Cyber Express, Cyble Research & Intelligence Labs (CRIL) ile işbirliği içinde, güvenlik açıklarına ilişkin en yeni ve en kapsamlı bilgileri sağlamaya kendini adamıştır. Her hafta, Cyble’daki yüksek vasıflı karanlık web ve tehdit istihbaratı araştırmacıları tarafından hazırlanan, BT yöneticileri ve güvenlik uzmanları için eyleme dönüştürülebilir bilgiler sunuyoruz.
Cyble, Haftalık Güvenlik Açığı Raporunda acil müdahale gerektiren birkaç önemli hata tespit etti. Raporun tamamı, bu güvenlik açıklarının yanı sıra karanlık ağda bulunan güvenlik açıkları, endüstriyel kontrol sistemi (ICS) güvenlik açığı istihbaratı ve siber güvenlik savunmalarına ilişkin ayrıntılar ve tartışmaları kapsıyor. Cyble güvenlik analistleri ayrıca müşteri ortamlarını herhangi bir riske karşı uyarmak için taramalar da gerçekleştirdi.
05 Haziran 2024’ten 11 Haziran 2024’e kadar vurgulanan bu güvenlik açıkları, kolaylıkla istismar edilebilecek kritik sorunları içermektedir. Bu güvenlik açıklarına yama yapılmaması, yetkisiz erişime, veri ihlallerine ve önemli operasyonel kesintilere neden olabilir.
Cyble araştırmacıları, internete açık 1 milyondan fazla varlığın bu güvenlik açıklarına maruz kaldığını tespit ederek, bu güvenlik kusurlarının giderilmesinin aciliyetini vurguladı.
Kritik Güvenlik açıkları ve Etkileri
İşte Cyble tarafından belirlenen en kritik beş güvenlik açığının ayrıntıları ve analizi.
GitHub Erişim Belirteci (CVE-2024-37051)
Genel bakış: Yetkisiz kişilerin GitHub hesaplarına erişmesine izin verebilecek açıkta kalan erişim belirteçleri belirlendi. Bu, kodun manipülasyonuna veya çalınmasına yol açarak yazılımın bütünlüğü ve güvenliği açısından ciddi bir tehdit oluşturabilir.
Darbe: Depolara yetkisiz erişim, hassas bilgilerin sızmasına, kötü amaçlı kodların eklenmesine ve etkilenen depolara bağlı projelerin potansiyel olarak tehlikeye atılmasına neden olabilir.
FortiOS SSL-VPN (CVE-2022-42475)
Genel Bakış: FortiOS SSL-VPN’deki kritik bir yığın tabanlı arabellek taşması güvenlik açığı, siber casusluk kampanyalarında aktif olarak istismar edildi. Bu güvenlik açığı, saldırganların etkilenen sistemlerde rastgele kod yürütmesine olanak tanır.
Darbe: Başarılı bir şekilde yararlanma, güvenliği ihlal edilmiş sistem üzerinde tam kontrole yol açarak veri hırsızlığına, ağ ihlallerine ve hizmet kesintilerine yol açabilir.
PHP Uzaktan Kod Yürütme (CVE-2024-4577)
Genel Bakış: PHP’nin birden fazla sürümünün uzaktan kod yürütmeye karşı savunmasız olduğu tespit edildi. Bu güvenlik açığından, güvenliği ihlal edilmiş PHP sürümlerini çalıştıran web sunucularını etkileyen fidye yazılımı dağıtmak için yararlanıldı.
Darbe: İstismar, web sunucularının tamamen ele geçirilmesine, veri sızmasına ve fidye için dosya şifrelemeye neden olabilir.
Netgear Kimlik Doğrulaması Atlaması (CVE-2024-36787)
Genel Bakış: Netgear yönlendiricilerindeki bir güvenlik açığı, saldırganların kimlik doğrulama mekanizmalarını atlayarak yönlendirici ayarlarına yetkisiz erişim sağlamasına olanak tanır.
Darbe: Yetkisiz erişim, ağ ayarlarını değiştirebilir, verilere müdahale edebilir ve ağda başka tehlikelere yol açabilir.
Veeam Backup Kurumsal Yöneticisi (CVE-2024-29849)
Genel Bakış: Veeam Backup Enterprise Manager’daki kritik bir güvenlik açığı, kimliği doğrulanmamış kullanıcıların oturum açmasına olanak tanıyarak yüksek veri hırsızlığı ve manipülasyon riski oluşturur.
Darbe: Yedekleme sistemlerine yetkisiz erişim, veri ihlallerine, kritik yedekleme verilerinin kaybına ve olası operasyonel kesintilere neden olabilir.
Haftalık Güvenlik Açığı Rapor: Öne Çıkanlar
CVE-2024-37051
Etki analizi: IntelliJ açık kaynak platformundaki JetBrains GitHub eklentisindeki kritik bir güvenlik açığı, tüm IntelliJ tabanlı IDE’leri etkileyerek GitHub erişim belirteçlerinin açığa çıkmasına neden oluyor. TA’lar, kullanıcı GitHub hesaplarına ve depolarına yetkisiz erişim sağlamak ve muhtemelen kötü amaçlı kod dağıtmak veya depoları silmek için açığa çıkan belirteçleri kullanarak bu güvenlik açığından yararlanabilir.
İnternete Maruz Kalma: Hayır
Yama: Mevcut
CVE-2022-42475
Etki analizi: FortiOS SSL-VPN ve FortiProxy SSL-VPN’deki kritik yığın tabanlı arabellek taşması güvenlik açığı, kimliği doğrulanmamış uzaktaki saldırganların özel hazırlanmış istekler aracılığıyla rastgele kod veya komutlar yürütmesine olanak tanıyor. Raporlar, Çinli teknik asistanların, savunmasız Fortigate ağ güvenliği cihazlarına kötü amaçlı yazılım dağıtmak için 2022 ile 2023 yılları arasında birkaç ay boyunca devlet kurumlarını hedef alan siber casusluk kampanyalarında bu güvenlik açığını silah olarak kullandığını gösteriyor.
İnternete Maruz Kalma: Evet
Yama: Mevcut
CVE-2024-4577
Etki analizi: Windows’ta Apache ve PHP-CGI kullanılırken PHP’nin 8.1.29’dan önceki 8.1.*, 8.2.20’den önceki 8.2.* ve 8.3.8’den önceki 8.3.* sürümlerini etkileyen kritik bir uzaktan kod yürütme (RCE) güvenlik açığı. PHP, web geliştirme için tasarlanmış, yaygın olarak kullanılan açık kaynaklı bir kodlama dilidir ve güvenlik açığı, komut dosyalarının kaynak kodunu ortaya çıkarabilir ve TA’ların sunucuda rastgele PHP kodu çalıştırmasına olanak sağlayabilir. Son zamanlarda araştırmacılar, TellYouThePass fidye yazılımı çetesinin, web kabuklarını dağıtmak ve hedef sistemlerde şifreleyici yükünü yürütmek için bu güvenlik açığından yararlandığını gözlemledi.
İnternete Maruz Kalma: Evet
Yama: Mevcut
CVE-2024-4610
Etki analizi: Arm Ltd Bifrost GPU Çekirdek Sürücüsü ve Arm Ltd Valhall GPU Çekirdek Sürücüsü’ndeki serbest kullanım sonrası güvenlik açığı, ayrıcalıklı olmayan yerel kullanıcıların, uygunsuz GPU bellek işleme işlemleri yoluyla zaten serbest bırakılmış belleğe erişmesine olanak tanır.
İnternete Maruz Kalma: Hayır
Yama: Mevcut
CVE-2024-36787
Etki analizi: Netgear WNR614 JNR1010V2 N300-V1.1.0.54_1.0.1’deki bu güvenlik açığı, saldırganların kimlik doğrulamayı atlamasına ve yönetim arayüzüne erişmesine olanak tanıyarak ağ güvenliği ve hassas kullanıcı verileri için ciddi bir tehdit oluşturur.
İnternete Maruz Kalma: Evet
Yama: Belirtilmedi
CVE-2024-29849
Etki analizi: Veeam Backup Enterprise Manager’daki (VBEM) bir güvenlik açığı, kimliği doğrulanmamış saldırganların kurumsal yönetici web arayüzünde herhangi bir kullanıcı olarak oturum açmasına olanak tanıyor. Bu, Veeam ürünlerinin küresel kullanımı ve halka açık kavram kanıtlarının (PoC) mevcut olması nedeniyle yüksek bir risk oluşturmaktadır.
İnternete Maruz Kalma: Evet
Yama: Mevcut
CVE-2019-9082 ve CVE-2018-20062
Etki analizi: Bu güvenlik açıkları, MVC yapısına sahip açık kaynaklı bir PHP çerçevesi olan ThinkPHP’yi etkileyerek uzaktan kod yürütülmesine (RCE) yol açar. Çinli tehdit aktörleri, Dama adında kalıcı bir web kabuğu kurmak için bu güvenlik açıklarından yararlandı.
İnternete Maruz Kalma: Hayır
Yama: Belirtilmedi
CVE-2024-24919
Etki analizi: Bu güvenlik açığı, Check Point Uzaktan Erişim VPN’ini etkiler ve saldırganların, uzaktan erişim VPN’si veya mobil erişim etkinken İnternet’e bağlı ağ geçitlerinden bilgi okumasına olanak tanır. 30 Nisan’dan bu yana sıfır gün saldırılarında istismar ediliyor ve Active Directory verilerini çalarak kurban ağları üzerinden yanal harekete olanak sağlıyor.
İnternete Maruz Kalma: Evet
Yama: Mevcut
CVE-2024-30080
Etki analizi: Microsoft’un Mesaj Queuing’indeki (MSMQ) kritik bir uzaktan kod yürütme güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından özel hazırlanmış kötü amaçlı MSMQ paketleri aracılığıyla kullanılabilir. Microsoft, aylık Salı Yaması güncellemesinde kusuru giderdi.
İnternete Maruz Kalma: Evet
Yama: Mevcut
Endüstriyel Kontrol Sistemleri (ICS) Güvenlik Açıkları
Raporda ayrıca sağlık, acil durum hizmetleri ve enerji gibi sektörler için kritik olan Endüstriyel Kontrol Sistemlerindeki (ICS) güvenlik açıkları da vurgulanıyor. Bu güvenlik açıklarının çoğunluğu yüksek ve kritik önem derecesine sahip olarak sınıflandırılmıştır; bu da ICS ortamlarının güvenliğinin sağlanmasının önemini vurgulamaktadır.
Önerilen Azaltma Stratejileri
Bu güvenlik açıklarıyla ilişkili riskleri azaltmak için aşağıdaki stratejiler önerilir:
- Düzenli Yazılım ve Donanım Güncellemeleri: Tüm sistemlerin ve cihazların en son güvenlik yamaları ve ürün yazılımı güncellemeleriyle güncel olduğundan emin olun.
- Yama Yönetimi: Bilinen güvenlik açıklarını derhal ele almak ve yamaları uygulamak için kapsamlı bir yama yönetimi süreci uygulayın.
- Ağ Segmentasyonu: Saldırıların yayılmasını sınırlamak ve saldırı yüzeyini azaltmak için ağları bölümlere ayırın.
- Olay Müdahale ve Kurtarma Planları: İhlal durumunda hızlı aksiyon alınmasını sağlamak için olay müdahale ve kurtarma planlarını geliştirin ve düzenli olarak güncelleyin.
- İzleme ve Loglama Çözümleri: Şüpheli etkinlikleri gerçek zamanlı olarak tespit etmek ve bunlara yanıt vermek için gelişmiş izleme ve günlük kaydı çözümlerini dağıtın.
- Düzenli Güvenlik Açığı Değerlendirmeleri ve Sızma Testleri: Güvenlik zayıflıklarını belirlemek ve düzeltmek için düzenli olarak güvenlik açığı değerlendirmeleri ve sızma testleri gerçekleştirin.
- Güçlü Şifre Politikaları ve Çok Faktörlü Kimlik Doğrulama: Erişim kontrolünü geliştirmek için güçlü parola politikaları uygulayın ve çok faktörlü kimlik doğrulamayı uygulayın.
Raporda ayrıca yeraltı forumlarında çeşitli güvenlik açıklarının aktif olarak tartışıldığı ve paylaşıldığı da belirtiliyor. Bunlar arasında siber suçluların istismar ettiği, WordPress ve macOS gibi popüler platformları etkileyen güvenlik açıkları da yer alıyor.
Çözüm
Haftalık Güvenlik Açığı İstihbarat Raporu’nun bulguları, sürekli dikkat ve proaktif siber güvenlik önlemlerine duyulan kritik ihtiyacı vurguluyor. Kuruluşlar, ortaya çıkan tehditlere karşı koruma sağlamak için yama yönetimine öncelik vermeli, düzenli güvenlik denetimleri yapmalı ve olay müdahale planlarını sürdürmelidir.
The Cyber Express tarafından size sunulan Cyble’ın Haftalık Güvenlik Açığı İstihbarat Raporu ile siber tehditlerin önünde kalın. Cyble’ın gelişmiş yapay zeka odaklı tehdit istihbaratının desteklediği en son bilgiler için şimdi abone olun.