26Eylül

Siber Güvenlik Bülteni #22

Jira Server’da Kritik Güvenlik Açıkları Bulundu

JIRA Service Desk uygulaması üzerinde kritik bir güvenlik açığı bulundu. CVE-2019-14994 koduyla tanımlanan bu güvenlik açığı, uygulamaya erişim hakkı olmayan kullanıcıların, yetkisiz erişim sağlamalarına olanak tanımaktadır. Servis Masası, müşterilerinin JIRA örneğindeki sınırlı sorunları görüntülemesini sağlamaktadır. Normal şartlarda Service Desk, tüm JIRA Service Desk projelerinde oluşturulan XML sonuçlarında bulunan biletlerin ayrıntılarını görüntülemek için kullanılmakta ve başka müşterilerin bilgilerini görüntüleme yetkisi bulunmamaktadır. Fakat güvenlik açığı kullanıldığında bu görüntüleme yetkisi elde edilebilmektedir. Bu güvenlik açığından 3.9.16’dan önce, 3.10.0’dan, 4.0.0’dan, 4.1.0’dan, 4.2.3’den 4.2.0’dan 4.2.5’den 4.3.3’ten 4.3.0’dan önceki sürümler, 4 ve sürüm 4.4.0 sürümleri etkilenmektedir. Güvenlik açığının engellenmesi için en güncel sürümlerin yüklenmesi gerekmektedir. Ayrıca dizin yolu engellenip, biletleri görüntüleme yetkileri sınırlandırılmalıdır.

Bunun dışında yine JIRA üzerinde farklı bir güvenlik açığı daha bulundu. CVE-2019-15001 kodlu bu zafiyet, JIRA Server ve Data Center’da bulunan JIRA Importers Plugin (JIM) üzerinde Server-Side Template Injection zafiyetine neden oluyor. Herhangi bir saldırgan bu güvenlik açığını sömürerek “JIRA Administrators” bilgilerine erişim sağlayabilir. Ayrıca güvenlik açığını barındıran sürümler üzerinde uzaktan kod çalıştırma yetkisine sahip olunabiliyor. Güvenlik açığından etkilenen sürümler, 7.0.10-7.6.15, 7.7.0-7.13.7, 8.1.0-8.1.2, 8.2.0-8.2.4, 8.3.0-8.3.3 ve 8.4.0 sürümleridir. Bu güvenlik açığından etkilenmemek için JIRA Server & Data Center sürümlerinin yayınlanan son sürüme yükseltilmesi gerekmektedir.

Microsoft IE 0-Dday ve Microsoft Defender Zafiyetleri İçin Yama Yayınlandı

Microsoft, Internet Explorer üzerinde tespit edilen 0-day zafiyeti için acil durum yaması yayınladı. Zafiyet Google araştırmacılarından Clément Lecigne tarafından keşfedildi ve CVE-2019-1367 koduyla tanımlandı. Bu zafiyet Internet Explorer’ın bellekteki nesneleri işleme biçiminden kaynaklanıyor ve saldırganlara uzaktan komut çalıştırma izni veriyor. Zafiyetin exploit edilebilmesi için saldırganlar tarafından özel hazırlanan bir web sitesinin kurbanlar tarafından görüntülenmesi gerekiyor. Güvenlik zafiyetinin IE 9,10 ve 11 sürümlerini etkilediği belirtildi.

Microsoft ayrıca Windows 8 ve sonraki işletim sistemlerinde bulunan Microsoft Defender uygulamasını etkileyen DOS zafiyeti için de yama yayınlandı. CVE-2019-1255 koduyla tanımlanan bu zafiyet Microsoft Malware Protection Engine 1.1.16300.1 sürümüne kadar olan tüm sürümleri etkilemektedir.

Microsoft Defender, güvenlik güncelleştirmelerini 48 saat içinde otomatik olarak yapmaktadır. IE zafiyeti için ise acil güncelleştirme yapılması önerilmektedir.

vBulletin’de RCE Güvenlik Açığı

Bir güvenlik araştırmacısı vBulletin’de kritik bir güvenlik açığı buldu. Güvenlik açığı bir saldırganın hedef sunucu üzerinde uzaktan kod çalıştırmasına olanak sağlamaktadır. Ayrıca saldırganın hedef sistem üzerinde kimlik doğrulama yapmadan kod çalıştırmasına izin vermektedir.

Tespit ettiği kritik güvenlik açığını vBulletin ekibi ile paylaşmayıp sosyal medya üzerinden yayımlayan güvenlik araştırmacısı, bulduğu zafiyeti vBulletin ekibi ile paylaşması durumunda 10.000 $ değerinde ödüle layık görülecekti. Bu durumun VBulletin forum yazılımını ticarileştiren MH Sub I, LLC şirketlerine karşı bir sabotaj eylemi olabileceği ve itibar kaybına sebep olması için bulunan zafiyetin paylaşıldığı söylenmektedir.

Google Dorkları ile araştırma yapıldığında on binlerce vBulletin forumu olduğu ve VBulletin sitesinde Steam, EA, Zynga, NASA, Sony gibi büyük şirketlerin VBlulletin müşterisi olduğu görülmektedir. Bu güvenlik açığı yalnızca 5.x sürüm numarası ile devam eden sürümlerde bulunmaktadır. Daha önceki sürümler, paylaşılan güvenlik yamaları kurulu olması durumunda güvenlik açığından etkilenmemektedir. Güvenlik açığından etkilenmemek için gerekli yamaların ve sürüm güncelleştirmelerinin yapılması gerekmektedir.

Google Chrome’dan Güvenlik Güncellemesi

Google, Chrome web tarayıcısıdaki kritik zafiyetleri gidermek için acil bir yazılım güncellemesi yayınladı. Chrome güvenlik ekibi yaptığı açıklamada yeni güncelleme ile giderilen dört güvenlik açığının, web tarayıcısının farklı bileşenlerinde RCE güvenlik açığına yol açabileceğini belirtti.

Yeni güncelleme ile giderilen güvenlik açıkları aşağıdaki gibidir:

UI üzerinde Use-after-free (CVE-2019-13685)

Medyada modülü üzerinde Use-after-free (CVE-2019-13688)

Medyada modülü üzerinde Use-after-free (CVE-2019-13687)

Çevrimdışı sayfalarda Use-after-free (CVE-2019-13686)

Google, güvenlik açıklarını bildiren araştırmacıları CVE-2019-13687 için 20.000$ ve CVE-2019-13688 için 20.000$ olmak üzere toplam 40.000$ ile ödüllendirdi. Google, kullanıcıların bu tür zafiyetlerden etkilenmemesi için Chrome üzerinde otomatik güncelleştirmenin aktif edilmesini öneriyor.