Kötü amaçlı yazılım grubu;  Düşük tanımlama oranı ve güvenlik sistemlerini dolaşma olasılığı yüksek olan zararlı Excel kayıtları yaptı.  Toplananlar, yaptığı zararlı Excel belgeleriyle dünyanın dört bir yanındaki kuruluşlara saldırdı.

 Programcıların sistemlere girmek için kullandıkları teknikler ara sıra gerçekten kafa karıştırıcı olabilir.  Bir kez daha, bu harika stratejilerden biri bulundu.  Bir kötü amaçlı yazılım grubu, kötü niyetli Excel belgeleri yaptı.  Yapılan bu belgelerin kimlik belirleme hızı çok düşük olmakla birlikte, güvenlik sistemlerini atlatma hızı da ayrıca yüksektir.

 NVISO Lab’da güvenlik bilimcileri tarafından bulunan Epic Manchego adlı bu kötü amaçlı yazılım grubu, Haziran ayından bu yana dinamik ve kötü niyetli Excel’nin kayıtları içeren iletilerle dünyanın dört bir yanındaki kuruluşlara odaklanıyor.  NVISO tarafından yapılan duyuruya göre, bunlar standart Excel elektronik tabloları değildir.  Bu kötü niyetli Excel’nin belgeleri güvenlik tarayıcılarından kaçabilir.

Zararlı Excel Dosyaları

NVISO Lab tarafından belirtildiği gibi, güvenlik tarayıcılarından kaçabilecekleri açıklama, standart Microsoft Office programlamasıyla değil, EPPlus adlı .NET kütüphanesiyle ile biriktirilmeleridir.  Bu kütüphaneyle, çok sayıda düzenleme ve hatta arka planda Excel 2019 tabloları yapmak için kullanılabilir. NVISO, Epic Manchego tarafından yapılan Office Open XML (OOXML) tablolarında, yalnızca Microsoft Office’te toplanan Excel raporları için erişilebilen birikmiş VBA kodunun olduğunu söyledi. Programlama hariçtir.

 Bu toplu VBA kodu, saldırganın intikam kodunun yaşadığı yerdir.  NVISO, Epic Manchego’nun zararlı kodunu kodlanmış benzersiz bir VBA tasarımında sakladığını, böylece güvenlik çerçevelerinden ve bilim adamlarının içeriği incelemekten kaçabileceğini belirtiyor.  Ayrıca, bu haklı Excel’nin arşivlerini yapmak için alternatif bir teknik kullanılsa da, EPPlus tabanlı tablolar herhangi bir Excel raporu gibi çalışır.

Kötü huylu arşivler kötü niyetli büyük ölçekli kodlar içerir.  Excel’nin belgesini açan istemcinin yetkilendirme değiştir düğmesine dokunması durumunda, bu tam ölçekli kodlar kötü amaçlı yazılımı indirir ve kazazedenin bilgisayarına sunar.  Sonunda, Truva atı enfeksiyonlarını alan veriler, örneğin Azorult, AgentTesla, Formbook, Matiex ve njRat, müşterinin programlarını, mesajlarını ve FTP taleplerini Epic Machengo’nun çalışanlarına gönderir.

 İlk avantajlarda Epic Manchego’nun zararlı Excel belgeleri yapmak için EPPlus’ı kullanırken, aynı şekilde uzun vadede toplanmayı etkisiz hale getirir.  Epic Manchego’nun önceki etkinlikleri, özel Excel belgelerini filtreleyerek izlenebilir.  NVISO da aynı şekilde bu strateji ile Epic Manchego grubuyla ilgili 200’den fazla zararlı Excel kaydı tespit etti.  Bu belgelerden ilkinin 22 Haziran tarihli olduğu tespit edildi.  NVISO, toplantının bu stratejiye dahil olduğunu ve hem saldırılarını hem de ana saldırıdan sonra saldırılarının öngörülemezliğini genişlettiğini belirtti.  Ayrıca, bu saldırıların daha sonra daha geniş bir kullanım alanı bulabileceğini ifade etti.

WhatsApp oluşturduğu yeni bilgilendirme sayfasında 6 adet güvenlik açığının duyurusunu gerçekleştirdi.

Dünyanın en çok kullanılan mesajlaşma uygulaması olan WhatsApp, 2 milyarı aşkın dinamik müşteriye sahiptir. Facebook’un iddia ettiği aşama, müşteri sayısını sürekli olarak artırıyor ve birincil özel aygıtlar arasında yer alıyor. WhatsApp grubunun, müşterilerin bilgi stoklarını daha büyük olasılıkla kontrol etmelerine izin veren bir bileşenle uğraştığı son zamanlarda ortaya çıktı.

Bu kadar geniş kapsamlı bir aşamayla, programcıların ana odak noktalarından birini alır. WhatsApp aracılığıyla müşterilerin bilgileri farklı şekillerde yakalanabilir. Bu durum, WhatsApp’taki zayıflık gibi kullanıcıların hatasıyla da ortaya çıkabilir.

Mesajlaşma devi, bu tür durumların bir kez daha olmasını önlemek için potansiyel riskten kaçınır. Buna rağmen, belirli zaman aralıklarında farklı güvenlik zayıflıkları ortaya çıkabilir. Müşterileri WhatsApp güvenlik zayıflıkları hakkında aydınlatmak için başka bir veri sayfası oluşturdu. Geç fark edilen güvenlik zaafları ile ilgili açıklamalar bu sayfada yapılmıştır.

6 Güvenlik Açığı Tespit Edildi

WhatsApp, müşterilerin daha basit bir profil çizmek için güvenlik zayıflıklarını bildirecekleri bir sayfa yaptı. İlk yapılan sayfada 6 güvenlik tehlikesinin fark edildiği açıklandı. Bu eksikliklerin 5’inin ayırt edildiği gün giderildiği, diğer eksikliğin kapatılmasının ise birkaç gün sürdüğü ifade edildi. Kuruluş, hiçbir müşterinin bu, önceden bildirilmemiş zayıflıklardan etkilenmediğini bildirdi.

Yeni bilgilendirme sayfasında açıkların 1 / 3’ünün Bug Bounty adlı ödül programıyla geliştirildiği ifade edildi. Şu anda faaliyette ve yapılan kontrollerde programlanmış sistemler ile farklı deliklerin ayırt edildiği belirtildi. Açıklamada ayrıca zaafları konusunda yapılan çalışmaların önemli olduğunun altı çizildi.

Şirketten yapılan açıklama, “Kesinlikle sadeliğe adadık ve bu varlık, güvenlik çabalarımızdaki en son ilerlemelerle daha kapsamlı teknoloji ağı kârına yardımcı olmak anlamına geliyor” dedi. Tüm müşterilerin WhatsApp’larını ayrı uygulama mağazalarından yenilemelerini ve güncellemeler erişilebilir olduğunda taşınabilir çalışma sistemlerini güncellemelerini kesinlikle öneririz. “açıklamalar dahil edildi.

Bilgilendirme aşaması bu sayfayı her ay yenileyeceğini ifade eder. Bu sayfa canlandırılmadan önce müşterilere artan zayıflık için bir güncelleme iletilecektir. Yapılan sayfada 2018 yılından bu yana fark edilen güvenlik zafiyetleri ile ilgili ayrıntılı veri bulunması düşünülebilir. WhatsApp tarafından yapılan veri sayfasına bu adresden ulaşabilirsiniz.

Güvenlik uzmanları, Apple’ın yanlışlıkla kötü amaçlı yazılımların Mac’lerde çalışması için yetki verdiğini ortaya çıkardı. Görüldükten kısa bir süre sonra düşürülen Shlayer adlı ürün, bir tür reklam virüsü olarak biliniyor.

Cupertino tabanlı teknoloji canavarı Apple, kötü amaçlı yazılımların uygulama mağazasına girmesini önlemek için son derece titiz yönergelere sahiptir. Kuruluş, bugüne kadarki en zor stratejiyi benimsedi ve mühendislerin uygulamalarını bir yıl önce teslim edilmeden önce güvenlik kontrolleri için Apple’a sunmalarını bekliyor.

Apple ‘ın “onay” olarak adlandırdığı bu döngüde, bir uygulama güvenlik ve kötü niyetli madde için filtreleniyor. Onaylandığında, Mac’in temelindeki güvenlik denetimi programı olan Gatekeeper, uygulamanın çalışmasına izin verir. Güvenlik testini bombalayan uygulamalar reddedilir ve çalışması durdurulur.

Apple Tarafından Onaylı İlk Mac Kötü Amaçlı Yazılım Bulundu:

Ünlü Mac güvenlik bilimcisi Patriwk Wardle ile birlikte çalıştığı Diminish Dantini, Adobe Flash yükleyici görünümlü bir kötü amaçlı yazılım bulduğunu söylüyor. Çok normal olan bu tür bir programlama oldukça uzun bir süredir var ve çoğu açıldığında Mac tarafından engelleniyor. Bununla birlikte, Dantini ve Wardle, tesadüfen Apple tarafından onaylanan ana ikinci Mac programlamayı bulduklarını belirtiyorlar.

Wardle, Apple’ın kötü amaçlı yazılım tarafından kullanılan kodu doğruladığını doğruladı, Kaspersky ise bunun Mac’lerin 2019’da baktığı “en normal tehlike” olduğunu söyledi. Shlayer adlı ünlü kötü amaçlı yazılım, daha güçlü tanıtımlara yardımcı olan bir tür “reklam virüsü” programlaması olarak bilinir. PC istemcilerinin web alıştırmalarını ve eğilimlerini takip ederek teknikleri.

TechCrunh’da paylaştığı bir blog yazısında Wardle, “Bildiğim kadarıyla bu bir ilk” dedi ve bunun da Apple’ın zararlı kodu gönderirken ve Mac’lerde çalışması için onayladığında tanımlamayı ihmal ettiğini ima ettiğinin altını çizdi. Daha sonra Apple, kötü amaçlı yazılımın Mac’lerde çalışmasını önleyerek onaylanan kodu düşürdü. Bir Apple temsilcisi TechCrunch’a, “Kötü amaçlı yazılım sürekli olarak değişiyor ve Apple’ın yasal resmi onay çerçevesi, kötü amaçlı yazılımları Mac’ten uzak tutmamıza ve bulunduğunda hemen tepki vermemize neden oluyor. Bu reklam virüsünü bulduktan sonra, tanınan varyasyonu kaldırın.” tasarımcı hesabı ve ilgili kimlik doğrulamalarını reddetti. Müşterilerimizin korunmasına yardımcı olan uzmanlara çok minnettarım. “

Slack, bulut tabanlı bir ekip iş birliği uygulamasıdır. Kanadalı geliştirici Stewart Butterfield tarafından kurulmuştur. Yurt dışında yaygın olarak kullanılan Slack uygluamasıyla her projeye ayrı grup/kanal oluşturarak düzenli bir çalışma ortamı yaratabilirsiniz. Slack uygulamasının temellerini gruplar oluşturur.  Çalıştığınız sektöre göre; performans verileri, destek çekleri, bütçe onayları, kod incelemeleri, satış fırsatları, hata raporları, basın liderleri gibi işler tek sayfada akar ve bu sayfayı kanalda ekli olan herkes görebilir.

Başlıca iş tarafından düzenlenen yazışma aşaması olan Slack’in çalışma alanı kullanımında inanılmaz derecede güvenlik açığı bulundu.  Şu an itibariyle düzeltilen zayıflık, programcıların PC’lere ulaşmasına izin veriyordu.

 Günümüzün en yaygın iş odaklı  düzenlenmiş yazışma platformlarından biri olan Slack’te kritik bir güvenlik zafiyeti bulunduğu bildirildi.  Temel olarak telaffuz edilen zayıflık, programcıların Slack’in çalışma alanı uygulamasını kullanan istemcilerin bilgisayarlarına ulaşmasına izin verdi.

 Zayıflık, Slack’in kendi güvenlik grubu tarafından değil;  Yabancı güvenlik uzmanları tarafından bulundu.  Uzak kod yürütülmesine izin vermedeki zayıflık, herhangi bir programcının sınıflandırılmış belgelere, parolalara, web sistemine erişmesine izin verecek kadar kritikti ve bu sadece başlangıç. 

Açığı Keşfeden Hacker’a Yalnızca 1.750 Dolar Ödül Verildi:

HackerOne’da yayınlanan zayıflık Slack tarafından giderildi ve tehlike artık yoktu.  Zayıflığı bulan ve paylaşan HackerOne müşterisi ‘oskar’, ödül olarak 1.750 dolar kazandı.  Bulunan zayıflık, bu noktaya kadar hiçbir Slack müşterisini etkilemedi.

 HackerOne’daki verilere göre, programcılar tek bir kişiye saldırarak saldırdıkları müşterinin sistemindeki farklı ortaklara ulaşabilirler.  Hatayı ortaya çıkaran müşteriye Slack tarafından verilen ödülü gören kişiler, hatanın hızının ve ücretlendirme hızının koordine edilmediğini mızmızlandı.  HackerOne’da yayınlanan güvenlik zafiyeti Slack tarafından giderildi ve tehlike ortadan kaldırıldı.  Zayıflığı bulan ve paylaşan HackerOne müşterisi ‘oskar’, ödül olarak 1.750 dolar kazandı.  Bulunan zayıflık, bu noktaya kadar hiçbir Slack müşterisini etkilemedi.

 HackerOne’daki verilere göre, programcılar tek bir kişiye saldırarak saldırdıkları müşterinin sistemindeki farklı ortaklara ulaşabilirler.  Slack’in hatayı duyuran müşteriye verdiği ödülü gören kişiler, hatanın hızının ve ücretlendirme hızının koordine edilmediğinden şikayet ettiler.  PC güvenliğine meraklı çok sayıda müşteri Slack’e yakındı ve 20 milyar dolarlık Slack’in müşteriye sadece 1.750 dolar verdiğini ifade etti.  Müşteriler, benzer bir uzman özel sektöre ait bir işletmeye benzer bir hata duyurursa, bu organizasyonun analiste sayısız dolar vermiş olabileceğini söyledi.

 Slack’in HackerOne’daki sayfasındaki verilerde belirtildiği gibi, bulunan saldırı türü olan ‘uzak kod yürütme’ saldırılarını içeren ‘temel’ sınıflandırma yenilendi.  Güncelleme ile ödül 5.000 $ ‘a yükseldi.  Slack, son 90 günde zayıflığı bulan müşterilere 36,375 dolar ödedi.

SQL İnjection (SQLi) Nedir ?

SQL İnjection (SQLi), görüntülenmesi isteyenmeyen bilgilere erişmek için backend veritabanı manipülasyonu için kötü amaçlı SQL kodu kullanan yaygın bir saldırı türüdür. Bu bilgiler;Hassas Şirket Verileri, Finansal Veriler,Kullanıcıya Ait Kişisel Bilgiler,Özel Müşteri Bilgileri dahil olmak üzere çeşitli birçok fazla bilgiyi içerebilir. SQL İnjection saldırısı kurum ve kuruluşlar için çok tehlikelidir ve etkisi çok büyüktür. Kötü niyetli kişi veya kişiler tarafından başarılı bir şekilde gerçekleştirilmiş saldırı ile bilgisayar korsanları SQL veritabanındaki bilgilerin listesini çekebilir. Sadece bu kadarı ile kalmayarak SQL veritabanı üzerinde bulunan tüm tabloları görüntüleyebilir, silebilir veya üzerinde değişiklikler yapabilir. Ya da bir güvenlik açığı ile veritabanı yöneticisi ile aynı yetkilere sahip olabilir.

SQL Sorgusu Nedir ?

SQL, verileri yönetmek, veritabanı üzerinde düzeni sağlamak ve tasarlamak için kullanılan bir dildir. Aynı zamanda “Yapısal Sorgu Dili” anlamına gelmektedir. Her ne kadar birçok kişi SQL’i programlama dili olarak tanımlasada SQL bir programlama dili değildir. SQL sorguları sayesinde ilişkisel veritabanlarını çok rahat bir şekilde başa çıkabilirsiniz.  SQL sorguları ile veritabanına kayıt ekleyebilir, arayabilir, güncelleyebilir ve silebilirsiniz. SQL veritabanlarının optimizasyonu ve bakımı da dahil olmak üzere birçok işlemi yapabilir.

SQL İnjection Saldırısının Etkileri Nelerdir ?

Başarılı bir şekilde gerçekleşmiş olan SQL İnjection (SQLi) saldırısı, önemli kullanıcı şifreleri, kredi kartı bilgiler ve kişisel ve özel bilgilere yetkisiz erişim sağlanmasına neden olabilir. Şimdiye kadar duymuş olduğunuz ve bizimde blogumuzda yer vermiş olduğumuz birçok veri ihlalleri bulunmakta örnek verecek olursak; Promo, DigitalOcean, Google Firebase ve Twitter gibi birçok büyük şirket de bu konulardan nasibini almıştır. Bu ise şirketlerde itibar kaybına, finansal zarara sebep olabilir. Sadece bununla kalmayarak kötü niyetli kişiler kurum veya kuruluşun sistemlerde kalıcı bir arka kapı (backdoor) elde edebilir.

SQL İnjection (SQLi) Saldırıları Nasıl Önlenir ?

Eğer böyle bir durumla karşılaşırsanız, SQLi saldırıları ‘nın gerçekleşmesini engellemek veya korunmak için birkaç etkili yol bulunmaktadır. 

  • Kullanıcıya Güvenme : Kullanıcılar tarafından gönderilen verilere direkt olarak veritabanına yazmayın. Tüm verilerin kötü olabileceğini düşünerek verileri doğrulayın ve sterilize edin yani kötü amaçlı verilerden arındırın.
  • Güncelleme ve Düzeltme Eklerini Takip Edin : Bilgisayar korsanlarının ( Kötü Niyetli Kişi ) SQL İnjection’ı kullanarak yararlanabileceği uygulama ve veritabanlarındaki güvenlik açıkları düzenli olarak keşfedilmekte bu gibi durumlarda düzeltme ekleri ve güncellemeler yayınlanmakta bunları ise en kısa zamanda uygulamakta SQL İnjection saldırılarını önlemek için çok önemli bir etkendir.
  • Güvenlik Duvarı Kullanın : Kötü amaçlı verilerin filtrelenmesi ve engellenmesi için bir ekstra yardımcı olarak yazılım ve web tabanlı uygulamalar için güvenlik duvarı (WAF) kullanın. WAF’lar aynı zamanda güvenlik açıklarının yamaları yayınlanmadan önce bir miktar güvenlik sağlayabilir.
  • Özel Bilgileri Gizli Tutun : Veritabanınız üzerindeki kesinlikle açığa çıkmaması gereken verileri şifreleyin veya kendi özel algoritmanız ile karmaşık bir veri haline getirin.
  • Kullanacağınız Yazılımı İyi Seçin : Mümkünse ücretli ve gerçekten iyi bir hizmet sağlayan veritabanı yazılımları kullanın, erken karar vermeden karşılaştırmalar ve incelemeler yapın.
  • Belirli Süreçlerde Şifre Değişikliği İsteyin : Uygulamanız veya hizmetiniz için kullanıcılar tarafından belirli aralıklarla şifrelerini sıfırlamalarını isteyin.

Bahsetmiş olduğumuz önlemleri aldığınızda kesinlikle karşılaşmazsınız diyemeyiz fakat riski azaltmış olursunuz. Eğer sizinde önerileriniz bulunuyorsa yorum yazarak bize iletebilirsiniz.

vBulletin ZeroDay, günümüzün en popüler forum yazılımlarından birisi olan vBulletin ZeroDay (Sıfır Gün) güvenlik açığı ile karşı karşıya. Bir güvenlik araştırmacısı ise güvenlik açığı için ayrıntıları ve istismar kodu (Kötü Amaçlı Kodu) yayınladı. Mevcut bir şekilde bazı forumlarında saldırıya uğradığı doğrulandı.

vBulletin'in Saldırı Altında Olduğu Doğrulandı
vBulletin’in Saldırı Altında Olduğu Doğrulandı

vBulletin ZeroDay’i Hakkında Ayrıntılar

vBulletin ZeroDay (Sıfır Gün) güvenlik açığı, Eylül 2019’da ortaya çıkmış olan vBulletin CVE-2019-16759 güvenlik yamasının atlatılmasıdır. Bir önceki yamalanan sıfır gün açığı ise  saldırganların kötü amaçlı kod çalıştırmasına ve kimlik doğrulamasına hiçbir şekilde gerek kalmadan forum sistemlerini ele geçirmesine izin veriyordu.

Güvenlik araştırmacısı, yamayı atlatmanın ve CVE-2019-16759 güvenlik açığından yararlanmaya devam etmesinin basit bir yolu olduğunu söyledi. Düşüncelerini kanıtlamak için Bash, Python ve Ruby ile yazılmış güvenlik açığından yararlanmanın yolunu, kötü amaçlı kodu ve bunun yanı sıra daha eksiksiz bir yama yayınlanana kadar yöneticilerin düzeltmeleri nasıl uygulayacaklarına ilişkin talimatları da içermektedir.

vBulletin ZeroDay (Sıfır Gün) Güvenlik Açığı İstismar Kodu (Kötü Amaçlı Kodu) Hızla Yayılıyor
vBulletin ZeroDay (Sıfır Gün) Güvenlik Açığı İstismar Kodu (Kötü Amaçlı Kodu) Hızla Yayılıyor

Araştırmacı, güvenlik açığı ile ilgili bulgularını vBulletin ekibi ile iletişime geçmeden veya durumu bildirmeden halka yayınladığını söyledi. Şuan ki durum da, vBulletin ZeroDay (Sıfır Gün) güvenlik açığı, istismar kodu yayında. Reddit, Twitter vb. sosyal medya sitelerinde, özel forumlarda ve birçok Discord kanalları üzerinde bulunan bilgisayar korsanlığı topluluklarında yayınlandı. Sürekli farklı platformlarda da yayınlanmaya devam ediyor. 

vBulletin Ekibi bu keşif ile ilgili yayınlanmadan önce bilgi sahibi olmadığı için kusuru tekrar düzeltmek için çalışıyorlar. Firma geçtiğimiz sene içerisindeki ZeroDay’in yayınlanması sonrasında, büyük bir vBulletin hack saldırılarının ortaya çıkmasına ve birçok şirketin güvenlik ihlallerini açıklamasına sebep olmuştu.

Forumlar bilgisayar korsanlarının en çok dikkatlerini çeken platformlardır. Sebebi ise diğer içerik yönetim sistemlerinin aksine çevrimiçi forumlar, topluluklara hitap ettiği için ve kendi aralarında tartışabildileri alanlar olduğu için büyük miktarlarda kişisel veri tutarlar.

Sadece bu kadarı ile kalmayarak bazı forumlar üyeliklerini ücretli verdikleri için kişilerin kart bilgilerini dahi tutmaktadır. Bu şekilde düşünüldüğünde ortaya çok büyük bir veri ihlali çıkacağı görünmektedir.

vBulletin ZeroDay Güvenlik Açığı Riski Azaltma ve Önleme

Güvenlik araştırmacısı, vBulletin ZeroDay istismar kodu (Kötü Amaçlı Kodu) yayınladığı gibi aynı şekilde vBulletin tarafından bir güvenlik yaması yayınlanana kadar platform yöneticilerine saldırılara karşı güvende tutacak bir kaç öneride bulundu.

  1. vBulletin kontrol paneline erişim sağlayın.
  2. Soldaki menü üzerinde Ayarlar > Seçenekler kısmına geçiş yapın.
  3. Genel Ayarlar” seçin ve sonrasında “Ayarları Düzenle”’ye tıklayın.
  4. PHP Statik HTML ve Reklam Modülü oluşturmayı devredışı bırak” bulun ve EVET’ seçin.
  5. Kaydet” diyerek ayarlarınızı kayıt edin.

Wordfence Nedir?

Wordfence, sitenizi saldırı, kötü amaçlı yazılım, DDOS ve programlanmış gizli anahtar testi saldırıları gibi güvenlik açığı tehlikelerine karşı sağlayan bir WordPress güvenlik eklentisidir.

Sitenize gelen tüm trafiği yönlendiren ve şüpheli talepleri önleyen güvenlik duvarı nedeniyle web sayfanızı güvence altına alan eklenti. 2 Milyon kullanıcı tarafından etkin bir şekilde kullanılmaktadır.

 İlerlemeleri ve şüpheli kod düzenleyicilerini tanıtan herhangi bir kötü amaçlı yazılım varsa tüm WordPress merkezi kayıtlarınızı, konularınızı, eklentilerinizi ve sildiklerinizi veya düzeltmelerinizi inceler. Bu eklenti saldırıya uğramış bir WordPress sitesini düzenlemenizi teşvik eder.

Wordfence Güvenlik Açığı

WordPress Eklentisi Güvenlik Açığı

80.000’den fazla sitede tanıtılan bir WordPress eklentisinde temel bir zayıflık belirlendi.

Güvenlik firması Wordfence’deki analistler tarafından bulunan güvenlik açığı , yöneticiler tarafından sitelerinde bir açıklama segmentini koordine etmek için kullanılan WordPress eklentisi wpDiscuz’da (7.0.0 – 7.0.4 formları) kullanılabilir.

Bu hata, programcıların zayıf bir sitenin çalışanlarına uzaktan kod çalıştırmalarına, kolaylaştırıcı hesabın sorumluluğunu üstlenmesine ve benzer bir unsur tarafından yönetilen farklı yerel bölgelere kötü niyetli kodlar yerleştirmesine izin verebileceğini iddia ediyor. WordPress eklentisinin zayıflığı daha önce wpDiscuz form 7.0.0 ile ortaya çıkmıştı.

Elemanın sadece resim aktarımlarını dikkate alması planlanmış olmasına rağmen, kayıt tipi kontrol prosedürü etkili bir şekilde savuşturularak programcıların kişisel tercihlerine göre herhangi bir belgeyi aktarmalarına ve hesap devralmaları için tohum ekmelerine izin verebilir.

Wordfence, bir blog girişinde, “Bu kusur, kimliği doğrulanmamış saldırganlara PHP belgeleri de dahil olmak üzere kendini kanıtlayan kayıtları aktarma ve zayıf bir web sitesinin çalışanında çok uzak kod yürütme becerisi kazandırıyor.”

“Bu zayıflık her yanlış kullanıldığında, saldırganın kayıtta kolaylaşan hedefleri ilave olarak kötü niyetli kodlarla kirletmek için kolaylaştırıcı kaydınızda gezinmesine izin verebilir. Bu, saldırganın çalışanınızdaki her site üzerinde sınırsız gözetim yapmasını sağlar.”

Wordfence ilk olarak 19 Haziran’da zayıflık konusunda wpDiscuz mühendislerini eğitti. 7.0.4 varyantı ile ilgili sorunu belirlemek için bombalanan bir çabadan sonra, 23 Temmuz’da 7.0.5 uyarlaması ile tam bir düzeltme yapıldı.

Güncelleştirme, dağıtıldığından beri birçok kez indirildi, ancak bu yaklaşık 55.000 Web sitesinin tehlikede kaldığı anlamına geliyor. Saldırıya karşı korunmak için, wpDiscuz eklentisinin müşterilerinin en yeni formu hemen tanıtmaları teşvik edilir.

Nasıl Korunulur

WordPress kurulumunun güvenliğini artırmak için alabileceğiniz birkaç güvenlik önlemi vardır, örneğin:

  • Güçlü şifre politikalarını yapılandırın ,
  • WordPress denetim günlüğünü tutma ,
  • WordPress saldırı tespit sistemini (IDS) yapılandırın ,
  • Bir güvenlik duvarı yükleyin ,
  • Run WordPress üzerinde kontroller izleme dosyası bütünlüğü ,
  • ve daha fazlası!

Yukarıdakilerin tümünü yapmanızı öneririz. Ancak, çekirdeğini, kullandığınız tüm eklentileri, temaları ve diğer yazılımları güncellemezseniz, her zaman savunmasız kalacaksınız.

Drupal güvenlik zafiyeti, geçtiğimiz çarşamba günü içerisinde Drupal üç güvenlik açığını kapattı. Güncellenmiş sürümlerini yayınladığı zafiyetlerin ikisinin kritik bir tanesinin ise daha az kritik olarak değerlendirdi.

Drupal Güvenlik Açığı

Drupal güvenlik açığı sonrasında kendi platformlarında yeni ortaya çıkmış olan ve güncellemeler ile ortadan kaldırılmış olan güvenlik açıkları hakkında açıklamalar yaptı. Açıklamalar sonrasında ise giderilmiş olan güvenlik zafiyetlerinin iki tanesinin gerçekten çok kritik durumda olduğunu ve çok sayıda güvenlik zafiyetinin ortaya çıkmasına neden olabileceği tespit edildi.

Kritik Durumundaki Drupal Güvenlik Açıkları

Kritik olarak değerlendirilen bu iki güvenlik açığı dan birisi “Siteler Arası Talep Sahteciliği” bir diğeri ise “Keyfi PHP Kodu Yürütme” olarak adlandırılıyor.

Keyfi PHP Kodu Yürütme (CVE-2020-13664)

Drupal son zamanlarda platformun birçok versiyonunu etkileyen kritik güvenlik açıklarından birini ele aldı.

Geliştiriciler tarafından yapılan açıklamaya göre, kritik keyfi bir PHP kod yürütme kusurunun platformlarını etkilediğini açıkladılar. Belirli koşullar altında potansiyele sahip bir saldırganın hatayı kullanarak kötü amaçlı kodlar yürütmesi mümkün bir hale geldi.

Devamında ise,

Saldırgan, yöneticiyi dosya sisteminde dikkatlice adlandırılmış bir dizin oluşturmaya neden olabilecek kötü amaçlı bir siteyi ziyaret etmesi için kandırabilir. Bu dizin hazır olduğunda, bir saldırgan bir uzaktan kod yürütme güvenlik açığını kaba zorlamaya çalışabilir.

şeklinde açıklama yapıldı. Bu güvenlik zafiyeti ise Drupal 8 ve 9’u etkiledi. Bunun üzerine geliştiriciler Drupal 8.8.8, Drupal 8.9.1 ve Drupal 9.0.1’i yamalarını yayınladılar.

Siteler Arası Talep Sahteciliği ( CSRF ) (CVE-2020-13663 )

Diğer kritik güvenlik zafiyeti olarak önem derecesine sahip bir CSRF hatası vardı. Bu güvenlik açığı ise Drupal 7, 8 ve 9’u etkiliyor. Bu güvenlik açığı hakkında Drupal geliştiricileri,

Drupal çekirdek Form API’sı, siteler arası isteklerden belirli form girdilerini düzgün şekilde işlemez ve bu da diğer güvenlik açıklarına yol açabilir.

şeklinde açıklama yaptılar. Geliştiriciler, Drupal 7.72, 8.8.8, 8.9.1 ve 9.0.1 sürümlerinde bu hatayı ele aldılar.

Kritik Güvenlik Zafiyetleri Çözümü

Zafiyetlerin bulunduğu sürümleri kullanan Drupal kullanıcılarının hataların giderilmesi ve güvenlik açıklarının ortadan kaldırılması için yeni yamalı sürümlere güncellemesi önerilmektedir. Yeni sürümler hakkında daha fazla bilgi almak için Drupal Resmi Sitesini ziyaret edebilirler.

Daha Az Kritik Durumundaki Drupal Güvenlik Açığı’da Giderildi

Drupal geliştiricileri iki kritik güvenlik açığının yanı sıra, daha az kritik olarak derecelendirilen erişim atlama güvenlik zafiyeti için bir düzenleme yayınlandı. 

Bu kusuru Drupal kendi belgelerinde

Varsayılan olarak JSON: API, güvenlik açığından yararlanılmasını imkansız hale getiren read_only (salt okunur) modda çalışır. Yalnızca jsonapi.settings yapılandırması altında salt okunur olarak FALSE olarak ayarlanmış siteler güvenlik açığından etkilenir.

olduğunu söyledi. Drupal, sağlam güvenliği nedeniyle WordPress ile çekişmekte ve WordPress’ten sonra en popüler olarak kullanılan CMS sistemidir.

Drupal güvenlik kusurlarını aktif bir şekilde takip edip düzelterek kullanıcılar tarafından beklenen güvenlik seviyesini yüksek tutmayı garanti eder. Bundan sonrasında ise olası açıklardan korunmak için yazılım sürümlerini güncel tutmak ise kullanıcıların sorumluluğudur.

Firebase güvenlik açığı hakkında bilgi sahibi olmadan önce Firebase nedir, nasıl bir sistemdir ne kadar geniş bir kitleye hitap ediyor onu öğrenelim.

Kısaca Firebase Nedir ?

Firebase, 2011 yılında Firebase İnc. tarafından geliştirilen, hemen sonrasında 2014 yılında Google tarafından satın alınan mobil ve web uygulama geliştirme platformudur. 2020 itibariyle Firebase platformunda 1.5 milyondan fazla uygulama bulunuyor. Aslında Firebase, Google firmasının kullanıcılara ücretsiz olarak sağladığı platformlardan birisidir. Sürekli geliştirilmeye devam eden ve pek çok yeni özelliğin eklediği Firebase uygulama geliştiricileri için bulunmaz bir nimettir. Uygulama geliştiricilerinin veri depolama ve kontrol paneli ihtiyaçlarına çözüm sağlıyor.

Eğer sizde bir uygulama geliştiricisi iseniz ortaya çıkarmış olduğunuz uygulamanın her türlü cihaz ya da işletim sisteminde sorunsuz bir şekilde çalışmasını istersiniz. Firebase sistemi üzerinde bulunan yönetim panelleri sayesinde oturumları, veri analizlerini, uygulama testleri gibi işlemlerinizi yapmak mümkün. Firebase sisteminin ücretsiz olması, yüksek performans ve verimlilik sunması kullanıcıların gözünde uygulamayı mucizevi bir hale getiriyor.

Böyle geniş çaplı bir uygulamanın üzerinde ortaya çıkacak bir zafiyetin sonucunu düşünün. İşte tam burada ise bizde Firebase sistemi üzerinde ortaya çıkmış bir zafiyetin ve bu zafiyetin ortaya çıkarmış olduğu zararlardan bahsedeceğiz.

Google Firebase
Google Firebase

Firebase Güvenlik Açığı

Firebase Güvenlik Açığı, yanlış yapılandırılmış Firebase veritabanları 4000’den fazla Android kullanıcısının verilerini paylaşıyor. Hadi biraz detaya inelim. Google şirketi’nin bulutlarında barındırılan ve Firebase veritabanını kullanan 4000’den fazla Android uygulaması, kullanıcılarına ait e-posta adresleri, kullanıcı adları, şifreler, telefon numaraları, sohbet mesajları, konum verileri ve daha pek çok hassas hassas bilgileri sızdırıyor.

Yapılan analizlere göre Google Play mağazasında bulunan tüm uygulamaların yaklaşık olarak %18’ini oluşturan 15.735 Android uygulamasının analizlerinin sonucuda; Kullanıcı verilerini depolama için Google Firebase sistemini kullanan mobil uygulamaların %4,8’i güvenli bir şekilde korunmuyor. Aynı zamanda kullanıcıların kişisel bilgilerini, erişim yetkilerine ve diğer verilere şifre veya başka bir kimlik doğrulama gerekemeden erişmelerine izin veriyor.

Söz konusu Firebase güvenlik zafiyeti olan uygulamalar, çoğunlukla kullanılmakta ve sürekli yayılabilecek. Oyunlar,eğitim,eğlence ve iş kategorilerinde bulunuyor. Bu kategoriler üzerinden bir değerlendirme yapıldığı zaman bir Android kullanıcısının veri gizliliğinin en az bir uygulama tarafından ele geçirilme ihtimali çok yüksektir.

Firebase‘in platformlar arası bir araç olduğu göz önüne alındığında, araştırmacılar ayrıca yanlış yapılandırmaların iOS ve web uygulamalarını da etkileyebileceği konusunda uyarıyor.

4.282 Uygulamaya Yayılmış Veritabanının Tüm İçeriği:

  • E-posta adresleri: 7.000.000+
  • Kullanıcı adları: 4.400.000+
  • Şifreler: 1.000.000+
  • Telefon numaraları: 5.300.000+
  • Tam isimler: 18.300.000+
  • Sohbet mesajları: 6.800.000+
  • GPS verisi: 6.200.000+
  • IP adresleri: 156.000+
  • Sokak adresleri: 560.000+

Firebase güvenlik zafiyeti ‘ine mağruz bırakılan veritabanlarının, JSON biçiminde alınmış Firebase veritabanı güvenliği sağlanmamış örneklerde depolanmakta olan verilere erişmek için bir işlem uygulanıyor. Verilere erişmek için Firebase veritabanı güvenliği sağlanmamış bir veritabanı URL adresine “/.json” ekleyerek (örn: “https://~project_id~.firebaseio.com/.json”)  bilinen Firebase’in REST API‘sini kullanarak veritabanları bulunuyor.

Firebase Veritabanı Güvenliği
Firebase Veritabanı Güvenliği

Araştırmalar göre, Firebase güvenlik zafiyeti sebebiyle herkesin erişimine açık veritabanlarına sahip 155.066 uygulamanın yanı sıra yazma izinlerine sahip 9.014 uygulama buldular ve böylece bir saldırganın kötü amaçlı verileri enjekte etmesine, veritabanını bozmasına veya daha fazla zararlı yazılım bulaştırmasına izin veriyorlar.

Burada Firebase güvenlik açığı ‘nı dahada kötü hale getiren durumlardan birisi ise Firebase veritabanı URL adreslerini Bing gibi arama motorları tarafından internet üzerindeki herkes için savunmasız uç noktalarını ortaya çıkaran indexleme sistemleridir. Ancak bir Google araması bu şekilde bir sonuç vermeyecektir.

Google, bulguları 22 Nisan’da bilgilendirildikten sonra, arama devi, sorunları düzeltmek için etkilenen geliştiricilere ulaştığını söyledi.

Firebase Üzerinde Uygulama Geliştiricileri Ne Yapmalı ?

Kimlik doğrulaması yapılmadan bir veritabanını bırakmak kötü amaçlı aktörler için açık bir davettir. Bu nedenle, uygulama geliştiricilerinin verileri güvenceye almak ve yetkisiz erişimi önlemek için Firebase veritabanı kurallarına uymaları önerilir.

Microsoft Teams güvenlik açığı Teams işyeri görüntülü sohbet ve işbirliği platformunda saldırganların yalnızca katılımcılara masum görünen insanların duygularını etkileyen bir görüntüye kötü amaçlı bir bağlantı göndererek bir kuruluşun tüm Teams hesaplarının listesini ele geçirmesine izin verebilecek solucan benzeri bir güvenlik açığı düzeltmiştir.

Bu kusur uygulamanın hem masaüstü hem de web sürümlerini etkiliyordu. Kusur CyberArk’ta siber güvenlik araştırmacıları tarafından keşfedildi. Bulgular 23 Mart’ta sorumlu bir şekilde açıklandıktan sonra, Microsoft bu güvenlik açığını 20 Nisan’da yayımlanan bir güncelleştirmede yamaladı.

CyberArk’da Ömer Tsarfati; “Bir saldırgan bir Teams hesabından fazla bilgi toplamasa bile, hesabı bir kuruluşta (solucan gibi) dolaşmak için kullanmaya devam edebilir.” Dedi.

“Sonunda, saldırgan kuruluşunuzun Teams hesaplarındaki tüm verilere erişebilir. Gizli bilgileri, toplantıları ve takvim bilgilerini, rekabetçi verileri, sırları, şifreleri, özel bilgileri, iş planlarını vb. Toplayabilir.”

Gelişme : Coronavirüs pandemi sebebiyle; Zoom ve Microsoft Teams gibi video konferans yazılımlarının, işletmeler, öğrenciler ve hatta dünya çapındaki hükümet çalışanları bile evden çalışmaya ve sosyalleşmeye zorlandıkça bu ve benzeri kusurlar ve olaylarda görülmemiş bir atışa tanık oluyoruz.

Alt Alan Devralma Güvenlik Açığı

Bir diğer Microsoft Teams güvenlik açığı ise, görüntü kaynaklarına kimlik doğrulamasını işleme biçiminden kaynaklanmaktadır. Uygulama her açıldığında, bir erişim belirteci, bir JSON Web Simgesi (JWT) oluşturulur ve bu işlem, kullanıcının görüşme sırasında kişi veya başkaları tarafından paylaşılan görüntüleri görüntülemesini sağlar.

Microsoft Teams Saldırı İş Akışı
Microsoft Teams Saldırı İş Akışı

CyberArk araştırmacıları, bir kaynak sunucuya (api.spaces.skype.com) erişim izni veren bir çerezi (“authtoken” olarak adlandırılır) elde edebildiklerini tespit ettiler. Ve bunu kullanarak “skype token” i oluşturmak için kullandılar. Teams API’si aracılığıyla mesaj gönderme, mesaj okuma, grup oluşturma, yeni kullanıcı ekleme veya gruptan kullanıcı kaldırma, gruplardaki izinleri değiştirme gibi izinsiz izinler.

Hepsi bu değil. Yetkilendirme çerezi teams.microsoft.team veya alt alan adlarından herhangi birine gönderilmek üzere ayarlandığından, araştırmacılar iki alt alan (aadsync-test.teams.microsoft.com ve data-dev.teams.microsoft.com) keşfettiklerini söyledi. Devralma saldırılarına açıktı.

Araştırmacılar, “Bir saldırgan bir şekilde ele geçirilen alt alanları ziyaret etmeye zorlayabilirse, kurbanın tarayıcısı bu çerezi saldırganın sunucusuna gönderir ve saldırgan (authtoken’i aldıktan sonra) bir skype jetonu oluşturabilir.” . “Tüm bunları yaptıktan sonra, saldırgan kurbanın Takımının hesap verilerini çalabilir.”

Web Çere Çalan
Web Çerez Çalan

Artık güvenliği ihlal edilmiş alt alanlarla donanmış bir saldırgan. Kötü niyetli bir bağlantı, bir GIF, şüpheli olmayan bir kurbana veya bir grup sohbetinin tüm üyelerine göndererek kusurdan yararlanabilir . Böylece alıcılar iletiyi açtığında, tarayıcı resmi yetkilendirme çerezlerini güvenliği ihlal edilen alt etki alanına göndermeden önce yüklemeye çalışır.

Video Konferans
Video Konferans

Kötü oyuncu daha sonra bu authtoken çerezini bir skype jetonu oluşturmak için kötüye kullanabilir ve böylece kurbanın tüm verilerine erişebilir. Daha da kötüsü, etkileşim, potansiyel bir iş görüşmesi için bir konferans çağrısına davet gibi bir sohbet arayüzü içerdiği sürece herhangi bir yabancı tarafından monte edilebilir.

Araştırmacılar, “Kurban asla saldırıya uğradıklarını bilemeyecek, bu güvenlik açığından yararlanmayı gizli ve tehlikeli hale getirecek.” Dedi.


Devam eden COVID-19 salgını arasında uzaktan çalışmaya geçiş ve video konferans hizmetlerine olan artan talep; saldırganların kimlik bilgilerini çalması ve kötü amaçlı yazılım dağıtması için kazançlı bir taktik haline geldi.