Oracle E-Business Suite Paketinde Kritik Zafiyetler Keşfedildi #57

CRM, ERP ve SCM uygulamalarını otomatikleştirmek için tasarlanan ve finans, lojistik, satın alma, insan kaynakları gibi onlarca modül içeren entegre uygulama paketi Oracle E-Business Suite’da, Onapsis güvenlik araştırmacıları tarafından 2 kritik güvenlik zafiyeti keşfedildi. BigDebIT olarak adlandırılan bu zafiyetler 10 üzerinden 9.9 CVSS puanı aldı. Zafiyetlerden yararlanan bir saldırgan, kurumlara ait hassas bilgileri çalabilir ve finansal sahtekarlık yapmak amacıyla Oracle General Ledger muhasebe uygulaması üzerinde değişiklikler yapabilir. Araştırmacılar bu konuyla ilgili olarak; kimlik doğrulamamış bir saldırganın, hedef kurumdan varlık çıkarmak (örn:nakit para) ve muhasebe tablolarını iz bırakmadan değiştirmek için Oracle General Ledger modülüne yönelik bir istismar gerçekleştirebileceğini belirtti.

CVE-2020-2586 ve CVE-2020-2587 kodlarıyla tanımlanan BigDebIT zafiyetleri, Oracle HRMS sisteminde bulunan ve kurumla ilgili organizasyonlar ve pozisyon hiyerarşileri oluşturulmasını sağlayan Hierarchy Diagrammer bileşeninden kaynaklanıyor. Zafiyetlerden yararlanan bir saldırgan, Oracle General Ledger muhasebe uygulaması tarafından oluşturulan finansal raporlar üzerinde değişiklik yapabiliyor. Onapsis firması bu durumla ilgili olarak, bir saldırganın belirli dönemler için hesap bakiyelerini özetleyen Trial Balance Report adlı rapor üzerinde fark edilmeden değişiklik yapabileceğini belirtti.

Oracle, ocak ayının başında yayınlanan kritik yama güncellemesiyle birlikte zafiyetleri giderdiklerini ancak Oracle EBS kullanan müşterilerin %50’sinin henüz güncelleme yapmadıklarını belirtti. Saldırılardan etkilenmemek için Oracle EBS kullanan kurumların, zafiyetlere maruz kalmadıklarından emin olmak için değerlendirme yapmaları ve en kısa sürede güvenlik güncelleştirmelerini yüklemeleri önerilmektedir.

Ripple20 Zafiyetleri Milyonlarca IoT Cihazı Etkiliyor

Treck şirketinin geliştirdiği ve İntel, HP, Cisco gibi firmaların kullandığı low-level TCP/IP kütüphanesinde “Ripple20” olarak adlandırılan 19 güvenlik açığı çıktı. Bulunan güvenlik açıkları arasında herhangi bir kullanıcı etkileşimi gerekmeden aygıtı ele geçirmeye sağlayan zafiyetler de bulunuyor.

Zafiyetleri bulan JSOF ekibi, zafiyetlerden etkilenen cihazlar arasında veri merkezleri, işletmeler, telekom, petrol, gaz, nükleer, ulaşım gibi birçok alanda ve kritik endüstride kullanılan cihazların da bulunduğunu belirtti.

Zafiyetin exploit edilmesi senaryosuna örnek veren araştırmacılar, yazıcılardan verilerin çalınabileceğini, infüzyon pompasının davranışının değiştirilebileceğini veya endüstriyel kontrol cihazlarının sabote edilebileceğini belirtti. Güvenlik araştırmacıları, gerekli güvenlik güncellemeleri yayınlanana kadar zafiyetlerden etkilenmemek için aşağıdaki adımların takip edilmesini tavsiye ediyor:

  • İnternete bağlı olması zorunda olmayan cihazların, internete erişiminin kesilmesinden emin olun.
  • OT ağlarını normal ağlardan ayırın.

Zafiyetlerin teknik detaylarına buradan ve JSOF ekibinin örnek bir saldırıyı gösterdikleri demo videosuna ise buradan ulaşabilirsiniz.

Facebook ve FBI Bir Suçluyu Yakalamak İçin İşbirliği Yaptı

Sosyal medyada “Brian Kil” ismini kullanan Buster Hernandez isimli bir kullanıcının Facebook üzerinden reşit olmayan kadınlara tehdit ve taciz mesajları atması üzerine artan şikayetlerle, kullanıcı FBI takibine girdi. Yapılan açıklamada şahsın yakalanmamak için gerekli tüm önemleri aldığı, her seferinde FBI‘ın takibinden kurtulmayı başardığı ve bunun üzerine FBI yöneticilerinin Facebook‘tan yardım istediği belirtildi. FBI’ın isteği üzerine Facebook, bir siber güvenlik firmasından Tails üzerinde geliştirilmiş bir 0-day satın aldı ve bu 0-day’i Buster Hernandez isimli şahsa ait gerçek IP adresinin öğrenilmesi için kullandı. Yapılan açıklamaya göre geliştirilen exploit, Tails’de yer alan video player uygulamasındaki bir zafiyeti kullanarak videoyu görüntüleyen kişinin gerçek IP adresini ifşa ediyor. Bu operasyon sonucu gerçek IP’si ve yeri tespit edilen Buster Hernandez yakalandı ve 41 ayrı suçtan mahkemeye sevk edildi.

Bir Facebook sözcüsü yaptığı açıklamada yüz kızartıcı suçlar işleyen Buster Hernandez’in adalete teslim edilmesi için olağanüstü adımlar atıldığını belirtti. Hernandez’in hacklenmesi için “güvenlik uzmanları” ile çalışıldığı doğrulandı.

Amazon, Yüz Tanıma Yazılımı Rekognition’ın Kullanımına 1 Yıllık Yasak Getirdi

ABD kurumları, Orlando ve Florida polisleri tarafından kullanılan Amazon yüz tanıma yazılımı Rekognition’a Amazon tarafından 1 yıllık kullanım yasağı getirildi. Amazon Rekognition yazılımının kullanımına getirilen yasağın sadece polisleri kapsayacağı belirtildi. Ayrıca ABD polisinin George Floyd’u öldürmesinin ardından, IBM’in yüz tanıma yazılımının geliştirilmesinin durdurulacağı belirtildi.

Yapılan açıklamada tüm yüz tanıma yazılımlarının siyah ve kahverengi insanları orantısız bir şekilde ayırdığı ve tehdit olarak gösterdiği belirtildi. Geçen yıl Amazon tarafından, Rekognition yazılımının korku ve diğer duyguları tespit edebileceği belirtilmişti. Ayrıca uygulama üzerinde yapılan testlerde uygulamanın %100 doğrulukla çalışmadığı ve bazen kişiler üzerinde yanlış tanımlamalar yapabildiği tespit edildi.