31Ekim

Siber Güvenlik Bülteni #27

Mobil Bankacılık Saldırılarında Türkiye İkinci Sırada!

Kaspersky Lab’ın Global Araştırma ve Analiz Ekibi’ne göre 2019 yılının ilk çeyreğinde META (Ortadoğu, Türkiye, Afrika) bölgesine yönelik istatistiksel veriler paylaşıldı. Paylaşılan veriler göz önüne alındığında Türkiye, %0.73 artış ile Avustralya’dan sonra en çok mobil bankacılık trojan saldırısına hedef olan ikinci ülkedir. Mobil bankacılık trojan saldırısına maruz kalan cihazların ise çoğunlukla Android tabanlı cihazlar olduğu öne çıkmaktadır.

Android tabanlı cihazlar, IOS cihazların zararlı yazılımlara karşı gösterdiği güvenlik özelliklerini gösterememektedir. En önemli etken ise son kullanıcıdır. Son kullanıcılar, oltalama (phishing) saldırılarının hedefi olmaktadır. Bunun sebebi ise son kullanıcının cihazına kaynağı güvenli olmayan uygulamaları yüklemesi, mail hesaplarına gönderilen kaynağı belli olmayan maillere itibar etmesi veya herhangi bir bağlantı linkine tıklamasıdır.

İstatiksel verilere göre, Türkiye’ye 3 ayda 1.2 milyondan fazla oltalama (phishing) saldırısı yapılmıştır. 2018 yılının ilk çeyreği ile karşılaştırıldığında Türkiye’ye yapılan oltalama saldırılarının %70 oranda arttığı gözlemlenmektedir. Son kullanıcıların, oltalama (phishing) saldırılarından ve mobil bankacılık trojan saldırılarından etkilenmemesi için bilgili ve duyarlı olması gerekmektedir. Kullanıcıların, güvenilir olmayan uygulamaları yüklememesi, kaynağı belli olmayan maillere itibar etmemesi, gönderilen herhangi bir linke tıklamaması, antivirüs çözümlerini kullanması ve cihazının sürümünü güncel tutması gerekmektedir.

Adobe Creative Cloud Servisinde Yaşanan Veri İhlali

Adobe şirketi, bu ayın başlarında Creative Cloud’a yönelik ciddi bir güvenlik ihlali yaşadı. Adobe Creative Cloud kullanıcılara; Photoshop, Illustrator, Premiere Pro, InsDesign, Kightroom ve daha fazlası dahil olmak üzere bir çok masaüstü veya mobil cihazlar için paket erişimi ve abonelik sağlayan bir servistir.

Adobe Creative Cloud servisine kayıtlı olan kullanıcıların bilgileri ifşa edildi. Bilgi ifşasının, Bob Diachenko adlı araştırmacının Adobe Creative Cloud servisine ait olan Elasticsearch veritabanını bulmak için Coparitech şirketi ile işbirliği yapması sonucunda gerçekleştiği ortaya çıktı. Adobe şirketi tarafından yapılan açıklamaya göre bu bilgi ifşasına neden olan hatanın yanlış yapılandırılmış veritabanından dolayı ortaya çıktığı belirtildi. Ayrıca Adobe, hatanın aynı gün içerisinde düzeltilerek, veritabanına olan yetkisiz erişimin engellendiğini belirtti. İfşa edilen veritabanı, yaklaşık 7.5 milyon Adobe Creative Cloud kullanıcısının kişisel bilgilerini içeriyor. Bu bilgiler aşağıda sıralanmıştır:

  • E-mail Adresleri
  • Hesap Oluşturma Tarihi
  • Abone Olunan Ürünler
  • Abonelik Durumu
  • Ödeme Durumu
  • Üye Kimlikleri
  • Ülke
  • Son Girişten Geçen Süre
  • Kullanıcı Adobe Çalışanı mı?

Creative Cloud veritabanı, herhangi bir parola veya kredi kartı numarası gibi finansal bir bilgi içermemektedir. Ancak ifşa edilen bilgiler, parola ve kredi kartı numarası gibi çok daha önemli bilgilerin ele geçirilmesi için oltalama saldırılarında kullanılabilir.

Yeni Cache Poisoning Saldırısı CDN Kullanan Siteleri Etkiliyor

Siber güvenlik araştırmacılarından oluşan bir ekip, CDN üzerinde bulunan sitelerde ziyaretçilere orijinal içerik yerine hata sayfaları gösteren yeni bir Cache Poisoning saldırısı keşfettiler.

Bahsedilen cache poisoning saldırısı, reverse proxy cache sistemleri kullanan Amazon CloudFront, Cloudflare, Fastly, Akamai ve CDN77 gibi yaygın olarak kullanılan CDN’lerin arkasındaki siteleri etkiliyor.

Cache Poisoned Denial of Service (CPDoS) olarak adlandırılan saldırının aşamaları aşağıdaki gibidir:

  • Saldırgan, hedef web sitesine hatalı biçimlendirilmiş başlık içeren bir HTTP isteği gönderir.
  • CDN sunucusu istenen kaynağın bir kopyasına sahip değilse, hatalı başlık bulunduran HTTP isteğini asıl web sunucusuna iletir.
  • Asıl sunucu hatalı isteğe karşı CDN cache ine hata sayfası gönderir.
  • Ziyaretçiler hedeflenen içeriği almaya çalıştığında, orijinal içerik yerine önbelleğe alınmış hata sayfası ile karşılaşır.
  • Adımların sonunda, web sitesinin hedeflenen kaynakları kullanılamaz duruma gelir.

Araştırmacılar, zafiyetten etkilenen CDN lere durumu bildirdi ve CDN’ler tarafından hatalı implementasyonlar düzeltildi.

NGINX Üzerinde Çalışan PHP Web Sitelerinde Kritik Zafiyet

NGINX sunucusu üzerinde çalışan PHP tabanlı web sitelerini etkileyen bir zafiyet keşfedildi. Bu zafiyet PHP-FPM özelliğinden kaynaklanıyor. PHP-FPM, PHP programlama dili ile yazılmış scriptlerin daha verimli bir şekilde işlenmesi için kullanılan bir özelliktir. CVE-2019-11043 olarak tanımlanan bu zafiyet, PHP-FPM özelliği aktif olduğunda saldırganların web sunucusunu uzaktan ele geçirmelerine olanak veriyor. PHP-FPM ile ilgili asıl problem “env_path_info” fonksiyonunun bellek bozulmasından kaynaklanıyor ve bu durum saldırganların uzaktan komut çalıştırmalarına izin veriyor.

Zafiyetten etkilenmemek için en kısa sürede PHP sürümünün 7.3.11 ve 7.2.24 sürümlerine yükseltilmesi önerilmektedir.