21 Ağustos 2019 Çarşamba

Privia Security Ağustos Ayı Siber Güvenlik Gelişmeleri Bülteni

Privia Security Ağustos Ayı Siber Güvenlik Gelişmeleri Bülteni

“Privacy For You” sloganı ile hareket ederek güvenlik ve gizlilik kavramlarına farklı bir bakış açısı getirmeyi planlayan Privia Security ekibi tarafından hazırlanan dönemsel siber güvenlik gelişmeleri bülteninde sadece sektörü değil herkesi ilgilendiren önemli gelişmeler yer alıyor.

Video Aracılığıyla Android Cihazlar Hacklenebiliyor
Saldırganlar, kullanıcıların izlediği bir video aracılığıyla Android cihazlar üzerinde uzaktan komut çalıştırabiliyorlar.
CVE-2019-2107 koduyla tanımlanan Remote Code Execution zafiyeti Android cihazlardaki medya çerçevesinden kaynaklanıyor. Bu güvenlik açığını kullanabilmek için saldırgan tarafından önceden hazırlanan ve bu zafiyeti tetiklemeyi sağlayan bir video’nun kullanıcıların Android cihazlarında bulunan yerel medya oynatıcısı ile oynatılması gerekiyor. Bu zafiyetin Android 7.0 ve Android 9.0 arasındaki tüm sürümleri etkilediği ve 1 milyar Android cihazın bu güvenlik açığından etkilendiği belirtildi.

FTP Sunucusu ProFTPD’de Kritik Güvenlik Açığı Bulundu
Bir Alman güvenlik araştırmacısı, FTP sunucusu olarak görev yapan ProFTPD yazılımında kritik güvenlik açığı keşfetti. CVE-2019-12815 kodlu güvenlik açığı, “SITE CPFR” ve “SITE CPTO” komutlarındaki <Limit WRITE>DenyAll</Limit> tag’lerini dikkate almayan bir hatadan meydana gelmektedir. Böylece bir saldırgan yetkisiz bir şekilde bir dosyayı başka bir klasöre kopyalayabilmektedir.
ProFTPD sunucularında olan mod_copy modülünde bulunan bir başka güvenlik açığı ise saldırganın sisteme yönelik bilgi ifşasına sebep olmasının yanında, uzaktan rastgele komut çalıştırılabilmesine sebep olmaktadır. Modülde bulunan bu zafiyet, kimliği doğrulanmış bir kullanıcının varsayılan olarak dosyaya yazma izni olmadığı halde, dosyaya yeni bir isim vererek dosyayı kopyalamaya izin vermektedir. Anonymous kullanıcısı aktif ise bu işlemi aynı şekilde gerçekleştirebilmektedir.

VLC Media Player’da RCE Zafiyeti
VLC Media Player uygulamasında uzaktan kod çalıştırılmasına izin veren kritik bir Buffer Overflow zafiyeti bulundu.
CVE-2019-13615 koduyla tanımla-nan bu güvenlik açığı, NVD veritabanına göre VLC medya oynatıcısının en son sürümünde tespit edilmiş olup; Windows, Linux ve UNIX versiyonlarını etkilemektedir.
CVE-2019-13615 zafiyeti NIST’e göre CVSS 3.0 ölçeğinde 10 üzerinden 9,8 ile kritik öneme sahiptir. Kritiklik seviyesine rağmen güvenlik açığı için şu anda mevcut bir güvenlik güncelleştirmesi bulunmamaktadır. 


Palo Alto GlobalProtect’te PreAuth RCE Zafiyeti
Araştırmacılar yaptıkları incelemede, dünyadaki birçok kuruluş tarafından kullanılan Palo Alto’nun SSL VPN ürünü olan GlobalProtect yazılımında Remote Code Execution zafiyeti tespit ettiler. CVE-2019-1579 olarak tanımlanan bu güvenlik açığının, saldırganların kimlik doğrulama gerekmeksizin hedef sistemde uzaktan kod çalıştırmalarına olanak sağladığı tespit edildi.
PAN-OS 7.1.18 ve öncesi, PAN-OS 8.0.11-h1 ve öncesi, PAN-OS 8.1.2 ve öncesi sürümler bu güvenlik açığından etkilenirken, PAN-OS 9.0 sürümü etkilenmemektedir.

LibreOffice Uygulamasında 2 Kritik Zafiyet Keşfedildi
Popüler ofis yazılımlarından biri olan LibreOffice uygulamasında 2 kritik güvenlik açığı keşfedildi. CVE-2019-9848 koduyla tanımlanan güvenlik açığı LibreOffice yazılımıyla birlikte gelen, kaplumbağa vektör grafiklerini kullanan LibreLogo bileşeninde bulunmaktadır. CVE-2019-9849 güvenlik açığı ise LibreOffice yazılımının uzaktan içerik ekleme özelliğinden kaynaklanmaktadır.
CVE-2019-9848 güvenlik açığına neden olan sorun, dahili LibreLogo kodlarının Python kodlarına iyi bir şekilde çevrilememesinden kaynaklanmaktadır. Bu zafiyeti kullanan saldırganlar, kurban cihazlar üzerinde kullanıcıların özel hazırlanmış bir belgeyi açmalarını sağlayarak rastgele Python komutları çalıştırabilirler. Bu güvenlik açığı 6.2.5 sürümünden önceki tüm Document Foundation LibreOffice sürümlerinde bulunmaktadır. CVE-2019-9849 güvenlik açığı ise, LibreOffice yazılımının güvenilir uzak kaynaklara erişmek amacıyla kullanılan “stealth mode” adlı gizli modun etkin olduğu durumlarda bile bir belgeye uzaktan içerik eklenmesine izin vermektedir.

FaceApp, Facebook Kullanıcı Bilgilerine Erişiyor
Rus yapımı bir uygulama olan FaceApp uygulaması kullanıcıların fotoğrafları ile oynayarak kullanıcıların kendilerini yaşça büyük veya yaşça küçük göstermelerini sağlayan bir uygulamadır. Fakat bu uygulamanın yaptığı işlemlerin yanında, kullanıcılara ait özel bilgilere de eriştiği tespit edildi.
Facebook hesabı ile giriş yapıldığında Faceapp, kullanıcıların kendi cihazındaki bilgileri ile beraber Facebook hesabı üzerindeki fotoğraflara ve arkadaş listesine de erişiyor. Böylece kullanıcının Facebook’ta bulunan arkadaşlarına ait bilgileri elde ediyor. Bu durum uygulamanın sıradan bir uygulama olmadığını, sosyal mühendislik, siber istihbarat ve big data gibi kavramlar için veri toplamak amacıyla da kullanıldığını gösteriyor. FaceApp CEO’su konu ile ilgili Facebook erişiminin, kullanıcının paylaştığı fotoğrafların arkadaşları tarafından oylanabilmesi için yapıldığını belirtti.
Bir kullanıcı, Facebook ile Faceapp’e giriş yapıp arkadaş listesini paylaşmak istemiyorsa, Facebook üzerindeki gizlilik ayarları üzerinden Faceapp’e bir kısıtlama getirebilmektedir. Böylece arkadaş listesini erişime kapatabilmektedir.

IOS 12 Sürümünde Kritik Güvenlik Açığı Bulundu
Google Project Zero Ekibinde bulunan güvenlik araştırmacısı Natalie Silvanovich, IOS 12 sürümünde kritik bir güvenlik açığı keşfetti. CVE-2019-8646 koduyla tanımlanan güvenlik açığı, iMessage mesajlaşma servisinde bulundu ve IOS 12.4 güncellemesiyle birlikte patch geçildi. Bu güvenlik açığının, bir saldırganın herhangi bir etkileşim olmadan IOS cihazı üzerindeki dosyaları uzaktan yetkisiz bir şekilde okumasını sağladığı belirtildi.
Ayrıca IOS sürüm notlarına göre, bu güvenlik açığında bulunan yetkisiz okuma hatasının Siri ve Core IOS bileşenlerinde mevcut olduğu belirtildi. Bu güvenlik açığından Iphone 5S ve sonrası, IPad Air ve sonrası, IPod touch 6. nesil ve sonrası etkilenmektedir. Bu güvenlik açığından etkilenmemek için kullanıcıların IOS sürümlerini güncelleştirmeleri gerekmektedir.

Linux Çekirdeğinde Kritik Güvenlik Açığı Bulundu
Linux çekirdeğinde hak ve yetki yükselten kritik bir güvenlik açığı bulundu. CVE-2019-13272 kodlu güvenlik açığı, düşük hak ve yetkilere sahip olan bir kullanıcının yüksek hak ve yetkilere sahip olan “root” kullanıcısının haklarına erişerek işlem yapmasına sebep olmaktadır. Linux kernel 5.1.17 sürümünden önceki sürümlerde bulunan bu kritik güvenlik açığı; ptrace_linkfonksiyonunun, ptrace ilişkisi oluşturarak yerel kullanıcıların root hak ve yetkisini almasını sağlayan bir prosesin kimlik bilgisi kaydını yanlış kullanmasından kaynaklanmaktadır.
Bu güvenlik açığından etkilenmemek için Linux kernel sürümünün son versiyona güncelleştirilmesi gerekmektedir.

KDE üzerinde Command Injection Zafiyeti Keşfedildi.
KDE framework üzerinde saldırganların rastgele komut çalıştırmalarına sebep olan bir Command Injection zafiyeti keşfedildi. Bu zafiyeti kullanan saldırganlar, KDE ortamı bulunan makineleri ele geçirerek uzaktan komut çalıştırabiliyor..
KDE menüsündeki bir uygulamayı kaydetmek için bir .desktop dosyası ve KDE’nin bir klasörün nasıl görüntülenmesi gerektiğini belirlemesi için .directory dosyaları kullanılır. CVE-2019-14744 koduyla tanımlanan bu güvenlik açığı, saldırganların “.desktop” ve “.directory” uzantılı dosyalar kullanarak kurban makineler üzerinde komut çalıştırabilmelerine izin vermektedir. Üstelik saldırganların bu güvenlik açığından yararlanmaları için “.desktop” ve “.directory” uzantılı dosyaların kurban makine üzerinde çalıştırılması şart değildir. Dosyalar, kurban makinede bir dizin üzerine yerleştiği an saldırganların komut çalıştırabilmelerine olanak vermektedir.
Bu güvenlik açığı KDE Framework 5.61.0 sürümünden önceki sürümleri etkilemektedir. Güvenlik açığından etkilenmemek için kullanıcıların KDE sürümlerini yükseltmeleri veya KConfig için buradan gerekli yamayı indirerek yama geçmeleri önerilmektedir.

Microsoft Azure Security Lab’i Duyurdu
Microsoft, Black Hat USA konferansında yeni Azure Security Lab’ı duyurdu. Azure Security Lab’ın içinde bulundurduğu özel bulut sistemlerini güvenlik uzmanları test edecek ve karşılığında buldukları zafiyetlerin kritiklik seviyesine göre ödül alacaklar. Microsoft bu sayede güvenlik araştırmacılarının Azure ortamını daha güvenli ve daha agresif bir şekilde test edebilmelerini kolaylaştırmayı ve güvenli bir bulut ortamında gerçek hacker’ları simüle edebilmeyi amaçlıyor.
Microsoft, bu sistemler üzerinde tespit edilecek güvenlik açıkları için 500 dolardan başlayıp 300.000 dolara kadar para ödülü verecek. Ayrıca Microsoft, son derece güvenli olarak tanımladığı Azure’un bu şekilde güvenli kalmasını sağlamak için Azure bug bounty programı kapsamında verilen maksimum ödül miktarını da iki katına çıkararak $40.000 yaptığını açıkladı.
Microsoft, Azure bug bounty programında son 12 ay içinde 4,4 milyon dolar ödül dağıttığını belirterek ödül programlarına katılan ve güvenlik açıklıklarını tespit edip bu zafiyetlerin kapatılmasını sağlayan tüm araştırmacılara teşekkür etti.

Hyper-V Üzerinden Reverse RDP Saldırısı Gerçekleştirilebiliyor
Uzak masaüstü bağlantısı kurmak amacıyla kullanılan RDP (Remote Desktop Protocol) üzerinde keşfedilen bir güvenlik açığı, saldırganların Hyper-V’de çalışan sanal makineler üzerinden istemci makineye erişmelerine olanak sağlıyor.
Birkaç ay önce RDP bağlantısı kurulan bir makineden, istemci makine üzerinde komut çalıştırılabilmesine olanak veren güvenlik açıkları keşfedildi ve bu güvenlik açıklarından yararlanılarak gerçekleştirilen saldırılar “Reverse RDP Attack” olarak adlandırıldı. Reverse RDP saldırılarına olanak veren güvenlik açıklarından biri, Hyper-V üzerinde çalışan bir Azure veya Windows 10 makineden istemci makine üzerinde komut çalıştırılmasına neden oluyor. Bu durum RDP üzerinden istemci makineye dosya kopyalanmasına izin veren “Clipboard” özelliği aracılığıyla gerçekleştiriliyor. Böylece Hyper-V üzerinde bulunan bir makineden istemci makineye bir dosya kopyalandığında, saldırganlar o dosyayla birlikte özel hazırlanmış zararlı dosyaları da istemci makineye kopyalayabiliyorlar. Saldırıya ait demo videosuna buradan ulaşabilirsiniz. Bu güvenlik açığından etkilenmemek için RDP ve Hyper-V yamalarının yapılması önerilmektedir.

WPA3 Standardında Kritik Güvenlik Açıkları Bulundu
İki güvenlik araştırmacısı tarafından WPA3 standardında 2 güvenlik açığı keşfedildi. Bu güvenlik açıkları Dragonblood güvenlik açığı olarak adlandırıldı. Keşfedilen güvenlik açıklarından CVE-2019-13377 kodlu güvenlik açığının, WPA3 Dragonfly handshake işlemini etkilediği açıklandı.
Dragonfly, bir WPA3 router veya Access point üzerinde kullanıcıların kimlik bilgilerinin doğrulanmasında kullanılan bir anahtar değişim mekanizmasıdır. Hostapd, Access point ve kimlik doğrulaması yapan sunucular için kullanıcı uzayındaki bir servistir. Hostapd’nin son sürümü üzerinde gerçekleştirilen saldırı ile veri sızıntısı meydana geldikten sonra, bu veri sızıntısına yönelik brute-force saldırısı yapılarak şifrelenmiş parolaların şifreleri kırılabilir ve parolalar elde edilebilir.
CVE-2019-13456 kodlu diğer güvenlik açığı ise EAP(EAP-pwd) protokolünde keşfedildi. EAP, WPA1 ve WPA2’de bulunduğu gibi WPA3 standardı tarafından da kullanılan bir protokoldür ve Dragonfly mekanizması bu protokol tarafından da kullanılmaktadır. Dolayısıyla bu protokol için CVE-2019-13377 güvenlik açığına yönelik olarak yapılan saldırılara benzer saldırı teknikleri kullanılabilir. Saldırılar sonucunda protokolde meydana gelen hatalardan dolayı saldırgan herhangi bir kullanıcıyı taklit ederek Wi-Fi parolasını bilmeden Wi-Fi ağına erişim sağlayabilir.
Bu güvenlik açıklarının kapatılması için yayınlanan yamaların kurulması ve son güncelleştirmelerin yapılması gerekmektedir.
Ağustos ayı içerisinde gerçekleşen önemli gelişmelerin yer aldığı bu bülten, Privia Security ekibi tarafından derlenerek son kullanıcıları ve sektör uzmanlarını bilgilendirilmek üzere hazırlanmıştır.

Hiç yorum yok:

Yorum Gönder