Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Ayrıca: Honeypot ‘Jinn Ransomware’, Salı Yaması ve Riskli Sektörler
Anviksha Daha Fazla (AnvikshaDevamı) •
14 Kasım 2024
ISMG her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini topluyor. Araştırmacılar, bu hafta Fortinet’in FortiJump’a tam olarak yama yapmadığını, “Jinn Ransomware”in bir kurgu olduğunu, Microsoft Patch Tuesday’i ve Moody’s’in risk altındaki sektörlere ilişkin uyarısını söyledi. Ayrıca bir borç servisi şirketi ihlali, DemandScience ihlali ve GitHub kullanıcılarını hedef alan kötü amaçlı bir araç.
Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltmaya Yönelik Uzman Kılavuzu
Fortinet Cihazları Hala FortiJump Riski Altında: WatchTowr
WatchTowr’dan siber güvenlik araştırmacıları, güvenlik duvarı üreticisi Fortinet’in merkezi yönetim platformunda, bilgisayar korsanlarının keyfi kod veya komutlar yürütmesine olanak tanıyan bir kusuru tam olarak düzeltmediğini söylüyor.
Perşembe günkü bir blog yazısında güvenlik açığı avcıları, FortiGate cihazlarının merkezi yönetimi olan FortiManager’ın ayrıcalıklarını artırabildiklerini yazdı. Platform, Silikon Vadisi üreticisinin Ekim ayı sonlarında yamalar ve hafifletmeler yayınladığı “FortiJump” adlı bir istismar nedeniyle saldırıya uğradı (bkz: Fortinet Aktif Olarak İstismar Edilen Sıfır Gün’ü Açıkladı).
WatchTowr, yamanın araştırmacıların bir FortiGate cihazından yönetim platformuna yanal olarak geçişini engellemediğini yazdı; bilgisayar korsanlarının kimlik doğrulamasız erişime başka bir sıfır gün daha izin vermesi durumunda Fortinet ortamlarını saldırılar için ayarlıyor.
WatchTowr, “Yönetilen herhangi bir FortiGate cihazının sahipliği kolayca FortiManger’ın kendisine ve dolayısıyla diğer tüm yönetilen cihazlara yükseltildiğinden, bunun FortiManager kurulumları için tehdit modelini önemli ölçüde değiştirme etkisi var” diye yazdı. Şirket bu kusuru “FortiJumpHigher” olarak adlandırdı.
CVE-2024-4757 olarak takip edilen orijinal FortiJump, bilinen veya bilinmeyen herhangi bir cihazın kötü amaçlı komutlar enjekte etmek için FortiManager’a bağlanmasına izin veren bir ayardan yararlandı.
WatchTowr, Fortinet’in artık yeni cihazların FortiManager ile iletişim kurabilmesi için kaydolması gerektiğini yazdı; ancak kod tabanının analizi, komut enjeksiyon güvenlik açığının yamasız olduğunu gösterdi. Şirket, komut enjeksiyonlarını engellemek için bir yama yazdı ancak araştırmacılar yine de bunu başarmayı başardı. WatchTowr, “Bu, Fortinet’in yanlış kodu, yanlış dosyaya, tamamen farklı bir kütüphaneye yamaladığı anlamına geliyor” diye yazdı.
WatchTowr, cihaz kaydındaki düzeltmeler nedeniyle FortiJumpHigher’ın “FortiJump olan tam RCE yerine kimlik doğrulama sonrası ayrıcalık yükseltme saldırısı” olduğunu söyledi.
‘Jinn Fidye Yazılımı’ Bir Bal Küpüdür
Bir kalem testçisi, farklı becerilere sahip bilgisayar korsanlarının uğrak yeri olan bir çevrimiçi suç forumunda sahte bir fidye yazılımı oluşturucusunun yayılmasının sorumluluğunu üstleniyor. Zerotak’ın kurucusu Cristian Cornea Salı günü, “Jinn Ransomware” için arka kapılı bir geliştirici dağıtmak amacıyla BreachForums’ta “HeapCrash” adlı bir bilgisayar korsanı gibi davrandığını yazdı.
Cornea, bal küpü komuta ve kontrol merkezinin 100’den fazla bağlantı aldığını söyledi. “Kodu her zaman internetten alınan açıklardan yararlanma örnekleri ve hackleme araçları içinde analiz edin” diye yazdı.
Microsoft, Kasım Ayında Dört Sıfır Gün İstismarını Düzeltti
Microsoft’un Kasım Yaması Salı günü, 2’si aktif olarak yararlanılan 4 sıfır gün de dahil olmak üzere 89 güvenlik açığını giderdi. Kritik kusurlar arasında iki uzaktan kod yürütme, RCE, güvenlik açıkları ve iki ayrıcalık yükseltme sorunu yer alıyor. Güncelleme ayrıca 26 EoP kusuru, 2 güvenlik özelliği atlaması, 52 RCE ve 4 hizmet reddi güvenlik açığı dahil olmak üzere bir dizi başka güvenlik açığını da giderir.
Microsoft, uzak saldırganların, kötü amaçlı bir dosyayı tıklamak veya incelemek gibi minimum kullanıcı etkileşimiyle NTLMv2 karmalarını almasına olanak tanıyan bir NTLM karma ifşa sahtekarlığı güvenlik açığını (CVE-2024-43451) düzeltti. Bir siber güvenlik şirketi, kusurun Ukraynalı kuruluşlara saldırmak için kullanıldığını gözlemledi.
Bir diğer dikkate değer düzeltme, saldırganların düşük ayrıcalıklı bir ortamdan ayrıcalıkları yükseltmesine olanak tanıyarak kısıtlı kodun yürütülmesine olanak tanıyan bir Microsoft Windows Görev Zamanlayıcı güvenlik açığı olan CVE-2024-49039’u ele alıyor.
Microsoft ayrıca kamuya açıklanan ancak henüz istismar edilmeyen diğer güvenlik açıklarını da yamaladı. Bunlar arasında Microsoft Exchange Server’daki bir kimlik sahtekarlığı güvenlik açığı (CVE-2024-49040) ve Active Directory Sertifika Hizmetleri’ndeki bir EoP kusuru (CVE-2024-49019) yer alıyor.
Telekom, Havayolları ve Kamu Hizmetleri Artan Siber Risklerle Karşı Karşıya
Moody’s’in Salı günü yayınlanan ödeme duvarı araştırması, telekomünikasyon, havayolları ve kamu hizmetlerinin hızlı dijitalleşme ve yetersiz güvenlik önlemleri nedeniyle “çok yüksek” hacklenme riskiyle karşı karşıya olduğunu söyledi.
Telekomünikasyon sistemik önemi nedeniyle en fazla risk altında olan sektördür. Raporda, operatörlerin operasyonlarını buluta taşımak ve yeni güvenlik açıkları ortaya çıkarmak da dahil olmak üzere dijital dönüşüme önemli yatırımlar yaptığı belirtildi. Sektör firmaları siber güvenliğe yoğun yatırım yapıyor ancak Moody’s’in değerlendirmesi “onların artan riske maruz kalma durumlarını ortadan kaldırmaya yönelik çabaları henüz yok”.
Havayollarının son derece dijital ve giderek birbirine bağlanan ekosistemi, onları “hassas müşteri verilerini hedef alan bir dizi siber tehdide karşı duyarlı” hale getiriyor. Sektör genelinde üçüncü taraf yazılımlara güvenilmesi, daha fazla güvenlik açığının ortaya çıkmasına neden olur. Benzer şekilde, enerji ve su hizmetlerinin artan dijitalleşmesi, kritik altyapıdaki kritik rolleriyle birleştiğinde, onları siber saldırıların hedefi haline getiriyor. Kamu hizmetleri şirketleri riskleri dengelemeye çalışıyor ancak “siber güvenlik maliyetlerinin karşılanmasına yönelik ölçek ve düzenleyici destekteki büyük farklılıklar nedeniyle, bireysel kamu hizmetlerinin diğer şirketler ve finansal kurumlarla aynı yatırım seviyesini sürdürme becerisinde büyük farklılıklar var.”
Veri İhlali 1,5 Milyon Kişinin Hassas Bilgilerini Açığa Çıkardı
Borç hizmetleri şirketi Set Forth, bir veri ihlalinin 1,5 milyon kişinin kişisel bilgilerini etkilediğini söyledi. Forth, ihlali 21 Mayıs’ta şirket sistemlerindeki “şüpheli faaliyet” sonrasında tespit etti. Üçüncü taraf adli tıp uzmanlarıyla yapılan bir soruşturmanın ardından Set Forth, ele geçirilen verilerin müşterilerin adlarını, adreslerini, doğum tarihlerini ve Sosyal Güvenlik numaralarının yanı sıra eşleri, ortak başvuru sahipleri ve bakmakla yükümlü oldukları kişilerle ilgili bilgileri içerdiğini belirledi.
Talepte 122 Milyon Kişinin Verileri Açığa ÇıktıBilim Sızıntısı
Bilgisayar korsanları, daha önce Pure Incubation olarak bilinen B2B talep oluşturma platformu DemandScience’ı ihlal ettikten sonra 122 milyon profesyonelin kişisel iletişim bilgilerini sızdırdı. Güvenlik uzmanı Troy Hunt, olası satış yaratma ve pazarlamaya yardımcı olmak amacıyla halka açık kaynaklardan ve üçüncü taraflardan toplanan isimler, adresler, e-posta adresleri, telefon numaraları, iş unvanları ve sosyal medya bağlantılarını içeren iddiayı doğruladı.
Şubat ayında “KryptonZambie” adlı bir bilgisayar korsanı, verilerin Pure Incubation’dan kaynaklandığını iddia ederek BreachForums’ta 132,8 milyon kayıt satmaya başladı. DemandScience başlangıçta bir ihlale ilişkin kanıtları reddetti. KryptonZambie ağustos ayında veri setini minimum maliyetle yayınladı.
DemandScience’ın e-posta yanıtına göre veriler, iki yıl önce hizmet dışı bırakılan ve mevcut operasyonların bir parçası olmayan eski bir sistemle bağlantılıydı. Hunt’ın soruşturması, Pfizer’de çalıştığı zamana ait kendisininki de dahil olmak üzere doğru bilgilerin varlığını doğruladı.
Yeni Araç Toplu Kimlik Bilgisi Hırsızlığı İçin GitHub Kullanıcılarını Hedefliyor
SlashNext’ten araştırmacılar, yeni bir aracın e-posta adreslerini toplayarak ve toplu kimlik avı kampanyalarına olanak tanıyarak GitHub kullanıcılarını hedef aldığını söyledi. “Golssue” olarak adlandırılan ve bir siber suç forumunda pazarlanan kötü amaçlı araç, otomatik süreçleri ve GitHub belirteçlerini kullanarak e-posta adresleri, kuruluş üyelikleri ve hayalperest listeleri gibi GitHub profillerinden verileri çıkarıyor. Perakende fiyatı, özel bir yapı için 700 ABD Doları veya tam kaynak kodu erişimi için 3.000 ABD Doları civarındadır.
Aracın birincil işlevi, spam filtrelerini aşma ve belirli topluluklara ulaşma potansiyeline sahip, geliştiricileri hedef alan büyük ölçekli kimlik avı kampanyaları başlatmaktır. Özel depolara erişim kazanmak için geliştirici kimlik bilgilerini çalabilir, kötü amaçlı yazılım yayabilir ve OAuth uygulama yetkilendirmelerini tetikleyebilir.
SlashNext, GoIssue’yu, geliştirici depolarını silmeyi amaçlayan kötü amaçlı OAuth uygulamalarını göndermek için GitHub bildirimlerini kullanan Gitloker gasp kampanyasına bağladı. GoIssue’nun reklamındaki iletişim bilgileri, araştırmacıları Gitloker ekibiyle ilişkili bir Telegram profiline yönlendirerek olası bir bağlantıya işaret etti.
Geçen Haftadan Diğer Hikayeler
Bilgi Güvenliği Medya Grubu’ndan Güney İngiltere’deki Akshaya Asokan ve Washington, DC’den David Perera’nın raporlarıyla