Siber Güvenlik Bülteni #90 – Araştırmacılar Uyarıyor!

Spring Cloud Function‘da, uzaktan kod yürütmeye (RCE) neden olan bir güvenlik açığı keşfedildi. Araştırmacılar, istismar kolaylığı ve Java tabanlı olması nedeniyle aralık ayında keşfedilen Log4Shell güvenlik açığını anımsattığını belirttiler.

Sysdig‘de siber güvenlik araştırmacısı olan Stefano Chierici, yüksek performanslı ve kolay test edilebilir olduğu için Spring Framework kullanan milyonlarca geliştirici olduğunu, saldırganların bu zafiyeti sömürerek kripto para madenciliği, DDoS saldırıları veya uzaktan erişim araçlarını kurma gibi işlemlerde kullanabileceklerini ifade etti. Ayrıca araştırmacılar yaptıkları açıklamada, güvenlik açığının HTTP üzerinden sömürülebilir olduğunu belirtiyorlar.

Spring Framework’te yönlendirme işlemleri için Spring Expression Language (SpEL) kullanılmaktadır. “spring.cloud.function.routing-expression” metodu kullanılarak zafiyet sömürülebilmektedir. Zafiyeti sömürmek için kullanılan örnek curl isteği aşağıdaki gibidir.

curl -i -s -k -X $’POST’ -H $’Host: 192.168.1.2:8080′ -H $’spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec(\”touch /tmp/test”)’ –data-binary $’exploit_poc’ $’http://192.168.1.2:8080/functionRouter’

Uzmanlar, zafiyeti gidermek için yama veya diğer tehdit azaltıcı önlemlerden biri uygulanmış olsa bile ortamda herhangi bir istismar girişimi veya anormal etkinliklerin olup olmadığının incelenmesi gerektiğini öneriyor.

VMware yaptığı açıklamada, 3.1.6 ve 3.2.2 sürümlerinin yanı sıra daha eski sürümlerin de etkilendiğini ve zafiyeti gidermek için 3.1.7 veya 3.2.3 sürümlerine geçilmesi gerektiğini ifade etti.

Sophos Firewall’da RCE Zafiyeti

Sophos, güvenlik duvarı ürününde 18.5 MR3 (18.5.3) ve daha önceki sürümlerini etkileyen kritik bir RCE (Uzaktan Kod Yürütme) zafiyeti bulunduğunu açıkladı. CVE-2022-1040 kodu verilen ve kimlik doğrulamasını atlatmayı sağlayan güvenlik açığının, User Portal ve Webadmin alanlarında bulunduğunu söyledi.

CVSS skoru 9.8 olan güvenlik açığı, bir bug bounty programında kimliği açıklanmayan bir siber güvenlik araştırmacısı tarafından Sophos’a bildirildi. Ardından Sophos bir güncelleme yayınlayarak zafiyeti giderdi. Sophos zafiyetle alakalı yayınladığı belgede, güvenlik duvarı cihazlarında bulunan “Allow automatic installation of hotfixes” özelliği aktif olan müşterilerin bir şey yapmasına gerek olmadığını lakin kullanım süresi dolmuş eski cihazlara sahip müşterilerin manuel işlem yapması gerektiğini açıkladı.

Güvenlik açığına karşı genel bir çözüm olarak şirket, müşterilere User Portal ve Webadmin arayüzlerini güvence altına almaları için bu seçenekleri tavsiye ediyor:

  • Sophos Firewall cihazlarında yer alan User Portal ve Webadmin arayüzleri dış ağdan erişime kapatılabilir.
  • User Portal ve Webadmin arayüzlerine erişmek için VPN (Virtual Private Network) veya Sophos Central kullanılabilir.

Sophos, geçtiğimiz haftalarda Sophos UTM (Unified Threat Management) yazılımlarını etkileyen iki adet kritik güvenlik açığını da (CVE-2022 0386 ve CVE-2022-0652) kapatmıştı.

Browser-in-the-Browser (BITB) Saldırısı, Phishing Saldırılarını Tespit Edilemez Hale Getiriyor!

Browser-in-the-Browser (BitB) saldırısı adı verilen yeni bir phishing tekniği, tarayıcı içinde farklı bir pencere açılarak varolan bir domainin kopyasının oluşturulmasını ve bunun sonucunda ikna edici phishing saldırıları gerçekleştirmeyi mümkün kılıyor.

Twitter’da mrd0x kullanıcı adını kullanan güvenlik araştırmacısına göre, yöntem “Google ile oturum aç” gibi, web sitelerine yerleştirilmiş üçüncü taraf single sign-on (SSO) seçeneklerinden yararlanıyor. Saldırı, sahte bir tarayıcı penceresi oluşturmak için HTML ve CSS kodları kullanarak kimlik doğrulama işlemi sürecini kopyalamayı amaçlıyor. mrd0x teknik bir yazıda, phishing sayfasının gerçeğinden ayırt edilemediğini söyledi.

Şubat 2020’de Zscaler, sahte Counter-Strike: Global Offensive (CS:GO) web siteleri aracılığıyla, Steam’in kimlik bilgilerini çekmek için BitB saldırısından yararlanan bir saldırının ayrıntılarını açıkladı. Aynı zamanda Zscaler araştırmacısı Prakhar Shrotriya

“Normalde, bir kullanıcı tarafından bir phishing sitesini tespit etmek için alınan önlemler arasında, URL’nin yasal olup olmadığının ve web sitesinin HTTPS kullanıp kullanmadığının kontrol edilmesi yer alır. Bu durumda,domain geçerli olduğu ve HTTPS kullandığı için steamcommunity[.]com için her şey zararsız görünüyor. Ancak bu pop-up’ı kullanılan pencereden sürüklemeye çalıştığımızda, yasal bir pop-up olmadığı ve HTML kullanılarak oluşturulduğu için pencerenin dışında kayboluyor” dedi.

Google Zero-Day Zafiyetine Acil Bir Güncelleme Yayınladı

Google, 25 Mart Cuma günü, Chrome’da bulunan, halihazırda kötüye kullanılmakta olan kritik zafiyetleri gidermek adına, düzenli güncelleme döngüsünün dışında kalan bir güvenlik güncelleştirmesi yayınladı.

CVE-2022-1096 olarak bilinen ve type confusion türünde olan zero-day, V8 JavaScript motorunda bulunuyor. Zafiyetin 23 Mart’ta isimsiz bir araştırmacı tarafından bildirildiği açıklandı. Type confusion zafiyetleri, bir değişken veya objenin oluşturulduğu tip yerine farklı bir tip ile çağrılması sonucu oluşuyor ve C ve C++ gibi RAM korumalı olmayan dillerde out-of-bounds memory access gibi tehlikeli sonuçlar doğurabiliyor.

Google, CVE-2022-1096’dan haberdar olduklarını açıkladı ancak saldırılarda artış ihtimaline karşı, kullanıcıların çoğunluğu güncelleştirme yapana kadar daha fazla detay vermek istemediklerini belirtti.

Chrome kullanıcılarının 99.0.4844.84 olan son sürüme güncelleme yapmaları şiddetle önerilmektedir. Chromium tabanlı Edge, Opera ve Vivaldi kullanıcılarının da güncelleştirmeleri yayınlandığı zaman tamamlamaları önerilmektedir.

Morgan Stanley Müşteri Hesapları Ele Geçirildi

Morgan Stanley’nin varlık ve varlık yönetimi bölümü olan Morgan Stanley Varlık Yönetimi, bazı müşterilerinin hesaplarının sosyal mühendislik saldırılarında ele geçirildiğini belirtti.

Şirket, müşterilerine gönderdiği bildirimde, “11 Şubat 2022’de veya civarında”, Morgan Stanley’i taklit eden bir tehdit aktörünün, Morgan Stanley Çevrimiçi hesap bilgilerini sağlamaları için onları kandırdıktan sonra hesaplarına erişim kazandığını belirtiyor.

Saldırgan, hesaplarını başarıyla ihlal ettikten sonra, Zelle ödeme sistemini kullanarak ödemeleri başlatarak parayı elektronik olarak kendi banka hesabına aktardı.

Morgan Stanley, bu saldırılardan etkilenen tüm müşterilerin hesaplarını devre dışı bıraktığını ve sistemlerinin güvene alındığını belirtti. Morgan Stanley, dünya çapında yatırım bankacılığı, menkul kıymetler, servet ve yatırım yönetimi hizmetleri sunan bir Amerikan lider yatırım bankacılığı ve küresel finansal hizmetler firmasıdır. Müşteri listesi, 41’den fazla ülkeden, dünyanın dört bir yanından şirketler, hükümetler, kurumlar ve bireyleri içermektedir.

Sızma Testleri ve Red Team hizmetleri için tecrübeli bir ekibe ihtiyacınız varsa, doğru yerdesiniz! Uzmanlarımızla iletişime geçerek fiyat teklifi ve detaylı bilgi alabilirsiniz.