İstihbarat Masası: 16-22 Eylül 2019



Tedarik zincirinden kaynaklı risklere dikkat
Trendmicro 2 farklı çok uluslu otel zincirinin mobil uygulamalarına zararlı kodlar eklendiği tespit etmiş. Rezervasyon ve ödeme işlemleri için de kullanılan mobil uygulamaların içerisinde yer alan zararlı kodun öncelikli hedefinin kredi kartı numaralarını çalmak olduğu belirlendi. 2 farklı otel grubu için bu uygulamaları geliştiren İspanyol yazılım şirketinin yaşadığı bir güvenlik ihlalinin bu olaya neden olmuş olması muhtemel. Ülkemizde de belirli konularda son derece başarılı uygulamalar geliştiren pek çok yazılım şirketi var. Web sayfası, mobil uygulama veya web uygulaması olabilir kuruluşunuza özel bir yazılım veya herhangi bir yazılım geliştirilmişse yazılım firmasından 2 rapor talep etmenizde fayda var; 
  •  Kaynak kod analizi raporu 
  • Sızma testi raporu
Kuruluşunuzu doğrudan hedef almasa bile tedarikçilerinizde yaşanması muhtemel bir siber saldırının sizi veya bu olayda olduğu gibi, sizin müşterilerinizi etkileme ihtimali oldukça yüksektir. 

Parola Yöneticilerinin Sorunu
Parola yöneticilerinin hayatımızı kolaylaştırdığı doğrudur. Popüler parola yöneticilerinden LastPass’te tespit edilen bir açık uygulamanın daha önce ziyaret edilen sitelere girilen parolaların görüntülenebilmesine imkan veriyormuş. Google araştırmacıları tarafından bulunan bu zafiyet LastPass 4.33.0 sürümünde giderildi. 

Tespit Edilmemek için YouTube ve Facebook’u kullanan zararlı yazılım
Zararlı yazılımla mücadele konusunda antivirüslerin tek başına yeterli olmadığını biliyoruz. Bu nedenle pek çok kuruluş ağ ve sistemlerin davranışlarını rafik analizi, sistem incelemesi ve log toplama gibi yöntemlerle izlemektedir. Bunu bilen siber suçlular da tespit edilmelerini zorlaştırmak için farklı yöntemler kullanmaya başladı. Cofense tarafından yapılan bir incelemede tespit edilmemek için Facebook ve YouTube’dan faydalanan bir zararlı yazılım tespit edilmiş. Zararlı yazılımın komuta sunucusuyla iletişim kurmasını sağlayacak konfigürasyon bilgilerinin aşağıdaki resimde görüldüğü gibi bir YouTube profilinin içerisine gizlenmiş. 



Kuruluşunuz bünyesinde sosyal medya kullanımına izin veriyorsanız bu ve bu platformlar kullanılarak veri sızdırılması senaryolarını düşünerek bazı tedbirler almanızda fayda var. 

NAS’lara Dikkat
Ülkemizde de yaygın olarak kullanılan Synology ve Qnap NAS (Network Attached Storage – Ağa bağlı yedekleme) birimlerinin de aralarında bulunduğu ürünlerde toplam 125 zafiyet tespit edildi. Bu iki NAS markasından birisini kullanıyorsanız güncelleme için tedarikçinizle acil olarak görüşmenizde fayda var. 

Sanal Makinelerden Kaçanlar var
AMD tarafından üretilen bazı grafik kartlarda tespit edilen güvenlik zafiyeti bu kartların kullanıldığı sistemlerde bir sanallaştırma ortamı ve sanal makine çalışıyorsa bunların içerisinden ana makineye ulaşmaya imkan veriyormuş. Cisco’nun Talos araştırma grubunun tespit ettiği bu zafiyetin istismar girişimlerini tespit etmeye yönelik birkaç IPS kuralı da hazırlandı. Grafik kartlarınız AMD olmasa bile sanallaştırma platformundan ana makineye veya sanal makineler arasında geçişleri tespit edebilecek bir mimarinin hızlıca oluşturulması iyi olacaktır. 

DDoS Saldırılarının Boyutları Artıyor
Akamai bugüne kadar gördükleri 4. En büyük DDoS saldırısına şahit olduklarını açıkladı. 35 Gbps boyuta kadar ulaşan saldırı WS-Dicovery protokolünü kullanmış. SSDP ve UPnP’ye benzer şekilde başka sistemleri keşfetmek için kullanılan WS-Discovery protokolü TCP ve UDP üzerinden port 3702’de çalışır.
Son haftalarda kuruluş ağına doğru gelen WS-Discovery taleplerinde bir artış olup olmadığına bakmak ve kuruluşumuzdan çıkan WS-Discovery trafiğini engellemek lazım. Diğer UDP protokollerinde olduğu gibi WS-Discovery kullanılarak yapılan DDoS saldırıları yansıtılabilmektedir. “Amplification” olarak da bilinen bu teknik sayesinde saldırganlar kullandıkları bant genişliğini artırabilmektedir. DNS gibi herhangi bir sorguya gönderdiği yanıt paketi gelen sorgu paketinden büyük olan UDP protokollerin neredeyse tamamı bu şekilde istismar edilebilmektedir. Kuruluşumuzun sistemlerinin kullanılarak başka hedeflere saldırılmasını engellemek için kuruluşumuzdan çıkan UDP protokolleri konusunda dikkatli olmak gerekiyor. 

Bu hafta güncellenecekler
Önemli güvenlik zafiyetleri tespit edilen ve güncelle yayınlayan üreticiler aşağıdadır. Bu üreticilere ait ürünleri kullanıyorsanız MUTLAKA güncelleyin. 
  •  QNAP
  • Synology
  • Aruba
  • Atlassian Jira
  • Ubuntu Linux
  • Wireshark
  • Microsoft Explorer

Comments