Siber Güvenlik Bülteni #78 Kritik Açıklar

21,5 Milyon Yemeksepeti Müşterisinin Verileri Ele Geçirildi. Türkiye’nin en büyük yemek sipariş sitelerinden biri olan Yemeksepeti siber saldırıya uğradı.

25 Mart’ta resmi Twitter hesabından açıklama yapan Yemeksepeti, siber saldırılara uğradığını kamuoyuna ve KVKK kurumuna bildirdi.

Yemeksepeti, kullanıcılarıyla paylaştığı açıklamada, kullanıcı veri tabanına kimliği belirsiz saldırganlar tarafından erişildiğini ve güvenlik ihlali meydana geldiğini belirtti.

Saldırganlar tarafından ele geçirilen verileri açıklayan firma, kredi kartı bilgilerine veya herhangi bir finansal bilgiye erişilmediği bilgisine de açıklamasında yer verdi.

Yemeksepeti tarafından açıklanan ve saldırganlar tarafından erişildiği belirtilen veriler şu şekildedir.

  • İsim – Soyisim
  • Doğum Tarihi
  • Yemeksepeti’ne Kayıtlı Telefon Numaraları
  • Yemeksepeti’ne Kayıtlı Adres Bilgileri
  • Yemeksepeti’ne Kayıtlı E-posta Bilgileri
  • Açık Olarak Görüntelemeyen, SHA-256 Algoritması ile Hashlenmiş Giriş Şifreleri

KVKK, yaptığı açıklamada, 21 milyon 504 bin 83 kişinin bu saldırıdan etkilendiğini belirtti. Saldırı sonrası alınan güvenlik önlemlerine değinen Yemeksepeti, yol haritasıyla ilgili de açıklamada bulundu. “Saldırının nasıl yapıldığını tespit ettik, ihlale neden olan sorunu ortadan kaldırdık ve bu üzücü olayın tekrarlanmaması adına gerekli tüm önlemleri aldık. Yemeksepeti kullanıcılarının veri güvenliğinden daha öncelikli hiçbir konumuzun olmadığını ve gereken tüm teknik ve sistemsel çalışmaları en yüksek seviyede yaptığımızı sizinle paylaşmak isteriz.” açıklamasıyla güvenlik ihlaline neden olan sorunu tamamen ortadan kaldırdıklarını belirten Yemeksepeti, bu olayın bir daha yaşanmaması için gerekli tüm tedbirleri aldığını da kamuoyuna duyurdu.

Windows DNS sunucularında Zafiyet

Windows Domain Name System (DNS) sunucularında bir uzaktan kod yürütme (RCE) zafiyeti keşfedildi. Kritik zafiyet, birçok Windows Server sürümünü etkiliyor.  CVE-2021-24078 koduyla bilinen zafiyet, Qi’anxin Group’ta Codesafe Team of Legendsec’ten Quan Luo tarafından Microsoft’a bildirildi. Zafiyetten başarıyla yararlanan bir saldırgan, ağ üzerinden Yerel Sistem Hesabı yetkileriyle uzaktan kod çalıştırabiliyor. Zafiyetin CVSS puanı 9,8 olarak belirlendi. Bu noktada çok kritik bir zafiyet olduğunun altını çizmek istiyoruz.

Windows Server 2008’e kadar olan ve DNS sunucusu olarak yapılandırılmış Windows Server kurulumları bu zafiyetten dolayı risk altındadır. Windows Server’ın hem Server Core hem de Full kurulumları bu zafiyetten etkilenmektedir. Ayrıca yakın zamanda yayımlanan Windows Server 20H2 sürümü de zafiyete karşı savunmasızdır.

Microsoft, belirtilen CVE-2021-24078 zafiyeti için güvenlik güncellemeleri yayınladı. Etkilenen sistemlerin, mümkün olan en kısa sürede güncellenmesi önerilmektedir.

VMware View Planner’da Remote Code Execution Zafiyeti Keşfedildi

View Planner, Sanal Masaüstü Altyapısı (VDI) ortamları için Performance Sizing ve Benchmarking işlemleri yapan ücretsiz bir araçtır. Uygulamanın web arayüzünde kontrolsüz dosya yüklenmesine neden olan bir zafiyet keşfedildi. Zafiyet aynı zamanda, uzaktan kod yürütme (RCE) zafiyetinin tetiklenmesine izin veriyor. 

CVE-2021-21978 koduyla tanımlanan zafiyet, Positive Technologies araştırmacısı Mikhail Klyuchnikov tarafından rapor edildi. Hatalı giriş doğrulaması ve yanlış yetkilendirme sonucunda ortaya çıkan zafiyet, saldırganın web uygulamasına özel hazırlanmış dosyaları yüklemesine izin veriyor. Yalnızca ağ erişimine sahip bir saldırganın yararlanabileceği zafiyetin CVSS puanı ise 8.6 olarak belirlendi.

VMware, VMware View Planner’ı etkileyen, CVE-2021-21978 olarak tanımlanan uzaktan kod yürütme zafiyeti için bir güvenlik yaması yayınladı. Şirket, 2 Mart’ta 4.6 Security Patch 1 sürümünün yayınlanmasıyla CVE-2021-21978 güvenlik açığını giderdi. 

SolarWinds Orion Platformunda 2 Kritik RCE Zafiyeti Keşfedildi

BT altyapı yönetimi sağlayıcısı SolarWinds, Orion ağ izleme aracında, kimliği doğrulanmış bir saldırgan tarafından kullanılabilecek 4 yeni zafiyet keşfetti. Bu zafiyetlerden ikisi, uzaktan kod yürütme (RCE) zafiyetini de tetikleyebiliyor.

Zafiyetlerden en kritiği,kimliği doğrulanmış bir kullanıcının Orion Web Konsolunda bulunan ‘test uyarısı eylemleri’ özelliği aracılığıyla isteğe bağlı kod çalıştırmasına olanak tanımaktadır. Saldırganlar, JSON deserialization hatası bulunduran bu özelliği kullanarak, ağ olaylarını (örneğin, yanıt vermeyen bir sunucu) simüle edebilir ve bir uyarıyı tetiklebilir. Zafiyet, kritik öneme sahiptir. İkinci bir zafiyet, Orion Job Scheduler’da RCE zafiyetini tetiklemek için kullanılabilir. SolarWinds sürüm notlarında “Bu zafiyetten yararlanabilmek için, bir saldırganın önce Orion Sunucusundaki yetkisiz bir yerel hesabın kimlik bilgilerini bilmesi gerekiyor” dedi.

Bahsedilen iki zafiyetin yanı sıra, özel görünüm sayfasında (CVE-2020-35856) “özel sekme ekle” içindeki yüksek önem derecesine sahip XSS zafiyeti ve “özel menü öğesi seçenekleri” sayfasında (CVE-2021-3109) reverse tabnabbing ve open redirect zafiyeti keşfedildi. Her iki zafiyet de başarılı bir şekilde yararlanma için bir Orion yönetici hesabı gerektirir.

SolarWinds bahsedilen 4 zafiyet için düzeltmeler içeren yeni bir güncelleme yayınladı. Yeni güncelleme ayrıca, XSS saldırılarını önlemek ve Orion veritabanı yöneticisi için UAC korumasını etkinleştirmek için iyileştirmeler de içeriyor.

PHP’nin Git Sunucusu Saldırıya Uğradı

28 Mart’ta, internetteki web sitelerin %79’undan fazlasında kullanılan PHP’nin Git reposuna iki farklı commit gönderildi. “Fix typo” mesajı ile gönderilen commitler Remote Code Execution (RCE) elde etmeye izin verecek zararlı kodlar içeriyordu. 

Commit edilen kodun 370. satıra bakıldığında, ‘zend_eval_string’ fonksiyonunun çağrıldığı görüldü. Zararlı kodda, PHP’nin değiştirilmiş sürümünü çalıştıran herhangi bir web sitesine arka kapı (backdoor) yerleştirilmekteydi. Bu arka kapı da Remote Code Execution (RCE) elde etmek için kullanılabiliyordu. PHP geliştiricisi Jake Birchall, zararlı kod hakkında “Bu satır, eğer string ‘zerodium’ ile başlıyorsa, useragent HTTP başlığı kullanılarak PHP kodlarının çalıştırılmasına izin verir” dedi.

PHP yöneticisi Nikita Popov, “İlk commit, gerçekleştirildikten birkaç saat sonra, commit sonrası rutin kod incelemesi sırasında bulundu. Değişiklikler kötü amaçlıydı ve hemen geri alındı” dedi. Bu olayın ardından önlem olarak Popov; git.php.net sunucusunu sonlandırmaya karar verdiklerini açıkladı. PHP projesine katkıda bulunmak isteyenlerin artık GitHub’daki PHP organizasyonunun bir parçası olarak eklenmesi gerekecek. Organizasyona üye olmak isteyenlerin GitHub hesaplarında iki faktörlü doğrulamayı (2FA) aktifleştirmiş olmaları gerekiyor.