cihazlarının istismara karşı korunmasının önemini vurguluyor. Birçoğu saldırganların cihazlara uzaktan erişmesine ve potansiyel olarak onları kontrol etmesine olanak tanıyan çeşitli güvenlik açıkları belirlendi. Bu güvenlik açıkları, birbirine bağlı sistemlerden oluşan ağların tamamını tehlikeye atabileceğinden özellikle endişe vericidir.
Kötü Amaçlı Yazılım, Kimlik Avı ve CVE İstismarları
Sensör İstihbaratı Raporu ayrıca belirli kötü amaçlı yazılım türlerinin yükselişi ve yazılım açıklarını hedef alan istismar girişimleri hakkında derinlemesine analiz sağlar. Aşağıda önemli noktalar yer almaktadır:
Kötü Amaçlı Yazılım: AppLite Banker Truva Atı
Belirlenen en ilginç tehditlerden biri, finansal verileri çalmak için tasarlanmış bir kötü amaçlı yazılım olan AppLite Banker Trojan’dı. Bu kötü amaçlı yazılım öncelikle müşteri ilişkileri yönetimi (CRM) uygulamaları olarak gizlenen kimlik avı e-postaları aracılığıyla dağıtılır. Kurulduktan sonra Android’in Erişilebilirlik Hizmetlerinden yararlanarak popüler bankacılık uygulamalarına sahte giriş ekranları yerleştiriyor ve kullanıcıları kimlik bilgilerini girmeleri için kandırıyor.
AppLite’ı özellikle tehlikeli kılan şey gelişmiş kaçınma teknikleridir. APK dosya yapılarını değiştirerek statik analiz araçlarının onu algılamasını zorlaştırır. Trojan, bir cihaza erişim sağladıktan sonra hassas finansal verileri sızdırabilir, komutları uzaktan yürütebilir ve ekran kilidini açma ve kullanıcı etkileşimlerini simüle etme gibi özellikler aracılığıyla cihazı kontrol edebilir. Çok dilli yetenekleri sayesinde bu kötü amaçlı yazılım, çeşitli bölgelerdeki kullanıcıları hedef alarak küresel bir tehdit haline geliyor.
CVE İstismarları: Büyüyen Bir Endişe
Cyble’Sensör İstihbaratı Raporu alBu durum, CVE-2020-11899’un en sık saldırıya uğrayan CVE-2020-11899 ile öne çıktığı çok sayıda CVE’nin sürekli olarak sömürüldüğünü vurguluyor. Treck TCP/IP yığınını etkileyen bu güvenlik açığı, saldırganların IPv6 iletişimlerinde sınır dışı okuma tetiklemesine olanak tanıyor. Raporlama döneminde, bu güvenlik açığından yararlanmaya yönelik şaşırtıcı sayıda 25.736 girişim tespit edildi.
Saldırı altındaki diğer önemli CVE’ler şunları içerir:
- CVE-2019-0708: Uzak Masaüstü Hizmetlerinde aktif olarak hedeflenmeye devam eden bir uzaktan kod yürütme güvenlik açığı.
- CVE-2021-44228: Siber suçluların istismarı için önemli bir yol olmaya devam eden meşhur Log4j güvenlik açığı.
Bu CVE’ler, diğer birçoklarıyla birlikte, giderek daha karmaşık hale gelen saldırılarda istismar ediliyor ve bu da kuruluşların güvenlik açıklarını zamanında düzeltmeye yönelik kritik ihtiyacı ortaya koyuyor.
İstismar Edilen Güvenlik Açıklarına İlişkin Örnek Olay İncelemeleri
Raporda ayrıca yaygın olarak kullanılan yazılım sistemlerindeki çeşitli güvenlik açıkları da inceleniyor. Anahtar örnekler şunları içerir:
- PHP CGI Argüman Ekleme Güvenlik Açığı (CVE-2024-4577): PHP yapılandırmalarındaki bu kritik güvenlik açığı, saldırganların özel hazırlanmış URL parametreleri aracılığıyla rastgele komutlar yürütmesine olanak tanır. Kuruluşların PHP yapılandırmalarına yama yapması ve kötüye kullanımı önlemek için erişimi sınırlaması önerilir.
- OSGeo GeoServer Uzaktan Kod Yürütme (CVE-2024-36401): Cyble, GeoServer’ın eski sürümlerinde, kimliği doğrulanmamış kullanıcıların rastgele kod çalıştırmasına izin veren bir uzaktan kod yürütme hatası tespit etti. Rapor, riski azaltmak için GeoServer’ın 2.23.6, 2.24.4 veya 2.25.2 sürümlerine güncellenmesini öneriyor.
- Ruby SAML Uygunsuz İmza Doğrulaması (CVE-2024-45409): Ruby-SAML kütüphanesindeki bu güvenlik açığı, saldırganların SAML yanıtlarını taklit etmesine ve sistemlere yetkisiz erişim elde etmesine olanak tanıyabilir. Ruby-SAML 1.17.0 sürümüne güncelleme yapılması önerilir.
- Cisco IOS XE Web Kullanıcı Arayüzü Ayrıcalığını Yükseltme (CVE-2023-20198, CVE-2023-20273): Bu güvenlik açıklarından yararlanılması, aktif saldırıların devam etmesiyle saldırganların ayrıcalıkları yükseltmesine ve etkilenen sistemlere kök erişimi elde etmesine olanak tanır.
Çözüm
Cyble’ın Sensör İstihbaratı Raporunda tanımlanan büyüyen siber tehditleri azaltmak için kuruluşların, güvenlik açıklarını düzeltmek üzere yazılım ve donanımı düzenli olarak güncelleyerek, kötü amaçlı IP’leri engellemek için tehdit istihbaratı beslemelerinden yararlanarak, güçlü parolalar ve çok faktörlü kimlik doğrulamayı zorunlu kılarak ve sürekli izleme yoluyla proaktif bir yaklaşım benimsemesi gerekir. Şüpheli IP adresleri ve dosya karmaları gibi Tehlike Göstergeleri (IoC’ler) için. Yanlış yapılandırmaları belirlemek ve düzeltmek için düzenli güvenlik açığı denetimleri de yapılmalıdır.
İlgili