Birçok LastPass kullanıcısı, hesaplarına bilinmeyen konumlardan giriş yapmaya çalıştığına dair e-posta uyarıları aldıktan sonra ana parolalarının (master password) ele geçirildiği ortaya çıktı. E-posta bildirimleri, dünya çapında bilinmeyen konumlardan yapıldığı için oturum açma girişimlerinin engellendiği belirtiliyor.
Güvenliği ihlal edilmiş LastPass ana parolaları hakkında raporlar, Twitter, Reddit gibi birden fazla sosyal medya sitesi ve çevrimiçi platform aracılığıyla yayınlanıyor. Hacker News forumunda birden fazla kullanıcı, LastPass için ana parolalarının ele geçirilmiş gibi göründüğünü berlitmiş durumda. Raporların çoğu, hizmeti bir süredir kullanan ve parolasını değiştirmeyen, eski LastPass hesaplarına sahip kullanıcılardan geldiği belirlendi.
Bazı kullanıcılar, parolalarını değiştirmenin işe yaramadığını iddia ederken, bir kullanıcı her parola değişikliğinde çeşitli yerlerden yeni giriş denemeleri gördüğünü iddia etmeye devam ediyor. Parola sızıntısının ne kadar ciddi olduğu veya LastPass’in şu anda saldırı altında olup olmadığı ise henüz belli değil. Parolaların nasıl sızdırıldığı ise maalesef ki tespit edilemedi.
LastPass, engellenen oturum açma girişimleriyle ilgili son raporları araştırdı ve etkinliğin, credential stuffing yöntemiyle parolaları deneyen saldırganlardan kaynaklandığını düşündüklerini belirtti. Ancak bu uyarıları alan kullanıcılar, parolalarının LastPass’e özel olduğunu ve başka bir yerde kullanılmadığını belirtiyor. LastPass, bu credential stuffing girişimlerine dair herhangi bir ayrıntı paylaşmazken, bu uyarıları aldıktan sonra LastPass hesaplarını devre dışı bırakıp silmeyi deneyen müşteriler, “Sil” düğmesini tıkladıktan sonra “Something went wrong: A” hatası aldıklarını belirtiyorlar.
Yeni Apache Log4j Güncellemesi Yayımlandı
28 Aralık Salı günü Apache Software Foundation (ASF), içerisinde saldırganlar tarafından kötüye kullanılabilecek kod çalıştırma açığı barındıran ve bulunduğu sistemleri etkileyen Log4j zafiyetine dair yeni güncellemeler yayımladı. Bu zafiyet, bir ay içerisinde Log4j üzerinde bulunan beşinci zafiyet oldu.
Kritiklik derecesi 10 üzerinden 6.6 olarak saptanan ve CVE-2021-44832 olarak adlandırılan zafiyetten Log4j 1.x, 2.3.2, 2.12.4 versiyonları etkilenmiyorken, 2.0-alpha7’den 2.17.0’a kadar tüm versiyonları etkileniyor. Java 6 kullanıcıları için Log4j 2.3.2, Java 7 kullanıcıları için 2.12.4, Java 8 kullanıcıları için 2.17.1 sürümlerine geçiş yapmaları öneriliyor.
Son güncellemeyle beraber proje sahipleri Log4j içerisinde geçen ay açığa çıkan Log4Shell’den beri 1.2 sürümlerini etkileyen ve bahsedilen beşinci zafiyetin yanı sıra dört adet farklı zafiyet saptadı.
- CVE-2021-44228 (CVSS puanı: 10.0) – Log4j 2.0-beta9’dan 2.14.1’e kadar olan ve 2.15.0 versiyonuyla düzeltilmiş olan RCE Zafiyeti
- CVE-2021-45046 (CVSS puanı: 9.0) – Log4j 2.12.2 hariç 2.0-beta9’dan 2.15.0’a kadar olan ve 2.16.0 versiyonuyla düzeltilmiş olan bilgi ifşası ve RCE Zafiyeti
- CVE-2021-45105 (CVSS puanı: 7.5) – Log4j 2.0-beta9’dan 2.16.0’a kadar olan ve 2.17.0 versiyonuyla düzeltilmiş olan DoS Zafiyeti
- CVE-2021-4104 (CVSS puanı: 8.1) – Log4j 1.2 versiyonunda bulunan Untrusted Deserialization Zafiyeti
Yeni Malware Blister
Güvenlik cihazlarına yakalanmamak için kod imzalama sertifikalarını kullanan yeni bir malware saldırısı siber güvenlik araştırmacıları tarafından açıklandı. Elastic Security siber güvenlik araştırmacıları tarafından Blister adı verilen malware, sisteme bulaştıktan sonra Cobalt Strike ve BitRAT ile üretilen zararlı kodlar çalıştırıyor. Virus Total taramasında önemsiz ve zararsız olarak tespit edilen malware’in bilgisayarlara nasıl bulaştığı henüz tespit edilemedi.
Blister malware’i sisteme bulaştığında popüler bir kütüphane olan colorui.dll olarak gözüktüğü fakat gerçekte yürüttüğü dosyanın adının dxpo8umrzrr1w6gm.exe olduğu anlaşıldı. Sandbox analizi ve virüs tespitinden kaçınmak zararlı kodları çalıştırmayıp sadece kalıcılık sağladığı, 10 dakika uyku modunda bekledikten sonra Cobalt Strike ve BitRAT payloadlarını decrypt edip çalıştırdığı tespit edildi. Decrypt edilen zararlı komutların Windows Hata Bildirimi uygulaması olan WerFault.exe’ye gömüldüğü anlaşıldı.
Malware’in, Sectigo şirketi tarafından verilen, 15 Eylül 2021 tarihine ait geçerli bir kod imzalama sertifikası ile imzalandığı görülüyor. Bu durum sonucunda Elastic Security, kötüye kullanılan sertifikaların iptal edilmesi için Sectigo’ya ulaştığını söyledi. Joe Desimone ve Samir Bousseaden yaptıkları açıklamada “Geçerli kod imzalama sertifikalarına sahip yürütülebilir dosyalar, genellikle imzasız yürütülebilir dosyalardan daha az kontrol edilir” şeklinde bilgi verildi.
Azure App Service’te 4 Yıllık Hata
Microsoft Azure App Service’te, Eylül 2017‘den bu yana en az dört yıl boyunca Java, Node, PHP, Python ve Ruby ile yazılmış, müşteri uygulamalarının kaynak kodunun açığa çıkmasına neden olan bir güvenlik açığı ortaya çıkarıldı.
“NotLegit” kod adlı güvenlik açığı, 7 Ekim 2021’de Wiz araştırmacıları tarafından teknoloji devine bildirildi ve ardından Kasım ayında bilgi ifşa hatasını düzeltmek için önlemler alındı. Microsoft, “Etkilenen müşteriler, dosyalar uygulamada oluşturulduktan sonra Yerel Git aracılığıyla App Service Linux’a kod yükleyen müşterilerdi” bilgisini paylaştı.
Zafiyet, yerel Git (Local Git) kullanıldığında Git reposunun public olarak erişilebilir bir dizinde (home/site/wwwroot) olmasından kaynaklanıyor. Microsoft, genel erişimi kısıtlamak için reponun durumunu ve geçmişini içeren .git klasörüne bir web.config dosyası eklese de, yapılandırma dosyaları yalnızca Microsoft’un kendi uygulamalarına dayanan C# veya ASP.NET uygulamalarıyla kullanılabilir.
Wiz araştırmacısı Shir Tamari, “Temelde, kötü niyetli bir şahsın tek yapması gereken, hedef uygulamadan /.git dizinine gitmek ve kaynak kodunu almaktı(…) Kötü niyetli şahıslar, açıkta bulunan Git klasörleri için sürekli interneti tarıyorlar. Kaynağın parolalar ve access token’lar gibi sırlar içerme olasılığının yanı sıra, sızdırılmış kaynak kodu genellikle daha karmaşık saldırılar için kullanılıyor. Kaynak kodu mevcut olduğunda yazılımdaki güvenlik açıklarını bulmak çok daha kolay oluyor“
PulseTV 200.000 Kredi Kartı İfşası
PulseTV, büyük ölçekli bir müşteri kredi kartı olayını ifşa etti. ABD Maine Başsavcılığı ile paylaşılan bildirim mektubuna göre, 200.000’den fazla alışveriş yapan kişi bu olaydan etkilendi. Platform, 8 Mart 2021’de, sitede yetkisiz kredi kartı işlemlerinin gerçekleştiğini bildiren olası bir VISA ihlali olduğunu belirtti.
Bazı güvenlik kontrolleri yaptıktan sonra PulseTV, e-ticaret web sitesinde herhangi bir sorunu tam olarak belirleyemedi. Ancak, kolluk kuvvetleri birkaç ay sonra pulstv.com‘dan kaynaklandığı anlaşıldığını belirtti. Şirket, bu kez üçüncü taraf bir uzmanın hizmetlerini kullanarak yeni bir soruşturma başlattı.
Fintech Firması 5 Milyon Dolarlık Fidye Ödemeyi Reddetti
Vietnam’ın en büyük kripto ticaret platformlarından biri olan ONUS, yakın zamanda savunmasız bir Log4j sürümünü çalıştıran ödeme sistemine yönelik bir siber saldırıya uğradı. Bu saldırı Log4J’nin fidye virüslerinde kullanılmaya başlandığını ispatlıyor.
Çok geçmeden, tehdit aktörleri ONUS’a 5 milyon dolarlık şantaj yapmak için iletişime geçtiler. Ancak ONUS bu şantaja boyun eğmedi ve bu durum üzerine hackerlar uymayı reddetmesi halinde müşteri verilerini yayınlamakla tehdit etti.
Şirketin fidye ödemeyi reddetmesinin ardından tehdit aktörleri, forumlarda satışa sunulan yaklaşık 2 milyon ONUS müşterisinin verilerini paylaştılar.
SSD Disklere Dikkat!
Koreli araştırmacılar, bazı katı hal sürücülerine (SSD’ler) karşı, kullanıcının ve güvenlik çözümlerinin erişemeyeceği bir yere kötü amaçlı yazılım yerleştirmeye izin verebilecek bir dizi saldırı geliştirdiler.
Saldırı modelleri esnek kapasite özelliklerine sahip sürücüler içindir ve bu günlerde SSD üreticileri tarafından NAND flash tabanlı depolama sistemlerinde performans optimizasyonu için yaygın olarak kullanılan aşırı sağlama adı verilen cihazdaki gizli bir alanı hedefliyor.
Donanım düzeyindeki saldırılar, nihai kalıcılık ve gizlilik sunar. Gelişmiş aktörler, geçmişte bu tür kavramları HDD’lere karşı uygulamak için çok çalıştılar ve erişilemeyen disk sektörlerinde kötü amaçlı kodları gizlediler.
Araştırma makalesi, bir bilgisayar korsanının üretici yazılımı yöneticisini kullanarak OP alanının boyutunu değiştirebileceğini ve böylece sömürülebilir geçersiz veri alanı oluşturabileceğini açıklıyor. Buradaki sorun, birçok SSD üreticisinin kaynaklardan tasarruf etmek için geçersiz veri alanını silmemeyi seçmesidir. Bu alan, eşleme tablosunun bağlantısını kesmenin yetkisiz erişimi önlemek için yeterli olduğu varsayımı kanıtlıyor. Bu nedenle, bu zayıflıktan yararlanan bir tehdit aktörü, potansiyel olarak hassas bilgilere erişim sağlayabilir ve sistemlerde kalıcı hale gelebilir.
ABD’de 19 Milyon Sağlık Verisi İfşası
Sağlık sektörü bu yıl yüzlerce siber saldırının hedefi oldu. Şimdiye kadar kamuya açık veri ihlali raporlarının bir listesi, on milyonlarca sağlık hizmeti kaydının yetkisiz taraflara maruz kaldığını gösteriyor. En büyük veri ihlallerinin çoğu fidye yazılımı saldırılarından kaynaklanmakta ve ilk on tanesi 2021’de açığa çıkan tüm sağlık hizmeti kayıtlarının yarısından fazlasını oluşturuyor.
ABD Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamındaki ihlal bildirim kuralı, sağlık kuruluşlarının bir eyalet veya yargı bölgesinde 500’den fazla sakini etkileyen bir durum olduğunda yayınlanmasını zorunlu kılıyor.
ABD Sağlık ve İnsan Hizmetleri (HHS) Medeni Haklar Dairesi’nin portalında listelenen en geniş etkiye sahip ilk on siber olay, bilgisayar korsanlığı olaylarına aittir ve yaklaşık 19 milyon kişinin verilerinin ifşasını kapsamaktadır. Sağlık sektöründeki en büyük ikinci veri ihlali ise Florida’daki 20/20 Eye Care Network’ü etkiledi ve bu da 3,2 milyondan fazla kişinin kişisel verilerinin ifşa edilmesiyle sonuçlandı.
Kali Linux 2021.4 Yayınlandı
Güvenlik araştırmacıları arasında en popüler Linux dağıtımı olan Kali Linux‘un yeni versiyonu Offensive Security tarafından yayınlandı. Yeni versiyon ile birlikte…
Dokuz Yeni Araç Eklendi
- Dufflebag – Herkese açık Elastic Block Storage’ları tarayarak kritik bilgi toplar.
- Maryam – Open-source Intelligence Framework
- Name-That-Hash – Hash tipinin belirlenmesinde yardımcı olur.
- Proxmark3 – RFID hacking aracıdır.
- Reverse Proxy Grapher – Ters proxy akışını görselleştirir.
- S3Scanner – S3 bucket’ları tarar ve bulduğu verileri otomatik indirir.
- Spraykatz – Uzaktan otomatik olarak procdump ile lsass işlemi üzerinden veri toplar.
- TruffleHog – Git repolarındaki parola, hash gibi kritik bilgileri elde eder.
- Web of trust grapher (wotmate) – PGP pathfinder aracı.