12Eylül

Siber Güvenlik Bülteni #20

Komut Çalıştırma Zafiyetleri Nedeniyle Yeni PHP Sürümleri Yayınlandı

Geçtiğimiz günlerde PHP programlama dili üzerinde keşfedilen kritik güvenlik açıkları nedeniyle yeni PHP sürümleri yayınlandı. Bu güvenlik açıkları saldırganların çekirdek ve kütüphanelerden yararlanarak komut çalıştırabilmelerine neden olmaktadır. Saldırganlar ayrıca keşfedilen zafiyetleri kullanarak sistemde hizmet kesintisine (Denial of Service) de neden olabiliyorlar. Zafiyetler kritik olmasına rağmen şu ana kadar saldırganların bu zafiyetleri kullandığına dair herhangi bir rapor yayınlanmadı.

Bu güvenlik açıkları; 7.1.32 sürümünden önceki tüm 7.1.x PHP sürümlerini, 7.2.22 sürümünden önceki tüm 7.2.x PHP sürümlerini ve 7.3.9 sürümünden önceki tüm 7.3.x PHP sürümlerini etkilerken, aynı zamanda bu güvenlik açıkları PHP programlama dilinden kaynaklandığı için WordPress,Drupal ve Typo3 gibi PHP programlama dilini kullanan yönetim sistemlerini de etkilemektedir.

Saldırılardan etkilenmemek için PHP sürümlerinin en kısa sürede 7.3.9, 7.2.22 ve 7.1.32 sürümlerine yükseltilmesi önerilmektedir .

IOT Radyo Cihazlarda Kritik Güvenlik Açığı Keşfedildi

Imperial & Dabman IOT radyo cihazları üzerinde kritik bir güvenlik açığı tespit edildi. CVE-2019-13473 kodlu güvenlik açığı bir saldırganın uzaktan Linux sistemler üzerinde yüksek yetkilerle işlem yapmasını sağlıyor. Bu zafiyeti kullanan bir saldırgan, radyo cihazlarını kendi kontrolündeki botnet’e ekleyebilir, cihaz üzerindeki sinyaller ile oynayabilir veya radyonun bağlı olduğu Wi-Fi parolasını elde edebilir.

Zafiyet radyonun kullandığı telnet servisinden (Telnetd) kaynaklanıyor. Telnet servisinin oturum bilgilerinin zayıf parolalardan oluştuğu ve kullanılan zayıf parolaların basit bir brute-force atağı ile hızlıca kırılabildiği tespit edildi. Saldırganlar bu sayede radyoya ve işletim sistemine erişim sağlayabiliyor. Sistemde oturum açtıktan sonra “etc” dizini altına root hak ve yetkileri ile erişilebildiği belirtildi.

Telnet protokolü güvensiz iletişim gerçekleştirir. İletişim şifrelenmemiş şekilde gerçekleştirilir ve gönderilen veriler saldırılara açık haldedir. Bundan dolayı telnet yerine SSH kullanılması ve kullanılan parolanın kompleks ve tahmin edilemez olması önerilmektedir.

Play Store’da 500 Bin İndirmeye Ulaşan Malware: Joker

Google Play Store her ne kadar güvende tutulmaya çalışılsa da, kötü amaçlı Android uygulamalar hala Android mağazasında barınmayı başarıyor.

‘Joker’ olarak adlandırılan android zararlısı, Google Play Store’da yer alan 24 tane android uygulamasında tespit edildi ve bu uygulamaların toplamda 472.000’den daha fazla indirildiği ve yüklenildiği belirtildi. Güvenlik araştırmacısı Aleksejs Kuprins tarafından keşfedilen zararlı yazılım, kullanıcıların kullandıkları premium abonelik hizmetleri üzerinden paralarını harcamalarını sağlıyor. Bu zararlıyı barındıran uygulamalar arka planda gizlice bir reklamı tıklıyor ve yönlendirildiği sitede kaydolma işlemi yapıyor. Daha sonra kurbanların SMS’lerine erişip, abonelik ödemelerini doğrulamak için gönderilen doğrulama kodunu kopyalayıp kullanıyor. Bu zararlının olduğu uygulamalara aşağıdaki listeden erişebilirsiniz. Eğer bu listedeki uygulamalardan herhangi biri telefonda yüklü ise derhal kaldırılması önerilmektedir.

  • Advocate Wallpaper
  • Age Face
  • Altar Message
  • Antivirus Security – Security Scan
  • Beach Camera
  • Board picture editing
  • Certain Wallpaper
  • Climate SMS
  • Collate Face Scanner
  • Cute Camera
  • Dazzle Wallpaper
  • Declare Message
  • Display Camera
  • Great VPN
  • Humour Camera
  • Ignite Clean
  • Leaf Face Scanner
  • Mini Camera
  • Print Plant scan
  • Rapid Face Scanner
  • Reward Clean
  • Ruddy SMS
  • Soby Camera
  • Spark Wallpaper

Bu gibi olayların önüne geçmek için herhangi bir uygulamayı indirmeden önce uygulamanın güvenilir bir geliştirici tarafından geliştirildiği ve uygulamanın gereksiz izinler istemediği teyit edilmelidir.

Exim E-Posta Sunucularında RCE Zafiyeti

Popüler açık kaynaklı Exim e-posta sunucusu yazılımında, 500 binden fazla e-posta sunucusunu etkileyen RCE güvenlik açığı bulundu.

CVE-2019-15846 koduyla tanımlanan güvenlik açığı, yalnızca TLS bağlantılarını kabul eden Exim sunucularını etkiliyor ve saldırganların sisteme root haklarıyla erişim kazanmalarını sağlıyor.

Güvenlik açığına önlem olarak sunucu yöneticilerinin Exim’i en son sürümü olan 4.92.2 ye yükseltmeleri önerilmektedir.