Siber Güvenlik Bülteni #74 Kritik Zafiyetler ve Veri Sızıntıları

Google’ın Project Zero ekibinde çalışan güvenlik araştırmacısı Ian Beer, iOS işletim sistemi üzerinde kritik güvenlik zafiyetleri bulduğunu teknik detaylarıyla birlikte açıkladı. İlgili raporda zafiyeti kullanan saldırganın herhangi bir kullanıcı etkileşimine ihtiyaç duymadan bir iPhone’u Wi-Fi üzerinden ele geçirebiliyor.

Ian Beer, bu zafiyetin istismar edilmesiyle hedef sistemlerdeki fotoğrafların görüntülenmesine, e-postaların okunmasına, özel mesajların kopyalanmasına ve gerçekleşen her eylemin gerçek zamanlı olarak izlenmesinin mümkün olduğunu belirtiyor.

CVE-2020-3843 kodu ile tanımlanan güvenlik zafiyet, Apple tarafından yayınlanan iOS 13.3.1 güncellemesi ile giderildi. Siber güvenlik uzmanları bu noktada Apple kullanıcılarının son güncellemeyi mutlaka yapmaları gerektiğini belirtiyor.

Aynı zamanda tespit edilen başka bir zafiyette ise, saldırganın hedef cihazları beklenmedik şekilde sonlandırılmasına veya kernel belleğine müdahale edilmesine neden olabileceği belirtiliyor.

Güvenlik açığı; AirDrop, AirPlay gibi Apple uygulamalarının kullandığı Apple Wireless Direct Link (AWDL) Wi-Fi sürücüsündeki bir buffer overflow zafiyetinden kaynaklanmaktadır. Zafiyetlerin teknik detaylarına ise buradan ulaşabilirsiniz.

Spotify Hacklenerek 300.000 Kullanıcının Bilgileri Ele Geçirildi!

Spotify’a yönelik yapılan “credential stuffing” saldırısı sonucunda, 300.000 fazla kullanıcının bilgileri çalındı. Çalınan bilgiler arasında; e-posta adresleri, parolalar, kullanıcı adları gibi kişisel bilgiler yer alıyor.

Credential stuffing saldırısı, çeşitli platformlardan elde edilen kimlik bilgileri ile farklı platformlara giriş yapılarak gerçekleştirilir. Bu saldırı botnet’ler aracılığıyla gerçekleştirilir. Bilgileri çalınan kullanıcıların büyük bir kısmının “premium” hesap olduğu belirtildi. “VpnMentor” tarafından çalınan verilerin bir ElasticSearch sunucusunda tutulduğu tespit edildi. Ancak sunucusunun sahibi veya kaynağı hakkında bir bilgiye ulaşılamadı. Ortaya çıkarılan veri tabanı boyutunun 72 GB olduğu söyleniyor.

Yetkililer, kullanıcılardan kendilerini korumaları için parolalarını değiştirmelerini ve diğer platformlarda aynı parolaları kullanmamaları gerektiğini söyledi.

Cisco’da Tespit Edilen Kritik Zafiyetler İçin Güncelleme Yayınlandı

Cisco Security Manager’daki kritik zafiyetlerle ilgili olarak çok sayıda güvenlik güncelleştirmesi yayınladı. Code White güvenlik araştırmacısı Florian Hauser (frycos) Cisco Security Manager’in web arayüzünü etkileyen ve kimliği doğrulanmamış bir saldırganın uzaktan kod çalıştırabilmesine olanak veren 12 adet RCE (Remote Code Execution) zafiyetini açıkladı. Ardından Cisco ekibi, zafiyetleri gidermek için güncelleştirmeler yayınladı. Zafiyetlerle ilgili PoC yazısına buradan ulaşabilirsiniz.

Belirtilen zafiyetlerden en kritik olanı, hedef sisteme “NT AUTHORITY \ SYSTEM” haklarıyla rastgele dosyalar yüklenmesine ve hedef sistemden dosya indirilmesine olanak veriyor. Böylece saldırganlar, belirli bir dizindeki tüm dosyalara erişim sağlayabiliyor.

Bu zafiyetin CVSS puanı 10 üzerinde 9,1 olarak belirlendi.

Cisco, güvenlik zafiyetlerinin exploit edildiğine dair herhangi bir kanıt bulamadığını söyledi. Zafiyetlerden etkilenmemek için en kısa sürede güvenlik güncelleştirmeleri yapılması önerilmektedir.

Google Chrome’da İki Adet Zero-Day Zafiyeti Tespit Edildi

Google, Chrome web tarayıcısında keşfedilen 2 zero-day güvenlik zafiyeti için güncelleme yayınladı. Böylece, son 3 hafta içerisinde Chrome için yayınlanan güncelleme sayısı beşe çıkarıldı. Ardından Google tarafından Windows, Mac ve Linux için güncel Chrome 86.0.4240.198 versiyonunu piyasaya sürüldü.

CVE-2020-16013 ve CVE-2020-16017 kodlarıyla tanımlanan zafiyetler, Google Project Zero güvenlik ekibi tarafından keşfedilen önceki vakaların aksine anonim kaynaklar tarafından keşfedildi ve Google’a bildirildi.

Tespit edilen zafiyetler ile ilgili açıklamalar aşağıda yer alıyor:

  • CVE-2020-16013: V8 JavaScript rendering engine’in uygunsuz implementasyonu
  • CVE-2020-16017: Chrome’un site izolasyon özelliğinde use-after-free bellek bozulması

Zafiyetlerden etkilenmemek için kullanıcıların Chrome sürümünü güncellemeleri önerilmektedir.

VMware’de Bulunan Kritik Zafiyet Birden Çok Ürünü Etkiliyor

VMware ürünlerinde bulunan ve saldırganların sistemi ele geçirmesine olanak tanıyan kritik bir güvenlik zafiyetini gidermek için geçici çözümler yayınladı.

VMWare tarafından yayınlanan belgede, 8443 numaralı port üzerinden yayınlanan yönetici yapılandırıcısına (administrative configurator) ağ erişimi bulunan ve yönetici hesabı (configurator admin account) için geçerli bir parolaya sahip olan bir saldırganın, hedef işletim sistemi üzerinde yüksek haklarla komutlar çalıştırabileceği belirtildi.

CVE-2020-4006 koduyla tanımlanan Command Injection zafiyetinin, 10 üzerinden 9,1 CVSS puanı aldığı belirtildi. Bu zafiyet; VMware Workspace One Access, Access Connector, Identity Manager ve Identity Manager Connector ürünlerini etkiliyor.

Etkilenen ürünlerin tam listesi aşağıda yer alıyor:

  • VMware Workspace One Access (Linux ve Windows için 20.01 ve 20.10 sürümleri)
  • VMware Workspace One Access Connector (Windows için 20.10, 20.01.0.0 ve 20.01.0.1 sürümleri)
  • VMware Identity Manager (Linux ve Windows için 3.3.1, 3.3.2 ve 3.3.3 sürümleri)
  • VMware Identity Manager Connector (Linux için 3.3.1, 3.3.2 ve Windows için 3.3.1, 3.3.2, 3.3.3 sürümleri)
  • VMware Cloud Foundation (Linux ve Windows için sürüm 4.x) vRealize Suite Lifecycle Manager (Linux ve Windows için 8.x sürümleri)

VMWare geçici çözümlerin uygulanması durumunda, yapılandırıcı tarafından yönetilen ayarlar üzerinde değişiklik yapılamayacağını belirtti. Değişiklik yapılması gereken durumlarda ise geçici çözümlerin kaldırılması ve yapılan değişikliklerden sonra yeniden uygulanması gerektiği belirtildi.

VMware, geçici çözümün yalnızca administrative configurator servisi için geçerli olduğunu bildirdi. Ayrıca VMWare, zafiyetin giderilmesi için gerekli olan güvenlik güncelleştirmesini en kısa zamanda yayınlayacaklarını belirtti.

GO SMS PRO Uygulamasında Veri Sızıntısı

Google Play Store’da 100 milyondan fazla indirilen “GO SMS PRO” android uygulaması üzerinde zafiyet bulan güvenlik araştırmacıları bildirdikleri zafiyetlerin üzerine iki yeni sürüm çıkmasına rağmen sorunun hala giderilmediğini ve 100 milyon kullanıcın risk altında olduğunu belirtti.

Sorunun, içeriği görüntülemek için herhangi bir kimlik doğrulama gerekmediğinden kaynaklanıyor. Saldırganlar bu durumda doğrudan kullanıcı verilerine ulaşamasa da kullanıcı resimlerine, isimlerine veya diğer tanımlayıcı özellikleri bulunan medya dosyalarına erişim sağlayabilmektedir.

Uygulamanın zafiyet tespitinden sonra yayınladığı 2 sürümde (v7.93 ve v7.94) temel güvenlik açığının giderilmediği gönderilen eski mesajlar aracılığı ile güvenlik zafiyetinin sömürüldüğü araştırmacılar tarafından tespit edilmiştir. Zafiyetinin giderilmemesi nedeniyle “Pastebin” ve “GitHub” gibi sitelerde kullanıcı verilerini indirmeyi sağlayan araç ve komut dosyaları yayınlanmaya devam etmektedir.

Privia Security Siber Güvenlik Danışmanlığı ve Hizmetleri Hakkında Detaylı Bilgi Almak ve Fiyat Teklifi İçin info@priviasecurity.com Adresimiz Üzerinden Uzmanlarımızla İletişim Geçebilirsiniz.