7Kasım

Siber Güvenlik Bülteni #28

Çinli Hacker Grubu, Telekomünikasyon Sunucularının SMS Mesajlarına Ulaştı

Pekin hükümeti için siyasi casusluk yapan Çinli bir hacker grubunun, telekomünikasyon şirketlerinin yüksek seviyedeki çalışanlarının gönderdiği ve aldığı tüm SMS mesajlarına ulaşmak için bir zararlı yazılım geliştirdikleri tespit edildi.

“MessageTap” olarak adlandırılan bu zararlı yazılım, kısa bir süre önce ismi belirtilmeyen bir telekomünikasyon şirketinin Linux tabanlı SMSC (Kısa Mesaj Servis Merkezi) sunucusunda 64 bitlik bir ELF dosyası olarak keşfedildi. FireEye’in Mandiant firması tarafından yayınlanan raporuna göre, MessageTap adlı zararlı yazılımın devlet destekli casusluk operasyonları yürüten ve finansal olarak devlet tarafından desteklenen Çinli bir hacker grubu olan APT41 grubu tarafından oluşturulduğu ve kullanıldığı belirtildi.Bunun yanı sıra bu zararlı yazılım saldırganların sunucudaki ve sunucuya bağlı tüm ağ bağlantılarını izlemelerine izin vermektedir.

MessageTap yazılımının, gönderinin ve alıcının IMSI(International Mobile Subscriber Identity – Uluslararası Mobil Abone Kimliği) ve telefon numaralarını belirlemek için her mesaj üzerinde işlem yaptığı ve hedefe göre mesajların filtrelendiği belirtilmiştir. Araştırmacılara göre, bilgisayar korsanları MessageTap kötü amaçlı yazılımını yalnızca mesajları filtrelemek ve kaydetmek için tasarladı. Bu yıl, APT41 hacker grubunun en az 4 telekomünikasyon kuruluşunu hedef aldığı belirtildi. FireEye araştırmacılarına göre, bu eğilimde olan saldırıların devam edeceği belirtildi.

Chrome Tarayıcılarda Kritik Zafiyet

Chrome tarayıcılarda, saldırganların kurban bilgisayarları ele geçirmelerine olanak veren 2 kritik zafiyet keşfedildi. Keşfedilen bu zafiyetler, Chrome tarayıcı üzerinde düşük haklara sahip kullanıcıların daha yüksek haklara erişmelerine olanak veren bir bellek bozulması hatasından kaynaklanıyor. Güvenlik zafiyetleri CVE-2019-13720 ve CVE-2019-13721 olarak tanımlanmıştır. CVE-2019-13720 zafiyeti Chrome tarayıcısının ses bileşeninden kaynaklanırken, diğer zafiyet PDFium kütüphanesinden kaynaklanıyor. Google bu zafiyetlerin ortadan kaldırılması için Chrome tarayıcısının 78.0.3904.87 sürümünü yayınladı. Zafiyetten etkilenmemek için en kısa sürede Chrome tarayıcısının güncelleştirilmesi önerilmektedir.

RConfig Programında Kritik Güvenlik Açıkları Bulundu

RConfig programı üzerinde 2 tane Remote Code Execution güvenlik açığı bulundu. RConfig, 7000’den fazla ağ mühendisinin 7 milyondan fazla ağ cihazının snapshot’ını almak için kullanılan açık kaynaklı ağ yapılandırma yönetim aracıdır.

CVE-2019-16662 kodlu güvenlik açığı, RConfig 3.9.2’deki bir hata sonucu keşfedilmiştir. Bir saldırganın, “ajaxServerSettingsChk.php” sayfasına bir GET isteğini göndermesiyle sistem üzerinde komutlar çalıştırılabilir. Çünkü “rootUname” parametresinde herhangi bir filtreleme olmadığından dolayı bu parametreye atanan değerler doğrudan çalıştırılmaktadır.

CVE-2019-16663 kodu ile tanımlanan diğer güvenlik açığı da RConfig 3.9.2’deki bir hata sonucu keşfedilmiştir. Bir saldırgan “search.Crud.php” sayfasına bir GET isteği göndererek sistem üzerinde doğrudan komutlar çalıştırabilir. Çünkü “catCommand” parametresinde filtreleme olmadığı için bu parametreye de atanan değerler kontrol edilmeden çalıştırılmaktadır. Böylelikle saldırgan sistem üzerinde uzaktan kod çalıştırabilir.

Bu güvenlik açıkları için geri dönüş olmadığından dolayı araştırmacı güvenlik açıklıkları ile ilgili PoC (Proof-Of-Concept) paylaşmıştır. CVE-2019-16662 kodlu güvenlik açığı, CVSS(v3.1) puanlamasına göre 10 üzerinden 9.8 puan alırken, CVE-2019-16663 kodlu güvenlik açığı ise CVSS(v3.1) puanlamasına göre 10 üzerinden 8.8 puan almıştır. Belirtilen iki güvenlik açığı da henüz yamalanmamıştır. Bu nedenle güvenlik açıklarından etkilenmemek için programın kullanılmaması önerilmektedir.

Lazer Işığı ile Google Home, Alexa ve Siri Kontrol Edilebiliyor

Güvenlik araştırmacıları, Alexa gibi ses kontrollü cihazlara sesli komut yollamak yerine lazer ışıkları kullanarak komut enjekte edilebileceklerini keşfettiler.’Light Commands’ olarak adlandırılan teknik, MEMS mikrofonların sadece ses yerine ışığa da yanıt vermesinden kaynaklanıyor.

Ayrıca, konuşma tanıma özelliğinin etkin olduğu durumlarda, saldırganlar, cihazın meşru sahibi tarafından konuşulan ilgili kelimelerden istenen ses komutlarının kaydını oluşturarak konuşmacı kimlik doğrulama özelliğini yenebilirler. Saldırının canlı demosuna buradan ulaşabilirsiniz.