13Ağustos

Citrix XenMobile’da Kritik Zafiyet Keşfedildi #65

XenMobile olarak da bilinen Citrix Endpoint Management (CEM), şirketlerin hassas bilgilerini korumak için güncellemelerin ve güvenlik ayarlarının uygulanmasını sağlayan ve çalışanların hangi uygulamaları yükleyebileceğini kontrol eden bir mobil cihaz yönetim çözümüdür. Citrix 11 Ağustos tarihinde, XenMobile sunucularını etkileyen 5 güvenlik zafiyeti için güncelleme yayınladı.

Tespit edilen zafiyetlerden, 2 zafiyetin kritik ve 3 zafiyetin ise orta/düşük önem derecesine sahip olduğu belirtiliyor. CVE-2020-8208 ve CVE-2020-8209 kodlarıyla tanımlanan kritik zafiyetler; XenMobile Server RP5’ten önceki 10.9, RP6’dan önceki 10.10, RP4’ten önceki 10.11 ve RP2’den önceki 10.12 sürümlerini etkiliyor. CVE-2020-8210, CVE-2020-8211 ve CVE-2020-8212 kodlarıyla tanımlanan orta/düşük derece zafiyetler ise; XenMobile Server RP5’ten önceki 10.9, RP6’dan önceki 10.10, RP6’dan önceki 10.11 ve RP3’ten önceki 10.12 sürümlerini etkiliyor.

Positive Technologies ekibinden Andrey Medov’un keşfettiği CVE-2020-8209 kodlu zafiyet, kimliği doğrulanmamış bir saldırganın, root dizini dışında bulunan konfigürasyon dosyaları ve şifreleme anahtarları da dahil olmak üzere tüm dosyaları okumasına olanak veriyor. Bu zafiyetle ilgili olarak Medov, konfigürasyon dosyasında LDAP erişimi için Domain hesabına ait kimlik bilgilerinin olduğunu ve zafiyetten yararlanan bir saldırganın bu bilgileri ele geçirerek, Active Directory Domain ortamına bağlı diğer sistemlere erişebileceğini belirtiyor. Ayrıca Medov, konfigürasyon dosyasını okuyabilen bir saldırganın veritabanı parolası gibi daha kritik bir bilgiye erişebileceğini belirtiyor.

Citrix, saldırganların hedef sistemleri exploit etmek için hızla harekete geçeceğini ve güvenlik güncelleştirmelerinin en kısa zamanda yapılması gerektiğini belirtti. Güvenlik güncelleştirmelerine buradan ulaşabilirsiniz.

vBulletin’de RCE Güvenlik Açığı Bulundu

vBulletin arka planda PHP ve MySQL kullanan ve bazı Fortune 500 şirketleri de dahil olmak üzere internet üzerinde 100.000’den fazla kullanılan popüler bir internet forum yazılım paketidir.

Bir güvenlik araştırmacısı, vBulletin’i etkileyen kritik bir RCE güvenlik zafiyeti keşfetti ve bu zafiyetin exploit kodunu yayınladı. Yayınlanan exploit kodu ile birlikte internet üzerinde bulunan ve zafiyetten etkilenen vBulletin siteleri saldırganlar tarafından hacklenmeye başladı.

Güvenlik araştırmacısı, bulduğu güvenlik zafiyetinin 2019’un Eylül ayında vBulletin’de bulunan CVE-2019-16759 yetkisiz uzaktan komut çalıştırma güvenlik açığına dayandığını belirtti. Güvenlik araştırmacısı, zafiyeti vBulletin ekibi tarafından CVE-2019-16759’u gidermek için yayınlanan yamayı bypass ederek bulduğunu açıkladı.

VBulletin ekibi, olaya dair; vBulletin yazılımındaki sürekli zafiyet çıkan PHP modülünü devre dışı bırakacağını ve ilerleyen sürümlerde modülün tamamen kaldırılacağını belirtti. Belirtilen VBulletin zafiyetinden etkilenmemek için gerekli güvenlik güncellemelerinin uygulanması gerekmektedir. Eğer anında güncelleme yapılamıyorsa, vBulletin’ın ayarlar bölümünde bulunan “Disable PHP, Static HTML, and Ad Module rendering” özelliği aktif edilmelidir.

Zafiyete dair teknik detaylara buradan ulaşabirsiniz.

TeamViewer ‘da Güvenlik Zafiyeti Bulundu

TeamViewer, kullanıcıların başka bilgisayarlar üzerinde uzaktan masaüstü yönetimi yapmalarını sağlayan bir uygulamadır. TeamViewer uygulamasının; Windows, macOS, Linux, Chromes OS, iOS, Android, Windows Phone 8 ve BlackBerry dahil olmak üzere birçok işletim sistemi üzerinde çalışan sürümleri bulunmaktadır. Güvenlik araştırmacısı Jeffrey Hofmann tarafından, Windows kullanıcı adlarını ve Windows kullanıcılarının parolalarına ait NTLM hash değerlerinin ele geçirilmesine olanak veren bir güvenlik zafiyeti (CVE 2020-13699) keşfedildi. Saldırganlar zafiyetten yararlanmak için, özel hazırlanmış bir web uygulaması kullanıyorlar. Bu web uygulaması, TeamViewer uygulamasına istek göndererek SMB kimlik doğrulaması gerçekleşmesini sağlıyor. Böylece saldırganlar, kullanıcıların Windows kullanıcı adı ve parolaya ait NTLM hash değerini ele geçirebiliyorlar.

Aşağıda saldırı için kullanılan örnek kod yer alıyor:

Kullanıcıların zafiyetten etkilenmemeleri için, Teamviewer uygulamasını 15.8.3 sürümüne yükseltmeleri gerekmektedir.

Interpol Fidye Yazılımları ile İlgili Uyardı

Interpol, COVID-19 pandemisi sırasında, siber suçluların evrimleşmesiyle ilgili bir rapor yayınladı. Raporda, eskiden bireyleri ve küçük işletmeleri hedef alan saldırganların son zamanlarda hükümetleri, büyük şirketleri ve kritik altyapıları hedef aldığı belirtildi. COVID-19 pandemisinin dünya çapındaki etkisini vurgulayan Interpol, özellikle Amerika kıtasında COVID-19 temalı oltalama (phishing) ve dolandırıcılık (fraud) kampanyalarında artış gözlemlendiğini belirtti.

COVID-19 döneminde aktif olarak kullanılan fidye yazılımlarından LockBit fidye yazılımı kampanyasının, hedef ağlar içerisinde yanal hareket yapmak için public sızma testi aracı olan CrackMapExec aracını kullanarak orta ölçekli kuruluşları hedeflediği belirtildi. Ayrıca saldırganların kurumsal ağları hedef aldığı gibi evden çalışan insanları da hedef aldığı belirtildi.