9Nisan

Safari’deki Zafiyetler Webcam’in Ele Geçirilmesine Neden Oluyor #50

Güvenlik araştırmacısı Ryan Pickren, Apple’ın Safari tarayıcısı üzerinde 7 tane güvenlik zafiyeti keşfetti. Zafiyetleri Apple’a bildiren Pickren, Apple tarafından 75.000$ ile ödüllendirildi. Pickren tarafından keşfedilen zafiyetlere ait CVE kodları ve zafiyetin detayları aşağıdaki gibidir:

• CVE-2020-3852: Bir web sitesi için multimedya izinleri belirlenirken URL şemasının gözden kaçması

• CVE-2020-3864: Bir DOM nesnesi içeriğinin benzersiz bir güvenlik kaynağına sahip olmaması

• CVE-2020-3865: Güvenli olmayan bir top-level DOM nesnesi içeriğinin güvenli olarak değerlendirilmesi

• CVE-2020-3885: Bir dosya URL’inin doğru işlenmemesi

• CVE-2020-3887: Bir indirme işleminin kaynağının yanlış ilişkilendirilmiş olması

• CVE-2020-9784: Zararlı bir iframe’in, başka bir web sitesinin indirme ayarlarını kullanabilmesi

• CVE-2020-9787: Bir web sitesi için multimedya izinleri belirlenirken, birbirine bitişik tire (-) ve nokta (.) içeren URL şemalarının gözden kaçması

Yapılan açıklamada bu zafiyetlerden 3’ü birlikte kullanılarak (CVE-2020-3885, CVE-2020-3887, CVE-2020-9784) iPhone, iPad ve Mac cihazların mikrofonlarının ve kameralarının ele geçirilebildiği ve zafiyetin sömürülebilmesi için hedef kullanıcı ile etkileşim gerektiği belirtildi.

Saldırganların hedef kullanıcı ile etkileşime geçebilmesi için hazırladığı sahte web sayfasının linkini sosyal mühendislik yöntemleri ile kullanıcıya tıklatması gerekiyor. Hedef kullanıcı linkte tıkladığında, tespit edilen zafiyetler kullanılarak javascript üzerinden kullanıcı web kamerasına herhangi bir izne gerek olmadan erişim sağlanabiliyor.

Apple, güvenlik araştırmacısının zafiyetleri bildirmesinin ardından, 28 Ocak tarihinde Safari 13.0.5 ve 24 Mart tarihinde Safari 13.1 sürümlerini yayınlayarak zafiyetleri giderdi. Zafiyetlerden etkilenmemek için Safari tarayıcısının güncellenmesi gerekmektedir.

COVID-19 Salgınıyla Beraber NASA’ya Yapılan Phishing Saldırıları Arttı

NASA, COVID-19 salgını sırasında evden çalışan personellerine ve NASA sistemlerine yönelik siber saldırıların arttığını ve NASA SOC ekibinin kullandığı araçlar sayesinde, siber saldırıların başarılı bir şekilde engellendiğini açıkladı. Yapılan açıklamada NASA çalışanlarına yönelik yapılan phishing saldırılarının iki kat arttığı belirtildi. NASA CIO’su tarafından tüm NASA çalışanlarına bir durum raporu gönderilerek, çalışanlar yapılan saldırılara karşı uyarıldı. Gönderilen raporda, devlet destekli hacker’ların ve siber suçluların COVID-19 salgınını kullanarak NASA çalışanlarına yönelik saldırılar gerçekleştirdikleri ve yapılan phishing saldırılarının içeriğinin NASA bağış talepleri, vergi iadeleri, güvenlik önlemleri ve sahte aşılar gibi COVID-19 salgını ile ilgili konulardan oluştuğu belirtildi. Yapılan phishing saldırılarında personellerin kişisel telefonlarının da hedef alındığı açıklandı ve NASA, yapılan saldırılara karşı alınması gereken önlemler ile ilgili personellerini bilgilendirdiğini belirtti.

Dark Nexus İsimli Yeni Bir IoT Botnet Zararlı Yazılımı Keşfedildi

Siber güvenlik araştırmacıları yeni bir IoT botnet tehdidi keşfetti. Bitdefender araştırmacıları tarafından “Dark Nexus” olarak adlandırılan botnet’in, router, video kaydedicileri ve termal kameralar gibi çeşitli cihazlara saldırıda bulunmak için kullanıldığı açıklandı. Yapılan açıklamada Dark Nexus’un şimdiye kadar Çin, Güney Kore, Tayland, Brezilya ve Rusya olmak üzere çeşitli konumlarda görülen en az 1.372 bottan oluştuğu ve daha önce bilinen IoT botnet’lerle ortak özellikleri olsa da bazı modüllerinin daha stabil ve etkili olduğu belirtildi.

Bitdefender tarafından toplanan kanıtların, Dark Nexus IoT Botnet’inin arkasındaki isim olarak “greek.Helios” nickli botnet geliştiricisini işaret ettiği belirtildi. Kullanıcının sattığı DDoS hizmetleri ile ilgili bir de Youtube kanalı bulunuyor.

Magecart Hacker Grubu Kredi Kartı Bilgilerini Çalmaya Devam Ediyor

RiskIQ şirketinin güvenlik araştırmacıları, e-ticaret sitelerini hackleyerek yerleştirdikleri zararlı javascript’lerle tanınan ve bu zamana kadar British Airways, Ticketmaster, Newegg gibi birçok büyük firmayı hedef almış Magecart grubuna ait yeni bir saldırı dalgası tespit ettiler. Yapılan açıklamada, tespit edilen yeni saldırılarda Magecart grubunun yeni obfuscate teknikleriyle kodu gizlemeye çalıştıkları ve 19 farklı e-ticaret sitesinde bu zararlı kodların bulunduğu belirtildi.

Magecart grubu yaptıkları saldırıları, sızdıkları e-ticaret sitelerinin ödeme formlarına zararlı javascript dosyaları yerleştirerek gerçekleştiriyor. Bu yöntemle Magecart grubu, zararlı kod bulunan sitede ödeme yapan müşterilere ait kredi kartı bilgilerini ele geçirebiliyor.

RiskIQ ekibi, saldırganların kullanıcılara ait hassas verileri çalmaya yönelik hazırladığı javascript kodunun obfuscate edilmiş 22 satırlık bir kod olduğunu ve COVID-19 salgını ile birlikte grubunun saldırılarının yüzde 20’lik bir artış gösterdiğini belirtti. Magecart grubunun gerçekleştirdiği saldırılara ait teknik analize buradan ulaşılabilir.