Siber Güvenlik Bülteni #80 – Kritik RCE Zafiyeti

VMware vCenter Server, sanal makineleri, ESXi ana bilgisayarlarını ve diğer bağımlı bileşenleri tek bir merkezi konumdan kontrol etmek için kullanılan bir sunucu yönetim uygulamasıdır. Popüler uygulamalardan biri olan VMware vCenter Server uygulamasında iki yeni güvenlik zafiyeti keşfedildi. Her iki güvenlik zafiyeti de 443 numaralı porta ağ erişimi olan saldırganlar tarafından kullanılabiliyor.

İlk zafiyet (CVE-2021-21985), 10 üzerinden 9,8 CVSS puanı aldı. Zafiyet, vCenter Sunucusunu barındıran temel işletim sisteminde sınırsız ayrıcalıklara sahip komutlar yürütülmesine izin veriyor.

İkinci zafiyet (CVE-2021-21986) ise saldırganların Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager, VMware Cloud Director Availability eklentilerini kullanarak kimlik doğrulama olmaksızın işlem yapmaya izin veriyor.

Kritik RCE Zafiyeti Yaması

VMware, vCenter Server sürüm 6.5, 6.7 ve 7.0 ile Cloud Foundation sürüm 3.x ve 4.x‘i etkileyen iki güvenlik zafiyetini (CVE-2021-21985, CVE-2021-21986) düzelterek yama yayınladı. Kullanıcıların ise acil olarak sunulan güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaya çağırıyor.

Birçok Cihazı Etkileyen Wifi Zafiyetleri

Neredeyse tüm wifi ürünlerini etkileyen bir dizi güvenlik zafiyeti keşfedildi. FragAttack ismiyle bilinen zafiyetler, ismini fragmentation (parçalama) ve aggregation (birleştirme) kelimelerinin birleşiminden alıyor.

Araştırmacı Mathy Vanhoef, en son WPA3 spesifikasyonu da dahil olmak üzere tüm modern Wi-Fi güvenlik protokollerini etkileyen bir dizi zafiyeti ortaya çıkardı. Güvenlik zafiyetleri, çoğunlukla Wi-Fi ve bağlı cihazların veri paketlerini ve bu paketlerin framelerini işleme şeklinden ortaya çıkmaktadır. Araştırmacının bildiği kadarıyla, her Wi-Fi ürünü en az bir güvenlik zafiyetinden etkilenmektedir. Bu güvenlik zafiyetleri aşağıda belirtilen CVE numaralarıyla isimlendirilmiştir.

Tasarım hatalarından kaynaklanan zafiyetler:

  • CVE-2020-24588: Aggregation saldırısı
  • CVE-2020-24587: Mixed key saldırısı
  • CVE-2020-24586: Fragment cache  saldırısı

Uygulama zafiyetleri:

  • CVE-2020-26145: Samsung Galaxy S3
  • CVE-2020-26144: Samsung Galaxy S3
  • CVE-2020-26146: Samsung Galaxy S3
  • CVE-2020-26140: AWUS036H için Alfa Windows 10 sürücüsü
  • CVE-2020-26141: AWUS036H için Alfa Windows 10 sürücüsü
  • CVE-2020-26143: AWUS036ACH için Alfa Windows 10 sürücüsü
  • CVE-2020-26139: NetBSD
  • CVE-2020-26147: Linux kernel 5.8.9
  • CVE-2020-26142: OpenBSD 6.6 kernel

Zafiyetlerin bir kısmının 1997’den beri var olduğunu belirten Vanhoef, “En güvenli sistemleri bile analiz etmek önemlidir. Ek olarak bu durum, Wi-Fi ürünlerini güvenlik zafiyetlerine karşı düzenli olarak test etmenin gerekli olduğunu gösteriyor” sözleri ile dikkat çekti.

Fidye Yazılımı, ABD’nin En Büyük Yakıt Boru Hattını Kapanmaya Zorladı

ABD Doğu Kıyısı’nda tüketilen yakıtın %45’ini taşıyan Colonial Pipeline, bir fidye yazılımı saldırısı nedeniyle operasyonları durdurduğunu söyleyerek altyapının siber saldırılara karşı ne kadar savunmasız olduğunu bir kez daha gösterdi.

Şirket web sitesinde yayınlanan bir açıklamada, “Colonial Pipeline Company 7 Mayıs’ta siber saldırı kurbanı olduğunu öğrendi. O zamandan bu yana, bu olayın fidye yazılımı içerdiğini belirledik. Tüm boru hattı işlemlerini geçici olarak durduran ve bazı BT sistemlerimizi etkileyen tehdidi kontrol altına almak için proaktif olarak bazı sistemleri çevrimdışına aldık” dedi.

Saldırının arkasında olduğu düşünülen ve Ağustos 2020’de faaliyete geçen DarkSide adlı grup, bugüne kadar 40’tan fazla kurbanın çalınan verilerini yayınladı. Saldırganların ne kadar para talep ettiği veya Colonial Pipeline’ın ödeyip ödemediği henüz belli değil. Bloomberg’den gelen bir rapor, saldırının arkasındaki siber suçluların, şirketin ağından 100 GB veri çaldığını iddia etti.

Pulse Connect Secure VPN’de RCE Zafiyeti

Pulse Secure VPN cihazlarının arkasındaki şirket olan Ivanti, kimliği doğrulanmış bir saldırganın yüksek ayrıcalıklarla uzaktan kod çalıştırmasına izin verebilecek yüksek önem derecesine sahip bir güvenlik zafiyeti için güvenlik danışma belgesi yayınladı.

CVE-2021-22908 olarak tanımlanan zafiyet, 10 üzerinden 8,5 CVSS puanına sahip ve Pulse Connect Secure 9.0Rx ve 9.1Rx sürümlerini etkiliyor. Zafiyet, kimliği doğrulanmış uzak bir kullanıcının, root haklarıyla uzaktan kod yürütmesine ve SMB paylaşımlarına göz atmasına izin veriyor.

CERT Koordinasyon Merkezi tarafından, güvenlik zafiyetini ayrıntılarıyla anlatan bir rapor hazırlandı. Raporda, ağ geçidinin bir dizi CGI uç noktası aracılığıyla Windows dosya paylaşımlarına bağlanma yeteneğinin bulunduğu ve saldırının bundan kaynaklandığı söylendi. Rapora göre, bazı SMB işlemleri için uzun bir sunucu adı girerken, ‘smbclt’ uygulaması, sunucu adının ne kadar uzun girildiğine bağlı olarak stack buffer overflow veya heap buffer overflow nedeniyle çökebiliyor.

Ivanti geçici bir çözüm olarak, güvenlik zafiyetinden etkilenen URL uç noktalarını bir engelleme listesine eklemek ve Windows File Share Browser özelliğini devre dışı bırakmak için import edilebilen bir geçici çözüm dosyası (‘Workaround-2105.xml’) yayınladı. Pulse Secure müşterilerinin, kullanılabilir olduğunda ürünlerini PCS Server 9.1R.11.5 sürümüne yükseltmeleri önerilir.

Saldırganlar, RAT’leri Dosyasız Sunmak için MSBuild Kullanıyor

Msbuild, uygulama oluşturmak için kullanılan bir araçtır ve kullanıcılara, derleme platformunun yazılımı nasıl işlediğini ve oluşturduğunu kontrol eden bir XML şeması sunar. Yapılan bir araştırma, tehdit aktörlerinin MSBuild programını, dosyasız olarak RemcosRAT  ve RedLine Stealer adlı kötü amaçlı yazılımları dağıtmak için kullandığını ortaya çıkardı.

Bu saldırıda gözlemlenen kötü amaçlı MSBuild dosyaları, Rus resim barındırma sitesi “joxi[.]net” üzerinde barındırılan çalıştırılabilir dosyalar ve shellcodelar içeriyordu. Araştırmacılar .proj dosyalarının dağıtım yöntemini belirleyemese de, bu dosyaların amacı Remcos veya RedLine Stealer’ı çalıştırmaktı.

MSBuild, ilgili kodun derlenmesini ve bellekte yürütülmesini sağlayan bir satır içi görev özelliğine sahiptir. Kodun bellekte yürütülebilmesi, tehdit aktörlerinin MSBuild’i dosyasız saldırılarda kullanmasını sağlamaktadır. Dosyasız kötü amaçlı yazılım dağıtılırken, genellikle bilinen bir uygulama kullanılır; bu nedenle makinede hiçbir virüs izi bırakılmaz ve tespit edilmek zorlaşır.

Ağ güvenliği satıcısı WatchGuard tarafından 2021’de yayınlanan bir analiz, 2019’dan 2020’ye kadar dosyasız saldırılarda %888’lik bir artış olduğunu gösterdi.