23Nisan

Siber Güvenlik Bülteni #52

Zoom 0-day Zafiyeti 500.000 Dolara Satılıyor

Koronavirüs ile beraber popülerliği artan video konferans uygulaması Zoom’un peşini hacker’lar bırakmıyor. Biri Zoom’un MacOS uygulamasını, biri de Zoom’un Windows uygulamasını etkileyen iki adet 0-day zafiyeti markette satışa çıkarıldı. Satışa çıkarılan 0-day’lerden sadece Zoom’un Windows uygulamasını etkileyen 0-day 500.000 dolara satılıyor.

Yapılan açıklamada 500.000 dolara satılan 0-day’in uzaktan komut çalıştırmayı sağladığı ve saldırgan kişiye uygulama üzerinde tam erişim yetkisi verdiği belirtildi. 0-day başka güvenlik açıklıkları ile birleştirildiğinde bütün bilgisayar sisteminin ele geçirilmesini sağlayabiliyor. Zoom’un MacOS uygulamasını etkileyen 0-day’in ise uzaktan komut çalıştırmayı sağlayan bir güvenlik açığı olmadığı ve bundan dolayı fiyatının daha düşük olduğu belirtildi. Yetkililer Zoom’da ardı ardına bulunan zafiyetlerden sonra devlet işlerinde Zoom’un kullanılmasının riskli olduğunu belirtiyor. Son gelişmelerden sonra Hindistan, Zoom’un devlet işlerinde kullanımını yasaklarken, ABD senatosu da devlet kurumlarını Zoom uygulamasının kullanımı ile ilgili uyardı.

Facebook Karantina Karşıtı Protestoları Yasaklıyor

Amerika’da, Koronavirüs salgınını yavaşlatmak için alınan sosyal mesafe önlemlerinin kaldırılması, hayatın normale dönmesi ve ekonomik faaliyetlerin yeniden başlaması için başlatılan protesto gösterilerinin ülke geneline yayılmasından sonra Facebook, site üzerinde düzenlenen karantina karşıtı etkinlikleri kaldıracağını açıkladı.

Washington Post’a göre, yapılan protesto gösterilerinde çoğu kişi Facebook üzerinden örgütleniyor ve Facebook üzerinde Koronavirüs ile ilgili yanlış bilgi yayan ve komplo teorileri üreten birçok sayfa bulunuyor.

Bir Facebook sözcüsü tarafından yapılan açıklamada, Facebook üzerinde sadece sosyal mesafe önlemlerini protesto eden etkinliklerin kaldırılacağı ve hükümetin yasaklamadığı diğer özel protesto etkinliklerinin yasaklanmayacağı belirtildi.

Yapılan açıklamaların ardından New Jersey ve Kaliforniya eyaletlerinde gerçekleştirilecek bazı protesto etkinlikleri Facebook’tan kaldırıldı.

Facebook’un protesto sayfalarına karşı kendi inisiyatifiyle harekete geçip geçmediği ya da devlet emriyle hareket edip etmediği ise bilinmiyor.

IBM Ürününde 4 Kritik Güvenlik Açığı Bulundu

Güvenlik araştırmacısı Pedro Ribeiro, IBM’in Data Risk Manager ürünü üzerinde 4 farklı güvenlik açığı buldu. Pedro yaptığı açıklamada, bulduğu güvenlik açıklıklarını detaylarıyla birlikte bildirdiğini ancak IBM’in zafiyetleri kapsam dışı bulup kapatmayı reddettiğini belirtti. Bunun üzerine Pedro güvenlik açılarını teknik detaylarıyla birlikte github üzerinde paylaştı.

Araştırmacı, IBM Data Risk Manager’da bulduğu zafiyetlerin bir arada kullanılmasıyla, yetkisiz bir kullanıcın root haklarıyla komut çalıştırabileceğini belirtti.

Tespit edilen 3’ü kritik, 1’i yüksek seviye 4 zafiyet aşağıdaki gibidir:

• Authentication Bypass

• Command Injection

• Insecure Default Password

• Arbitrary File Download

Yukarıdaki ilk 3 zafiyeti birlikte kullanan saldırgan başarılı bir şekilde sistemde root haklarıyla komut çalıştırabiliyor. Örnek bir saldırı senaryosunda; kimlik doğrulama aşamasındaki mantık hatasından yararlanan saldırgan, zafiyeti exploit ederek web uygulaması üzerinde admin oturumu elde edebiliyor. Artık geçerli bir oturumu olan saldırgan, “/albatross/restAPI/v2/nmap/run/scan” API endpoint’inde bulunan command injection zafiyetini exploit ederek sistem üzerinde istediği komutları çalıştırabiliyor. Bu sayede web uygulamasına erişimi olan saldırgan artık web uygulamasın çalıştığı sunucu üzerinde normal haklarla komut çalıştırma yetkisine sahip oluyor. Son olarak bir önceki adımda normal haklarla sistem üzerinde komut çalıştıran saldırgan, sistemde bulunan varsayılan yetkili kimlik bilgilerini kullanarak root haklarıyla komut çalıştırabiliyor.

Araştırmacı, zafiyetlerin metasploit modüllerini ve saldırının örnek bir videosunu da yayınladı. IMB Data Risk Manager’ın 2.0.2 ve 2.0.3 sürümlerini kullanan kullanıcıların, güvenlik güncellemeleri yayınlanır yayınlanmaz ürünlerini güncellemesi tavsiye ediliyor.

Avatarify ile Görüntülü Aramalarda Başkasının Yüzü Kullanılabiliyor

Avatarify isimli açık kaynak kodlu deepfake yazılımı, Skype ve Zoom üzerinden yapılan görüntülü aramalarda kişinin yüzünü, başka birinin yüzü ile değiştirebilmesini sağlıyor.

Avatarify uygulamasının geliştiricisi Ali Aliev, yaptığı açıklamada uygulamayı geliştirirken “First Order Motion Model for Image Animation” isimli makaleden ve makale ile yayınlanan kaynak kodlardan yararlandığını belirtti. Geliştirdiği Avatarify uygulamasına ait kaynak kodları ise github üzerinden paylaştı.

Aliev, programın nasıl çalıştığını göstermek için Elon Musk olarak yanlış bir toplantıya katılıyormuş gibi yaptığı bir video hazırladı ve videoyu Youtube üzerinden paylaştı. Videoya buradan ulaşılabilir.

Motherboard-VICE, yaptığı açıklama ile deepfake teknolojisinin inandırıcı olabilmesi için hala gelişmesi gerektiğini ve bu yazılımların sesleri de taklit eden diğer yazılımlarla birleşmesi ile inandırıcılığının artacağını belirtti.