İran destekli MuddyWater hack grubu, Türkiye’deki özel sektörleri ve devlet kurumlarını hedefliyor. Siber korsanlardan oluşan bu gurup, Orta ve Güneybatı Asya’daki kurumlara, telekomünikasyon, hükümet (BT hizmetleri), petrol ve havayolu endüstrisi sektörlerinde Avrupa, Asya ve Kuzey Amerika’dan çok sayıda kamu ve özel kuruluşa yönelik saldırılara bağdaştırılıyor.
Saldırıları gerçekleştirirken, PowerShell tabanlı komutları dağıtmak ve hedeflenen ağlara ilk erişim elde etmek için PDF, XLS dosyaları ile Windows işletim sistemine özel çalıştırılabilir dosyaları kullanıyorlar. Cisco Talos’taki araştırmacılar tarafından hazırlanan rapora göre MuddyWater gurubu Türkiyedeki özel kuruluşlar ve devlet kurumlarını hedef alan son saldırılarla ilişkilendiriyor.
Türkçe adlara sahip dosya eklerini kullanarak ve Sağlık veya İçişleri Bakanlığı’ndan geliyormuş gibi davranan hedef odaklı kimlik avı saldırıları kullanılıyor. Saldırının bir parçası olarak MuddyWater tehdit aktörleri, bir PDF dosyası teslim etmekle başlayan iki zinciri kullanıyor. İlk durumda, PDF, tıklandığında bir XLS dosyası getiren gömülü bir buton içeriyor. Bu dosyalar, bulaşma sürecini başlatan ve yeni bir Kayıt Defteri anahtarı oluşturarak kalıcılık sağlayan kötü amaçlı VBA makroları taşıyan tipik XLS belgeleri olarak devam ediyor. İkinci bulaşma zincirinde ise XLS yerine bir EXE dosyası kullanılıyor. Ancak bir VBScript olan PowerShell indiricisini kullanılarak sistemde kalıcılık elde ediliyor.
Cisco’nun raporunda Türkçe adlarla iletilen bir dizi kötü amaçlı Microsoft Excel dosyası tespit edildi. Bu bu dosya adları Sağlık-Bakanlığı-report-18502021.xls, İçişleri-Bakanlığı-report-18502021.xls ve Teklif-form-onaylı.xls olarak belirtliyor.
Yeni Samba Zafiyeti, Saldırganların Root Yetkileriyle Komut Çalıştırmasına İzin Veriyor.
Samba, kullanıcıların bir ağ üzerinden dosyalara, yazıcılara ve diğer yaygın olarak paylaşılan kaynaklara erişmesine olanak tanıyan SMB protokolünün popüler ve ücretsiz bir uygulamasıdır.
Geçtiğimiz ay Samba’nın 4.13.17‘den önceki tüm sürümlerini etkileyen ve Apple SMB istemcileriyle uyumluluk sağlayan VFS modülü “vfs_fruit” üzerindeki out-of-bounds heap read/write hatası sonucu ortaya çıkan CVE-2021-44142 kodlu zafiyet keşfedildi. Zafiyet, CVSS ölçeğinde 9,9 olarak derecelendiriliyor.
CERT Koordinasyon Merkezi’ne (CERT/CC) göre, zafiyet Red Hat, SUSE Linux ve Ubuntu gibi yaygın olarak kullanılan Linux dağıtımlarını da etkiliyor.
Samba, başarılı bir şekilde yararlanılırsa saldırganların etkilenen kurulumlarda en yüksek ayrıcalıklarla kod yürütmesine izin verebilecek birden çok güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Samba yöneticilerinin, olası saldırıları engellemek için bu sürümlere yükseltme yapmaları veya yamayı mümkün olan en kısa sürede uygulamaları önerilir.
Polkit Zafiyeti Unix’te Yetki Yükseltmeye İzin veriyor
Polkit önceki adıyla PolicyKit Unix türevi işletim sistemlerinde yetki kontrolünü sağlayan bir bileşendir. Polkit’in bir parçası olan pkexec, setuid özelliğini kullanarak başka bir kullanıcı olarak komut çalıştırılmasını sağlamaktadır. Polkit, Ubuntu, Debian, Fedora ve CentOS gibi popüler Linux dağıtımlarında yüklü gelen bir uygulamadır.
Polkit’te bulunan ve 12 yıldır keşfedilememiş bir zafiyet Qualys araştırmacıları tarafından doğrulandı ve exploit kodu yazıldı. Zafiyet düşük haklara sahip kullanıcının sistemde root haklarına sahip olmasına neden olmaktadır. Zafiyete CVE-2021-4034 kodu atandı ve önem derecesi kritik olarak değerlendirildi. Pkexec’in 2009’da yayınlanan ilk versiyonundan bu yana bu zafiyeti bulundurduğu belirlendi.
18 Kasım 2021 tarihinde Ubuntu, Red Hat, Debian gibi önemli Linux dağıtımlarının geliştiricilerine bildirilmesinin ardından yamalar yayınlandı. Zafiyetten etkilenmemek için yamaların uygulanması öneriliyor.
Apple, Aktif Olarak Kullanılan Bir ZeroDay Güvenlik Açığını Yamaladı!
Apple, IOS 15.3 ve MacOS Monterey 12.2 sürümlerindeki Safari yazılımında bulunan ZeroDay zafiyetini gidermek için güncelleme yayınladı. CVE-2022-22587 olarak adlandırılan güvenlik açığı, IOMobileFrameBuffer bileşeninde bellek taşmasından faydalanılarak çekirdek ayrıcalıklarıyla rastgele kod yürütmeye izin veriyor. Apple, bu zafiyetin aktif olarak kullanıldığı ile ilgili bir rapora sahip olduklarını açıkladı fakat saldırganlar hakkında herhangi bir bilgi paylaşmadı.
CVE-2022-22587, IOMobileFrameBuffer’da keşfedilen üçüncü ZeroDay açığıdır. Teknoloji devi tarafından ayrıca Safari’de, IndexedDB API’sinin hatalı uygulanmasından kaynaklanan ve kötü niyetli bir web sitesinin, kullanıcıların web tarayıcısındaki çevrimiçi etkinliklerini izleyebilecekleri bir güvenlik açığını (CVE-2022-22594) da düzeltti.
Yayınlanan yama ile kapatılan diğer açıklar:
- CVE-2022-22584: ColorSync’te kötü amaçlı hazırlanmış bir dosya işlenirken rastgele kod yürütülmesine neden olabilen bir bellek bozulması sorunu.
- CVE-2022-22578: Crash Reporter’da kötü amaçlı bir uygulamanın root ayrıcalıkları kazanmasına izin verebilecek bir mantık sorunu.
- CVE-2022-22585: Bir kullanıcının dosyalarına erişmek için sahte bir uygulama tarafından kullanılabilecek iCloud’da bir path sanitization sorunu.
- CVE-2022-22591: Intel Graphics Driver’da kötü amaçlı bir uygulama tarafından çekirdek ayrıcalıklarıyla rastgele kod yürütmek için kötüye kullanılabilecek bir bellek bozulması sorunu.
- CVE-2022-22590: WebKit’te, kötü amaçlarla oluşturulmuş web içeriği işlenirken rastgele kod yürütülebiliyor.
WordPress Eklentileri
Güvenlik araştırmacıları 84.000’den fazla web sitesini etkileyen ve kötü niyetli kullanıcılara hesapları ele geçirebilme imkanı sunan üç farklı WordPress eklentisini etkileyen zafiyet raporu yayınladılar. CVE-2022-0215 olarak adlandırılan Cross-Site Request Forgery (CSRF) zafiyeti, 8.8 CVSS skoruna sahip ve Xootix tarafından sağlanan üç eklentiyi etkiliyor:
- Login/Signup Popup (Inline Form + Woocommerce)
- Side Cart Woocommerce (Ajax)
- Waitlist Woocommerce (Back in stock notifier)
WordPress güvenlik şirketi Wordfence “Bu zafiyet bir site yöneticisinin bir bağlantıya tıklaması sonucunda, saldırganın site üzerinde yetki sahibi olmasını mümkün kılıyor” şeklinde açıklama yaptı.
CSRF, saldırgan tarafından kimliği doğrulanmış kullanıcı rolünde sunucuya özel üretilmiş web istekleri yollanmasıyla meydana gelir. Eğer kurban yönetici hesap ise CSRF tüm web uygulamasını riske atabilir.
Güvenlik açığının kaynağı, AJAX isteklerinin yetersiz doğrulanmasıdır. Örnek olarak bir saldırganın bir web uygulamasındaki “users_can_register” parametresinin değerini true olarak değiştirmesine ve “default_role” parametresinin değerini admin olarak güncelleyerek tam kontrol elde etmesine imkan sağlıyor.
Login/Signup Popup (v2.3) 20,000’den fazla uygulamaya eklenirken, Side Cart Woocommerce (v2.1) ve Waitlist Woocommerce (2.5.2) eklentileri sırasıyla 4,000 ve 60,000’den fazla uygulamaya eklenmiştir. Bulgular, saldırganların 16.000 IP adresi tarafından gerçekleşen büyük ölçekli bir saldırı kampanyasının parçası olarak, 1.6 milyon WordPress sitesini ele geçirmeyi hedeflediğini gösteriyor.
Wordfence’den Chloe Chamberland, “Bu güvenlik açığı yönetici etkileşimi gerektirdiğinden yararlanma olasılığı düşük olsa da, başarı sağlanan bir site üzerinde önemli bir etkisi olabilir. Bağlantılara ve eklere tıklarken dikkatli olmanızı, eklentilerinizi ve temalarınızı güncel tuttuğunuzdan emin olmanızı öneriyoruz” bilgisini paylaştı.
VMware Horizon Sunucularına Yönelik Log4Shell Saldırıları
Prophet Spider ismiyle bilinen initial access broker grubun, VMware Horizon sunucularındaki patchlenmemiş Log4Shell zafiyetinden faydalanarak gerçekleştirilen zararlı faaliyetlerde parmağı olduğu ortaya çıktı.
Blackberry IR takımları tarafından bugün yayınlanan araştırmaya göre grup, bu zafiyetten faydalanarak mağdur sistemlere ikinci aşama payloadlar indirmekteydi. Birleşik Krallık Sağlık Bakanlığı tarafından sağlanan bilgileri de doğrulayan biçimde, incelenen payloadlar arasında kripto para minerları, Cobalt Strike Beaconları ve websheller vardı.
BlackBerry ayrıca, geçmişte Prophet Spider’a atfedilen, “C:\Windows\Temp\7fde“ dosya konumunu zararlı dosya kaydetmek için kullanmak ve “wget.bin” dosyasını kullanarak ek binary’leri getirmek gibi exploitation mirroring taktikleri, teknikleri ve prosedürlerini de gözlemlediğini söyledi. VMware Horizon çalıştırılan sunucular, ilk kez Log4Shell exploitleri kullanılarak saldırıya uğramıyor. Geçtiğimiz ayın başlarında Microsoft, DEV-0401 olarak bilinen Çin merkezli bir grubun, ele geçirilmiş sunuculara NightSky adlı yeni bir fidye yazılımı türü dağıttığını açıklanmıştı.
Horizon sunucularına yönelik saldırı, VMware’in, müşterilerini, sistemlerini acil olarak güncellemesi yönünde uyarmasına yol açtı. VMware, “Bu güvenlik açığının sonuçları, öncelikle internetten gelen trafiği kabul eden sistemler olmak üzere, her sistem için ciddidir” diye uyardı. BlackBerry’nin küresel hizmetler teknik operasyonlarından sorumlu başkan yardımcısı Tony Lee, “Log4Shell güvenlik açığının yarattığı fırsatları inceleyen suç gruplarını görmeye devam edeceğiz, bu nedenle bu, güvenlikçilerin sürekli tetikte olması gereken bir saldırı vektörüdür” bilgisini paylaştı.