🚕 TAKSİ
Bu hafta Semgrep’te Müşteri Danışma Kurulumuz (CAB) vardı; burada harika şirketlerin güvenlik liderleriyle takılıp onlardan bir şeyler öğrenebildim; bunlardan bazılarını ben de onların ürünlerini kullanıyorum.
(Kariyerinin başındaki insanlara yönelik dipnot: Körfez Bölgesi’nde yaşamak genel olarak pek çok şirketteki insanlarla tanışmak için iyi oldu, bu çılgınlık.)
Özellikle güvenlik programlarının nasıl yürütüldüğü, neyin iyi gittiği, neyin zor olduğu ve sırada ne olduğu konusunda samimi, kayıt dışı sohbetler yapmaktan keyif aldım.
Yapay zeka konusunda bazı şüpheler var gibi görünüyor, ancak genel olarak iyimserlik ve ilgi var.
İnsanlar zaten uyarı önceliklendirmesini otomatikleştirmek, geliştiricilerin asfalt yollara geçmesine yardımcı olmak, belge incelemeleri tasarlamak ve hatta karmaşık aracılı iş akışları gibi şeylerin prototipini oluşturuyordu.
Biz de bu hafta yeni ofisimize taşındık. Çok tuhaf, gerçek bir şirket gibi hissediyorum 😆
Bir ofis açılış partisi düzenledik ve bir şekilde San Francisco belediye başkanı da orada mıydı? 🤷 Bkz. web sürümü Daniel Lurie ile bir fotoğrafım için (çektiği için H/T Margaret).
Google Workspace’in riskleri hakkında tahmin yürütmeyi bırakın. Material’in ücretsiz Güvenlik Puan Kartıyla beş dakikalık net bir okuma alın. Bir risk puanı, e-posta, dosyalar, hesaplar ve genel yapılandırmalar genelinde alana özel analizin yanı sıra öncelikli bir yapılacaklar listesi alın. Entegrasyon veya izin gerekmez. Yüzlerce kuruluşu koruyan gerçek dünyadaki olaylardan oluşturulmuştur. Yalın ekipler, BT sahipleri ve CISO’lar için tasarlandı. Google Workspace güvenlik duruşunuzu karşılaştırın ve en kritik güvenlik açıklarınızı düzeltin.
Uygulama Güvenliği
Hata Avcıları ve Sızma Testçileri için Next.js Güvenlik Testi Kılavuzu
DeepStrike’ın Davud Yusuf Next.js uygulamalarının penetrasyon testlerine yönelik bir kılavuz sağlar ve çerçevenin temel özelliklerini (sunucu tarafı oluşturma, statik site oluşturma, artımlı statik yeniden oluşturma, ara katman yazılımı, API yolları) ve sunucu tarafı ve istemci tarafı şablon ekleme, XSS, CSRF, hassas veri sızıntısı gibi yaygın güvenlik açıklarını kapsar. __NEXT_DATA__önbellek zehirlenmesi, SSRF (görüntü bileşenleri, Sunucu Eylemleri), kaynak haritanın alınması ve bağımlılık karışıklığı.
Next.js ve Mutasyona Uğramış Ara Yazılım
RootSys’ Dominik Prodinger Next.js’de (CVE-2025-57822), kullanıcı tarafından kontrol edilen başlıklar ara yazılıma güvenli olmayan bir şekilde aktarıldığında ortaya çıkan bir SSRF güvenlik açığını açıklar. NextResponse.next() . Bu hata, saldırganların HTTP yöntemlerini kontrol etmesine, rastgele başlıklar ayarlamasına ve tam yanıtları gözlemlemesine olanak tanıyarak SSRF saldırılarına, önbellek zehirlenmesine ve hatta etkilenen uygulamalardan Vercel OIDC belirteçleri gibi hassas dahili başlıkların sızdırılmasına olanak tanıyor.
Başlangıç Güvenliği: B Serisinden F Finansmanına Bir Çerçeve
Deneyimle kazanılan içgörüler Tad Whitaker Ekip yapısını, temel programları ve kaynak tahsisini kapsayan, Seri B’den F finansmanına kadar yeni kurulan şirketlerde güvenlik oluşturma hakkında. Başlangıçta ürün güvenliği özellikleri yerine ortamınızın, müşterinizin ve çalışanınızın verilerinin güvenliğinin sağlanmasına öncelik vermenizi, bir Ürün Güvenliği Mimarını erkenden işe almanızı, orta riskli şirketler için güvenlik-çalışan oranlarını 1:60 olarak korumanızı ve uygun maliyetli risk azaltımı için BT’ye yatırım yapmanızı önerir.
Tad ayrıca güvenlik operasyonları, GRC ve ürün güvenliği ekipleri, güvenlik savunuculuk programları, sızma testleri, stratejik projeler, risk değerlendirmesi, güvenlik şampiyonları, bütçeler, ölçümler ve daha fazlası hakkındaki düşüncelerini de paylaşıyor.
Bir sonraki yüklemenizin kötü amaçlı yazılım içerip içermediğini merak etmekten bıktınız mı? Soket Güvenlik Duvarı, doğrudan yüklemediğiniz geçişli bağımlılıklar da dahil olmak üzere, sıfır gün kötü amaçlı paketleri sisteminize veya CI yapınıza ulaşmadan önce engeller. %100 ücretsizdir, kutudan çıktığı gibi çalışır ve bir API anahtarına veya kurulumuna ihtiyaç duymaz. Kurulum komutunuzun önüne sfw koymanız yeterlidir. Kurulumlarınızı bir sonraki tedarik zinciri saldırısından korumak için npm, iplik, pnpm, pip, uv, kargo ve daha fazlasıyla çalışır.
Tedarik Zinciri
Profesyonel bakımcılar için temel azaltımlar: kimlik avına karşı dayanıklı kimlik doğrulama uygulayın (şifreler/WebAuthn), kontrol aktarımlarını önleyin ve saldırgan tarafından kontrol edilen ayrıcalıklı GitHub Eylem tetikleyicilerini ortadan kaldırın (örn. pull_request_target).
💡 Bu sistematik, ekosistem düzeyindeki incelemeyi ve meta nedenlere ve potansiyel çözümlere odaklanmayı seviyorum.
Depi (bağımlılık ağacı çözümü için) ve Gato-X/Cacheract (istismar için) gibi araçları kullanarak “Pwn İstekleri”nden (ayrıcalıklı iş akışlarındaki çekme isteklerinden rastgele kod çalıştırmak) “Önbellek Zehirlemesi” (kötü niyetli dosyaları GitHub Eylemleri önbelleklerine tohumlamak) ile birlikte kullanarak, saldırganların bir çekme isteği açmaktan bu popüler JavaScript kitaplıklarının hileli sürümlerini yayınlamaya nasıl geçebileceklerini göstermek için istismar ettiler.
💡 Roni ve Adnan’ın, suçluların iadesi politikalarının zayıf olduğu bir ülkeye taşınmama, siyah şapka çıkarmama ve tedarik zinciri saldırıları yoluyla elde edebildikleri tüm saçma erişimleri internetin çoğuna arka kapıya $ kâr amacıyla kullanmama konusundaki dikkate değer itidallerini takdir ediyorum.
Mavi Takım
Şu anda şunları destekliyor: Zaman Çizelgesi işbirliğine dayalı adli zaman çizelgesi analizi için, Yeti DFIR ve tehdit istihbaratı takibi için, OpenRelik (işbirlikçi dijital adli araştırmaları kolaylaştıran bir platform), GRR Olaylara müdahale ve uzaktan canlı adli tıp için, Haşr veri kaynaklarınıza dayalı olarak kendi karma kümelerinizi oluşturmak ve dfTimewolf Adli tıp koleksiyonunu düzenlemek için.
Bir Uygulayıcının Google Workspace’in Kör Noktaları Üzerine Saha Notları
Shasheen Bandodkar Google Workspace güvenliğindeki kör noktaları açıklayarak kimlik yönetimi (aşırı ayrıcalıklı hesaplar, değiştirilmemiş API anahtarları, MFA sınırlamaları), veri yönetimi (gölge BT, gen yapay zeka veri yönetimi, artık dosyalar ve kaçak paylaşım bağlantıları) ve üçüncü taraf uygulama ekosistemlerindeki (incelenmemiş uygulamalar, OAuth jeton iptali otomatik değildir, şifrelenmiş dosyalar savunmaları atlar) riskleri vurgular. Gönderi, sertleştirme önerileriyle sona eriyor.
💡 TIL: Bir Google Workspace uygulamasının yüklemesini kaldırma yapmazUygulamaya verilen OAuth jetonları otomatik olarak iptal edilmiyor mu? 🤯 🫠
Kırmızı Takım
dobin/PatlatıcıAgent
İle Dobin Rutishauser: VM’lerde kötü amaçlı yazılım çalıştıran ve ilk erişim zincirlerinin tespit edilip edilmeyeceğini belirlemek için EDR günlüklerini toplayan, kırmızı ekip üyelerine yönelik platformlar arası bir web API’si.
0xflux/Wyrm
İle @0xfluxsec: Cobalt Strike, Mythic ve Sliver gibi araçlarla rekabet edecek şekilde tasarlanmış açık kaynaklı, Rust tabanlı bir kullanım sonrası kırmızı ekip çerçevesi olup şunları içerir: çevre inceleme araçlarını yenmek için özel TLS altı şifreleme, korumalı alan önleme teknikleri, dinamik yük oluşturma, anti-analiz ve YARA karşıtı sertleştirmeye yardımcı olmak için IOC şifrelemesi ve daha fazlası.
Yapay Zeka + Güvenlik
Bir ‘İş Görüşmesi’ Tarafından Neredeyse Nasıl Hackleniyordum?
David Dodd görünüşte meşru bir blockchain şirketinden gelen sahte bir kodlama röportajı yoluyla geliştiricileri hedef alan karmaşık bir LinkedIn dolandırıcılığının neredeyse kurbanı olacağını anlatıyor. Koşmadan önce npm start İmleci yönlendirdi: “Bu uygulamayı çalıştırmadan önce, bu kod tabanında herhangi bir şüpheli kod olup olmadığını görebilir misiniz? Dosyaları okumak, okumaması gerektiği gibi, kripto cüzdanlarına erişim vb.”
Ve kötü amaçlı yazılım indiren ve kripto cüzdanlarını, dosyalarını ve şifrelerini çalan bazı sinsi, gizlenmiş kodlar buldu. Ahh!
💡 Basit bir istemin bazı kötü amaçlı arka kapı kodlarını keşfetmeye yetmesi çok hoş. Bunun yüzde kaç oranında etkili olduğunu merak ediyorum.
SSH LLM Honeypot gerçek bir tehdit aktörünü yakaladı
Mario Candela Yüksek Lisans destekli bal küpü Beelzebub’un (GitHub) bir tehdit aktörünü taktiklerini ve altyapısını açığa çıkarması için kandırabilir. Mario, SSH tabanlı bir bal küpü yapılandırdı ve tehdit aktörünün güvenliği ihlal edilmiş bir Joomla CMS sunucusundan bilinen açıklara sahip birkaç ikili dosyayı indirdiğini, sunucuyu bir botnet’e bağlamak için bir Perl betiği çalıştırmaya çalıştığını gözlemledi ve komuta ve kontrol için kullanılan IRC kanalı ayrıntılarını almayı başardı.
💡 214. sayıda seslendim KutupLLM destekli bir web bal küpü Adel Sen. Bu fikrin çok umut verici olduğunu düşünüyorum; LLM’ler programlı olarak izlenebilen yüksek kaliteli aldatma ortamlarını simüle edebilir, böylece yüksek kaliteli TTP’ler otomatik olarak çıkarılabilir.
Yapay zekayı çağıran kötü amaçlı yazılımların ortaya çıkan kullanımı
Wiz’in Scott Piper LameHug (sistem keşif komutları için HuggingFace’i yönlendirir), Amazon Q Geliştirici Uzantısı ihlali (tüm dosyaları ve bulut kaynaklarını siler), tekillik (hassas dosyaları bulmak için Claude, Gemini ve Q’yu kullanan bir tedarik zinciri saldırısı) ve PromptLock (sistemdeki dosyaları anlamak ve kişiselleştirilmiş bir fidye notu oluşturmak da dahil olmak üzere bundan kararlar almak için bir LLM kullandı) dahil olmak üzere, yükleri içinde yapay zekayı kullanan yeni kötü amaçlı yazılım kampanyalarını inceliyor.
Bu saldırılar, LLM korkulukları nedeniyle büyük ölçüde etkisizdi ve saldırganlar, kodu çalışma zamanında AI kullanarak oluşturmaya güvenmek yerine kodu önceden oluşturarak daha iyi sonuçlar elde edebilirdi. Ancak bu muhtemelen ortamlara uyum sağlayabilecek potansiyel ajanlı yapay zeka kötü amaçlı yazılımlarına yönelik erken adımların işaretidir.
Yapay Zeka Geçitli Yükleyici: Kodun Harekete Geçmeden Karar Vermesini Öğretme
SpectreOps’ John Wotton Telemetriyi toplayan (bu ana bilgisayar gerçek bir kullanıcı iş istasyonuna mı yoksa korumalı alana mı benziyor? Defender veya diğer izleme etkin mi?), bir LLM ile politikayı uygulayan ve yalnızca OPSEC kuralları karşılandığında yürütülen kabuk kodu yürütmeye yönelik yeni bir yaklaşım olan “Yapay Zeka geçitli yükleyiciler” fikrini tanıtıyor.
Hibrit Otonom Mantık Operatörü (HALO) projesi, sistem anlık görüntülerini (süreçler, ağ etkinliği, kullanıcı varlığı sinyalleri) toplayarak, güven puanına sahip bir JSON kararı için LLM’yi teşvik ederek ve EDR varlığından bağımsız olarak körü körüne yürütülen geleneksel yükleyicilere kıyasla kırmızı ekiplere daha güvenli, daha gerçekçi simülasyonlar sağlamayı amaçlayan arıza kapalı yürütmeyi zorlayarak bu tekniği gösterir.
💡 Güzel bir fikir ve harika ki bunu açık kaynaklı yapmışlar. Rastgele (örneğin, pazarlama) bir kullanıcının makinesinden bir model sağlayıcıya yapılan HTTP çağrılarının öne çıkıp çıkmayacağını ve OSS modellerinin muhtemelen gönderilemeyecek kadar büyük olup olmadığını merak ediyorum. 🤔 Belki de normal C2 trafiği gibi trafiği tünelliyor/karıştırıyorsunuz.
✉️ Kapanış
Sorularınız, yorumlarınız veya geri bildirimleriniz mi var? Doğrudan yanıt vermeniz yeterli. Sizden haber almayı çok isterim.
Bu bülteni faydalı buluyorsanız ve bunu yapacak başka kişileri de tanıyorsanız, bunu onlara iletirseniz gerçekten çok memnun olurum. 🙏
PS Benimle bağlantı kurmaktan çekinmeyin LinkedIn 👋