11Ocak
Red Teaming Hizmeti

Siber Güvenlik Bülteni #75 Siber Saldırılar ve Zafiyetler

Citrix, Netscaler cihazlarını etkileyen bir güvenlik zafiyeti için müşterilerini bilgilendirmek amacıyla acil durum bildirisi yayınladı. Citrix bu belgede, bir saldırganın göndereceği isteklerle network throughput değerini aşarak bant genişliğinin tükenmesine neden olabileceğini belirtti.

Güvenlik zafiyeti eavesdropping, tampering veya mesaj sahteciliği gibi saldırıları engellemek amacıyla geliştirilmiş olan DTLS protokolünden kaynaklanıyor. DTLS, UDP protokolünü kullandığından dolayı saldırganlar IP datagramına bir kaynak IP adresi dahil ederek zafiyeti istismar edebildiler. Bu durum ağ trafiğinin gereksiz bir şekilde dolmasına neden oluyor ve DDoS etkisi oluşturuyor.

Citrix, güvenlik sorununun giderilmesi amacıyla DTLS protokolünü geliştirmeye çalıştıklarını ve 12 Ocak 2021 tarihinde yama yayınlayacaklarını belirtti. Cisco, saldırılardan etkilenmemek için ağ trafiğinde meydana gelebilecek anormal trafiğe karşı dikkatli olunması gerektiğini öneriyor.

Zyxel, firmware yazılımında ortaya çıkan bir backdoor hesabı için yama yayınladı. Niels Teusink adlı güvenlik araştırmacısı tarafından bildirilen bu zafiyet için saldırganların yönetici haklarıyla oturum açılabildiği ve network cihazlarına zarar verebildiği tespit edildi. CVE-2020-29583 koduyla tanımlanan bu zafiyetin CVSS puanı 7.8 olarak açıklandı.

Zyxel tarafından yayınlanan açıklamaya göre, firmware yazılımında değiştirilemez bir parolaya sahip olan “zyfwp” adlı backdoor hesabı bulunuyor. Bu hesap bilgilerini kullanan bir saldırgan, SSH üzerinden hedef sunucuya veya yönetici haklarıyla erişim elde edebiliyor.

Böylece saldırgan; belirli bir trafiğe izin vermek veya engellemek için güvenlik duvarı ayarlarını değiştirebilir veya kurum ağına erişmek için VPN hesapları oluşturabilir. Ayrıca saldırgan, bu zafiyeti “Zerologon” gibi bir güvenlik açığıyla birleştirerek kurum altyapısı üzerinde yıkıcı sonuçlar oluşmasına neden olabileceği belirtiliyor.

Niels Teusink, 29 Kasım’da Zyxel’e güvenlik açığını bildirdi ve Zyxel 18 Aralık’ta bir yama (ZLD V4.60 Yama1) yayınladı. Kullanıcıların zafiyetten etkilenmemeleri için en kısa sürede gerekli güncellemeyi yüklemeleri önerilmektedir.

Google Project Zero ekibi, Windows Print Spooler API’sinde uygun olmayan şekilde yamalanan ve saldırganların işletim sistemi üzerinde yüksek yetkilere erişmelerine olanak veren bir 0-Day zafiyetine ait genel bir zafiyet açıkladı.

CVE-2020-0986 kodlu zafiyet, GDI Print / Print Spooler API’sinden kaynaklanıyor. Bu zafiyetten yararlanan bir saldırgan “splwow64.exe” process’inin belleğine zararlı kod yerleştirerek, hedef sistem üzerinde hak ve yetki yükseltme (privilege escalation) işlemi gerçekleştirebiliyor. Bu zafiyet, Aralık 2019’da Zero Day Initiative (ZDI) ile çalışan anonim bir kullanıcı tarafından Microsoft’a bildirildi. Microsoft zafiyetin giderilmesi için bir yama yayınladı. Ancak, Google’ın güvenlik ekibinden gelen yeni bulgular zafiyetin tam olarak giderilemediğini ortaya koyuyor.

Google Project Zero araştırmacısı Maddie Stone paylaştığı bir yazıda, zafiyetin yamalanmasına rağmen hala var olduğunu ve zafiyetten yararlanmak için farklı bir exploit yönteminin kullanılması gerektiğini belirtti. Yeniden bildirilen ve CVE-2020-17008 koduyla tanımlanan zafiyetin Microsoft tarafından 12 Ocak 2021 tarihinde kapatılacağı açıklandı.

SolarWinds ekibi tarafından geliştirilen Orion Platform, kurum ağının durumunun ve performansının izlenmesini sağlayan bir ağ yönetimi yazılımıdır. Saldırganlar, yaklaşık 18.000 müşteriye gönderilen Orion güncellemelerine Supernova adlı bir zararlı yazılım ekledi.  Bu zararlı yazılım Solarwinds dijital sertifikaları ile imzalandığı için güvenlik önlemlerinin atlatılabilmesine neden oldu.

SolarWinds, saldırganların bir siber saldırı operasyonu için Orion’dan yararlandıklarını ve kendilerinin bu durumun farkında olmadığını açıkladı.

Bu durum; çok sayıda ABD devlet kurumunun, danışmanlık firmalarının, ticari müşterilerin ve beyaz sarayda gerçekleştirilen ABD ulusal güvenlik toplantılarının zarar görmesine neden oldu. Microsoft 365 araştırma ekibi yaptığı açıklamada, Solarwinds üzerinde yapılan araştırmalar sonucunda Orion ürününü etkileyen zararlı bir yazılımın keşfedildiğini ve bu durumun Solarwinds ile ilgisi olmadığını belirtti. Ayrıca SolarWinds yaptığı bir açıklamada,müşterileri korumak için tasarlanmış olan; güvenlik süreçlerini, prosedürleri ve standartları uygulamaya çalıştıklarınıbelirtti.

Birden fazla saldırgan, yeraltı forumları üzerinden SolarWinds’in sistemlerine erişim bilgilerini satışa sundu. Siber istihbarat firması Intel471’in CEO’su Mark Arena, erişim bilgilerini satışa sunan kişilerden birinin “fxmsp” olarak bilindiğini ve FBI tarafından çok sayıda olayda yer almaktan arandığını söyledi. Ayrıca güvenlik araştırmacısı Vinoth Kumar, geçtiğimiz yıl bir saldırganın “solarwinds123” parolasını kullanarak SolarWinds’in güncelleme sunucusuna erişebileceği konusunda şirketi uyardığını söyledi. Ancak araştırmacılar bu parolanın yetkisiz erişim için bir tehdit olarak görülmediğini bildirdi.

Fireeye, saldırıya uğradıklarına dair bir bildiri yayınladı. Bu bildiride, saldırının Solarwinds Orion ürününe ait zararlı yazılım içeren güvenlik güncellemesi nedeniyle gerçekleştirildiği belirtildi. Ayrıca Fireeye bu bildiride; FireEye misyonunun kullanıcıları daha güvenli hale getirmek olduğunu, bu saldırıyı adım adım metodik olarak ortaya çıkardıklarını, gelecekteki saldırıları önlemek için çalıştıklarını, bu tehdidi tam olarak ortaya çıkarmak ve zararı azaltmak için kamu ve özel kuruluşlarla birlikte koordineli bir şekilde çalışmaya devam edeceklerini belirtti.

Fireeye genel bir saldırı kampanyası yürütüldüğünü ve saldırıların bir yazılım tedarik zinciri üzerinden gerçekleştirildiğini belirterek, bu saldırılarla ilgili analiz gerçekleştirdi. Analize göre, bu saldırılar aşağıda listelenen ortak unsurları içeriyor: 

  • Zararlı SolarWinds güncellemesinin kullanımı: Saldırganın hedef sistemlere uzaktan erişebilmeleri için zararlı kod içeren Orion güncellemesinden yararlanmak
  • Minimum malware ayak izi: Hedef ortamda istenen işlemleri gerçekleştirmek için zararlı yazılım kullanmak 
  • Gizliliğin önceliklendirilmesi: Normal ağ trafiğine uyum sağlamak
  • Yüksek OPSEC: Sabırla keşif yapmak, bırakılan izleri sürekli olarak takip etmek ve tespiti zor araçlar kullanmak

Değiştirilmiş SolarWinds binary dosyalarını tespit etmek için ürünlerini güncellediklerini belirten FireEye, saldırganların tüm faaliyet izlerini taradıklarını ve ortaya çıkabilecek sonuçları paylaşacaklarını belirtti.