Cyble’ın Güvenlik Açığı İstihbaratı birimi, tehdit aktörlerinin güvenlik açıklarından hızla yararlanması ve kuruluşların bunları yamamakta yavaş olması nedeniyle birçok önemli BT ürün ve sisteminde siber saldırılar tespit etti.
Saldırılardan bazıları yeni güvenlik açıkları ve dağıtım yöntemleri içerirken, istismar edilen diğer güvenlik açıkları aylardır biliniyor ancak birçok durumda yama yapılmamış veya hafifletilmemiş durumda.
Cyble’ın yeni kimlik avı ve kaba kuvvet saldırısı tespitlerini de inceleyen haftalık sensör istihbaratı raporunda öne çıkan bazı noktalar şunlardır.
Bilgisayar Korsanları Telerik UI, QNAP, Cisco ve Daha Fazlasını Hedef Alıyor
WPF (Windows Sunum Vakfı) için Progress Telerik Kullanıcı Arayüzü, 25 Eylül’de güvenlik açıklarının duyurulmasından hemen sonra bilgisayar korsanlarının dikkatini çekti; bunlardan ikisi kod yürütmeye ve komut enjeksiyon saldırılarına izin verebilecek kritik güvenlik açıklarıydı (CVE-2024-7576 ve CVE-2024) -7575). 2024 3. Çeyrek (2024.3.924) öncesi sürümler etkilenmektedir.
D-Link’in bazı kullanım ömrü sonu yönlendiricileri (DIR-859 1.06B01), uzaktan saldırıya uğrayabilen 9,8 önem dereceli bir yol geçiş güvenlik açığı (CVE-2024-0769) içerir ve bu da tehdit aktörlerinin ilgisini çekmeye devam eder. Kullanıcılardan cihazları değiştirmeleri isteniyor. CISA ayrıca Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna başka bir D-Link yönlendiricisi olan DIR-820’yi ekledi.
Cyble sensörleri ayrıca QNAP QTS donanım yazılımına yönelik, etkilenen cihazlarda uzaktan komut yürütülmesine yol açabilecek komut ekleme güvenlik açıkları içerebilen saldırılar da tespit etti. QNAP bu yılın başlarında konuyla ilgili bir güvenlik tavsiyesi yayınladı.
Cyble sensörleri, bilgisayar korsanlarının Cisco Adaptive Security Appliance (ASA) WebVPN Giriş Sayfası ile ilgili “/+CSCOE+/logon.html” URL’sini taradığını tespit etti. URL, WebVPN hizmetinin oturum açma sayfasına erişmek için kullanılır. URL’nin ayrıca siteler arası komut dosyası çalıştırma, yol geçişi ve HTTP yanıtını bölme gibi çeşitli güvenlik açıklarına sahip olduğu da tespit edildi. Cyble, güvenlik açıklarının “saldırganların rastgele kod yürütmesine, hassas bilgileri çalmasına veya hizmet reddine neden olmasına olanak verebileceğini” söyledi.
PHP (CVE-2024-4577), GeoServer (CVE-2024-36401) ve AVTECH IP kameralarındaki (CVE-2024-7029) kritik güvenlik açıkları da bilgisayar korsanları tarafından hedef alınmaya devam ediyor.
Linux Kötü Amaçlı Yazılım Saldırıları Tespit Edildi
Cyble Vulnerability Intelligence birimi ayrıca, diğer kötü amaçlı yazılımlar tarafından yüklenebilen veya kötü amaçlı siteleri ziyaret eden kullanıcılar tarafından bilmeden indirilebilen CoinMiner truva atı da dahil olmak üzere Linux sistemlerine yönelik saldırıları ve IRC bağlantısının bir arka kapı olarak kullanıldığı ve saldırganlara izin veren Linux IRCBot saldırılarını da tespit etti. güvenliği ihlal edilmiş bir sisteme erişim. Cyble, “Etkilenen sistemlerin çoğu IRC tarafından kontrol edilen bir botnet olarak kullanılıyor” dedi.
Cyble araştırmacıları, tehdit aktörlerinin “Linux kötü amaçlı yazılımlarını yayma konusunda giderek daha yenilikçi hale geldiklerini” söyledi. Örneğin bu yılın başlarında CoinMiner, PyPI (Python Paket Dizini) paketlerinde bulundu.
Kaba Kuvvet Saldırıları Gözlemlendi
Cyble raporu ayrıca bal küpü sensörleri tarafından tespit edilen kaba kuvvet saldırı girişimlerinde yaygın olarak hedeflenen bağlantı noktalarına, kullanıcı adlarına ve şifrelere ilginç bir bakış da içeriyor.
En sık saldırıya uğrayan bağlantı noktalarından bazıları 22, 3389, 443, 445, 5900 ve 3306’dır; güvenlik analistlerinden, mümkün olduğunda saldırıya uğrayan bağlantı noktaları için güvenlik sistemi blokları eklemeleri isteniyor.
Cyble tarafından tespit edilen kaba kuvvet saldırılarındaki en yaygın kullanıcı adları ve şifreler genellikle önemli kurumsal sistemleri hacklemeyi amaçlar; bilgisayar korsanları “elasticsearch”, “Hadoop”, “mysql” ve “Postgres” gibi kullanıcı adlarını hedef alır (aşağıdaki resme bakın) ).
Cyble raporu aynı zamanda güvenlik ekiplerine yönelik bir takım tavsiyeler de içeriyor.