Siber Güvenlik Bülteni #76 Gizlilik ve Güvenlik

Siber güvenlik bültenlerimizin 76. sayısında gizlilik ve güvenlik ön plana çıkıyor. Whatsapp’ın yeni kullanıcı sözleşmesi ile gizlilik tartışmaları ortaya çıktı. Kullanıcıların büyük çoğunluğu, gizliliğin ihlal edildiği düşüncesiyle yeni politikaya tepki gösterirken WhatsApp daha önce uygulanan politikaların yeni politikalardan farklı olmadığını ve yeni sözleşmede yer alan politikaların önceki sözleşmelerde de yer aldığını belirtti.

Yeni sözleşmenin kullanıcılara sunulmasıyla birlikte birçok WhatsApp kullanıcısı hızla Telegram ya da Signal uygulamalarına geçerken, WhatsApp son güncellemeyle ilgili kafa karışıklığı olduğunu belirterek, yeni hizmet şartlarını içeren güncelleme için daha önce verilen süreyi 8 Şubat’tan 15 Mayıs‘a ertelediğini duyurdu.

CrowdSurge Olayı Ardından Ticketmaster’a Ceza!

Dünyanın bir çok ülkesinde faaliyet gösteren bilet satış şirketi CrowdSurge hacklendi. CrowdSurge açıklamasında belirtilene göre, CrowdSurge’e ait çalıntı şifreleri kullanarak yetkisi olmadan erişim gerçekleşti. CrowdSurge firmasının eski çalışanlarından birisi olan Stephen Mead’i işe aldıktan sonra eski çalıştığı firmanın sırlarını aktarması için yöneticileri tarafından teşvik edildiği belirtiliyor.

Ticketmaster çalışanları 2015 yılına kadar, CrowdSurge’e ait çalıntı şifreleri kullanarak yetkisi olmadan rakibinin sistemlerine defalarca ve yasadışı olarak eriştikleri belirtiliyor. CrowdSurge’un Songkick ile birleşmesinden sonra Songkick tarafından Tİcketmaster’a yasa dışı tekel oluşturarak rekabeti engellemek suçlamasıyla dava açtı ve Ticketmaster 2018 yılında 110 milyon Dolar para cezasına çarptırıldı. 

Adalet Bakanlığından yaptığı açıklamada, 10 milyon Dolarlık cezanın dışında Ticketmaster’ın 3 yıl boyunca uyum önlemleriyle ilgili rapor sunacak.

ZyXEL’de Arka Kapı

ZyXEL cihazlarının güvenlik duvarında siber saldırganlara tam yetki sağlayan bir arka kapı keşfedildi. Saldırganlar, erişim noktası denetleyicisi ve VPN ağ geçidinde bulunan zafiyet ile yönetici düzeyinde yetkiye sahip olabiliyor. Yüz binden fazla cihazı etkileyen güvenlik açığından  ATP, USG, USG FLEX, VPN, NXC,ZyWALL serileri etkilendiği belirtildi. Etkilenen sürümler için güncelleme yayınlandı ancak NXC serisi için güncelleme Nisan ayında geleceği belirtildi. 

Oracle WebLogic Server’da RCE Zafiyeti Ortaya çıktı!

Alibaba Cloud Security ekibi, Weblogic Server’da bir RCE (Remote Code Execution) zafiyeti keşfetti ve Oracle’a bildirdi. Bu zafiyet kimliği doğrulanmamış kullanıcıların, hedef sistem üzerinde uzaktan komut çalıştırmalarına olanak verdiği ortaya çıktı.

CVE-2021-2109 kodlu bu zafiyetin CVSS puanı 10 üzerinden 7,2 olarak açıklandı. Bu zafiyet JDK (Java Development Kit) sürümünden kaynaklanıyor. Zafiyetten yararlanan bir saldırgan, JNDI (Java Naming and Directory Interface) Injection tekniği ile Oracle WebLogic Server sunucusuna zararlı istekler göndererek hedef sistemi ele geçirebiliyor. Ayrıca hedef WebLogic sunucusunu ele geçiren saldırgan, ağ üzerinde bulunan diğer sunuculara erişim sağlayabiliyor.

Güvenlik zafiyetinden etkilenen Oracle WebLogic Server sürümleri aşağıdaki gibidir.

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0
  • 12.2.1.4.0
  • 14.1.1.0.0

Oracle, bu zafiyet için güvenlik güncelleştirmesi yayınladı. En kısa sürede güvenlik güncellemelerinin yapılması önerilmektedir. Ayrıca JDK sürümünün daha üst sürüme yükseltilmesi önerilmektedir.

Sudo’da Kritik Zafiyet

Sudo, UNIX ve Linux tabanlı işletim sistemlerinde tanımlanan kullanıcıların yüksek yetkilerle işlemler yapmasına izin veren bir programdır. Qualys Araştırma Ekibi tarafından, sudo programını etkileyen kritik bir privilege escalation zafiyeti keşfedildi. CVE-2021-3156 kodlu bu zafiyet, Heap Based Overflow sorunundan kaynaklanıyor. Bir UNIX/LINUX sistemi düşük yetkilerle ele geçiren saldırgan, bu zafiyetten yararlanarak root haklarına erişebiliyor.

Sudoedit komutunda bulunan bir hata, eğik çizgi ile biten bir komut satırı argümanı aracılığıyla Heap Based Overflow zafiyetinin tetiklenmesine olanak veriyor. Arabellek taşması sonucunda, saldırgan arabelleğin boyutunu ve taşan içeriği kontrol edebiliyor. Zafiyetin CVSS puanı 7.8 olarak belirlendi. Bu zafiyete ait PoC videosuna buradan ulaşabilirsiniz.

Sudo’daki yaklaşık 10 yıldır keşfedilemeyen bu zafiyet, 1.8.2’den 1.8.31p2’ye kadar olan tüm legacy sürümlerini ve 1.9.0’dan 1.9.5p1’e kadar olan tüm stable sürümlerini etkiliyor. Bu zafiyetten etkilenmemek için sudo programının 1.9.5.p2 sürümüne güncellenmesi önerilmektedir.

Pfizer/BioNTech Covid-19 Aşı Verileri Sızdırıldı

The European Medicines Agency (EMA), tıbbi ürünlerin değerlendirilmesi ve denetiminden sorumlu bir Avrupa Birliği kurumudur. EMA, siber saldırıya uğradıklarını ve saldırganların Covid-19 aşısıyla ilgili bazı belgelere ulaştıklarını açıkladı. Pfizer ile ortak bir şekilde aşı geliştiren BioNTech, saldırı sırasında Covid-19 aşısı onay sunum belgelerine erişildiğini belirtti.

EMA, web sitesinde konuyla ilgili soruşturma başlatıldığına dair bir açıklama yaptı. Ancak bu açıklamada siber saldırının detaylarına yer verilmedi. BioNTech ise olayla ilgili yaptığı açıklamada, kurumun bir saldırıya maruz kaldığını ve saldırganların bir EMA sunucusunda depolanan Pfizer ve BioNTech’in Covid-19 aşı adayı BNT162b2’nin onay sunumu ile ilgili bazı belgelere eriştiğini belirtti. Ayrıca BioNTech, EMA’nın gerçekleşen siber saldırının, aşı zaman çizelgesine bir etkisi olmayacağına dair güvence verdiğini de belirtti.

Cybereason güvenlik şefi Sam Curry, salgının başlangıcından bu yana, birçok devlet destekli grubun ve diğer saldırganların aşı araştırmalarını çalmak ve aşıları sağlayan tedarik zincirini bozmak için eylemler yaptıklarını belirtti. Ayrıca Curry, saldırganların adalete teslim edilmesinin bir hayal olduğunu düşündüğünü söyledi.

Apple 3 Yeni 0-Day İçin Güncelleme Yayınladı

Apple, aktif olarak kullanılan 3 yeni 0-day zafiyetini gidermek amacıyla iOS ve iPadOS işletim sistemleri için bir güncelleme yayınladı. Zafiyetler, iPhone ve iPad’lerin çeşitli sürümlerini ve en yeni nesil iPod touch’ı etkiliyor.

CVE-2021-1782 koduyla tanımlanan ve işletim sistemi çekirdeğinde bulunan ilk zafiyet, hedef sistemi düşük yetkilerle ele geçiren bir saldırganın hak veyetki yükseltmesine olanak veriyor. Bu zafiyet bir race condition hatasından kaynaklanıyor. CVE-2021-1871 ve CVE-2021-1870 koduyla tanımlanan diğer iki güvenlik açığı, Apple’ın web tarayıcı motoru olan WebKit bileşenindeki bir mantık sorunundan kaynaklanıyor. Bu zafiyetler, saldırganlar tarafından başarılı bir şekilde uygulandığında hedef sistem üzerinde uzaktan kod çalıştırılmasına izin verebilir. Apple’ın iOS ve iPadOS 14.4 sürümlerinde bulunan her bir güvenlik açığını detaylandıran belgede “Apple, bu sorunun aktif olarak kötüye kullanılmış olabileceğinin farkındadır” ifadesine yer verildi.

Zafiyetlerden etkilenen başlıca cihazlar aşağıda yer almaktadır;

  • iPhone 6s ve sonrası,
  • iPad Air 2 ve sonrası,
  • iPad mini 4 ve sonrası,
  • 7. nesil iPod touch,
  • Apple Watch (watchOS 7.3),
  • Apple TV’ler (tvOS 14.4)

Apple, söz konusu zafiyetler için güvenlik güncellemeleri yayınladı. Hong Kong Bilgisayar Acil Durum Müdahale Ekibi (HKCERT), zafiyetleri “son derece yüksek riskli” olarak sınıflandıran ve kullanıcıları bir an önce güncelleme yapmaya çağıran bir uyarı yayınladı. En kısa sürede güvenlik güncellemelerinin yapılması önerilmektedir.