Nisan 2022 Siber Güvenlik Bülteni

Yayınlayan
Yunus Emre Çoban, Uğur Ateş
Yayınlanma tarihi
11/5/2022
Okuma süresi
15
Dakika
go back icon
Geri Dön

2022 - NİSAN AYI SİBER GÜVENLİK BÜLTENİ

1.    Nisan Ayı Yayınlanan Güvenlik Açılları

Nisan ayında yayınlanan tüm güvenlik açıklarına buradan ulaşabilirsiniz. Ayrıca haftalık periyotlarda önemli olduğu düşünülen güvenlik açıkları aşağıda belirtilmiştir.


1.1.    01 – 04 Nisan

  • Güvenlik araştırmacıları, Spring framework üzerinde zero day güvenlik açığı keşfetti. Spring4Shell olarak adlandırılan güvenlik açığı, kimliği doğrulanmamış bir saldırganın hedeflenen bir sistemin kontrolünü uzaktan ele geçirmesine izin verebilir. Kullanıcıların 5.3.18 veya sonraki sürümlerine ve 5.2.20 veya sonraki sürümlerine yükseltme yapmaları önerilir.
  • Araştırmalar güvenlik açığının ortaya çıkmasından sonraki ilk 4 gün içinde dünya çapındaki kuruluşların %16'sının Spring4Shell'den etkilendiğini gösteriyor. VMware, ürünlerindeki bu kritik uzaktan kod yürütme kusurunu gidermek için güvenlik güncellemeleri yayınladı.
  • Apple, underground forumlarda istismar edilen ve mobil ve masaüstü işletim sistemlerini etkileyen iki zero day güvenlik açığı için acil yamalar yayınladı. CVE-2022-22675 olarak adlandırılan güvenlik açığı, bir uygulamanın kernel ayrıcalıklarıyla rastgele kod yürütmesine izin verebilir.
  • Trend Micro, Apex Central ürün yönetim konsolundaki bir güvenlik açığı olan CVE-2022-26871'i düzeltti ve bu güvenlik açığı, uzaktaki bir saldırganın güvenliği ihlal edilmiş sistemde rastgele kod yürütmesine izin verebilir.
  • DevOps platformu GitLab, CVE-2022-1162'yi ele alan ve bir saldırganın hesapların kontrolünü ele geçirmesine izin verebilecek bir güvenlik açığına ait güvenlik güncellemesi yayınladı.
  • Zyxel, CVE-2022-0342 olarak izlenen kritik bir güvenlik açığı için güvenlik güncellemeleri yayınlandı. Güvenlik açığı, bir saldırganın kimlik doğrulamasını atlamasına ve cihaza yönetici erişimi elde etmesine izin verebilir.

1.2.    04 – 11 Nisan

  • Palo Alto Networks, güvenlik duvarı, VPN ve XDR aracısı dahil bazı ürünlerinin CVE-2022-0778 olarak adlandırılan yüksek önem derecesine sahip bir güvenlik açığına karşı savunmasız olduğuna dair bir uyarı yayınladı. Güvenlik açığı hizmet reddi (DoS) saldırılarına veya güvenliği ihlal edilmiş uç noktaların uzaktan kilitlenmesine olanak sağlayabilir.
  • Atlassian Confluence Server ve Data Server'da güvenlik açığı tespit edilmiştir.

1.3.    11 – 18 Nisan

  • Cisco, CVE2022-20695 tarafından izlenen Kablosuz Lan Denetleyicisi (WLC) içinde kritik bir güvenlik açığı için yama yayınladı. Güvenlik açığı, bir saldırganın kendi kimlik bilgilerini oluşturarak yönetici ayrıcalıkları kazanmasına ve sonunda hedeflenen sistemi ele geçirmesine izin verebilir.
  • Google, Chrome 8 JavaScript motoru CVE-2022-1364'teki yüksek önem derecesine sahip bir güvenlik açığını gidermek için acil bir Chrome güncellemesi yayınladı.

1.4.    18 – 24 Nisan

  • Zoho, Desktop Central ve Desktop Central MSP'de yetkisiz verileri okumak veya bir sunucuya rastgele bir .zip dosyası yazmak için kullanılabilecek kritik bir kusur (CVE-2021-44757) için bir yama yayınladı.
  • McAfee Enterprise, tehdit aktörlerinin SYSTEM ayrıcalıklarıyla rasgele kod yürütmesine izin verebilecek yüksek önem derecesine sahip bir yerel ayrıcalık yükseltme güvenlik açığı olan CVE-2022-0166 için bir yama yayınladı.
  • CVE-2021-45467 ve CVE-2021-45466)iki kritik güvenlik açığı, sunucularda uzaktan kod yürütülmesini sağlamak için kullanılabilir.
  • Cisco Systems, StarOS yazılımı için Redundancy Configuration Manager'daki kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-20649 için bir düzeltme yayınladı ve bu güvenlik açığı bir saldırgan tarafından rastgele kod yürütmek ve etkilenen bilgisayarların kontrolünü ele geçirmek için kullanılabilir.

1.5.    24 – 30 Nisan

  • Atlassian, Seraph'ta kritik bir kimlik doğrulama atlama hatasına karşı savunmasız olan Jira ve Jira Hizmet Yönetimi ürünleriyle ilgili bir uyarı yayınladı. CVE-2022-0540 olarak adlandırılan güvenlik açığı saldırganların özel olarak haırlanmış bir HTTP isteğiyle kimlik doğrulamasını atlamasına izin verebilir.
  • QNAP, kritik kusurları gidermek için bir yama yayınladı, CVE-2022-22721 olarak adlandırılan güvenlik açığı, arabellek taşmasına sebebiyet verebilmektedir.
  • Lenovo, Birleşik Genişletilebilir Ürün Yazılımı Arabirimini (UEFI) etkileyen üç güvenlik açığı (CVE-2021-3970, CVE-2021-3971 ve CVE-2021-3972) hakkında bir danışma belgesi yayınladı.


2.    Önemli Siber Saldırılar

Bu bölümde nisan ayında önemli olduğu düşünülen haberlere yer verilmiştir. Ayrıca bulgular haftalık olarak periyotlara bölünmüştür.

2.1.    01 – 07 Nisan

  • Araştırmalar APT’ler tarafından Rusya ve Ukrayna arasındaki savaşı kullanılarak son kullanıcıları hedef alan saldırılarda büyük bir artış olduğunu ortaya çıkardı. Saldırıların çoğu, Loki.Rat backdoor gibi zararlı yazılımları içeren belgelerin phishing e-postalarıyla yayılması ile başladı.
  • Rus tehdit grubu COLDRIVER, verileri çalmak için oltalama saldırılarını kullanarak NATO'nun Merkezlerinden birinini ve birden fazla Doğu Avrupa ülkesini hedef aldı.
  • Güvenlik araştırmacıları, Rusya'da gerçekleşen muhalifleri hedef alan yeni bir hedefli oltalama saldırısı kampanyası keşfetti.
  • Pakistan merkezli tehdit grubu APT36, Hindistan hükümetine karşı yeni bir kampanya yürüttü. Grup, kritik BT sistemlerine erişmek için Hint ordusu ve diğer devlet kurumları tarafından kullanılan uygulamaları kullandı.
  • ABD fotoğraf şirketi Shutterfly, Aralık 2021'de meydana gelen bir Conti fidye yazılımı saldırısından etkilendikten sonra bir veri ihlali açıkladı.
  • Palo Alto Networks müşteri desteğinde bir hata sonucunda binlerce müşteriye ait bilgileri açığa çıkarıldı. CISA ve ABD Enerji Bakanlığı, varsayılan kullanıcı adlarını/ parolaları kullanan internet bağlantılı kesintisiz güç kaynağı (UPS) cihazlarına yönelik saldırılara karşı ortak bir uyarı yayınladı.

2.2.    07 – 14 Nisan

  • Check Point araştırmacıları, 15.000'den fazla indirme ile anti-virüs çözümleri gibi görünerek Google Play Store'da bankacılık kötü amaçlı yazılımları yayan altı uygulama keşfetti. "Sharkbot" olarak bilinen zararlı yazılım, zararlı yazılım Android kullanıcılarının kimlik bilgilerini ve bankacılık bilgilerini çalıyor. Konu hakkında gerekli bilgilendirme raporu müşterilerimize iletilmiştir.
  • Filistinli grup Hamas'ın siber bölümüne bağlı tehdit aktörü APT-C-23, bir casusluk kampanyasında İsrailli kişileri ve yetkilileri hedef alıyor.
  • Çin devlet destekli APT10 grubu (aka Cicada), VLC medya oynatıcısından yararlanan bir siber casusluk kampanyası ile kuruluşları hedefliyor. Kurbanlar arasında ABD, Hong Kong, İsrail, Türkiye, Hindistan yer almaktadır. Ayrıca saldırganlar hukuk, dini ve STK sektörlerini hedef almaktadır.
  • ABD merkezli bir otomobil araçları üreticisi olan Snap-on, verilerinin çevrimiçi olarak sızdırılmaya başlanmasının ardından bir Conti fidye yazılımı saldırısının kurbanı olduğunu açıkladı. Conti, Snap-on'ın fidyeyi ödediğini açıkladı ve verileri kaldırdı.
  • Yeni Spring4shell güvenlik açığı (CVE-2022-22965), Mirai botnet'ten yararlanarak, Nisan ayında tehdit aktörleri tarafından aktif olarak kullanıldı. Singapur bölgesi en çok etkilenen coğrafi bölgelerden biri oldu.

2.3.    14 – 21 Nisan

  • Rus devlet destekli APT aktörü Sandworm, birden fazla altyapı bileşenini ele geçirmeyi amaçlayan Industroyer2 zararlı yazılımıyla Ukrayna'nın elektrik şebekesine girme girişiminde bulundu.
  • Alman rüzgar türbini şirketi Nordex, Conti fidye yazılımı grubu tarafından iddia edilen bir siber saldırının kurbanı oldu. 30 Mart'ta meydana gelen saldırı, şirketin tüm dahili BT sistemlerini kapattı ve türbinlere uzaktan erişimlerini engelledi.
  • Bazı üst düzey Avrupa Birliği yetkililerinin İsrailli NSO grubu Pegasus casus yazılımından etkilendiği tespit edildi. Bu saldırıların kaynağının kimde olduğu veya hangi bilgilerin ele geçirildiği şu anda belli değil. NSO yaptığı açıklamada sorumluluğu reddetti.
  • Fidye yazılımı grubu  olan OldGremlin tehdit aktörü, Mart 2022'nin sonundan itibaren phishing kampanyalarıyla Rus kuruluşlarını hedef aldı.
  • Kuzey Kore devlet destekli APT grubu Lazarus, Axie Infinity oyununda yakın zamanda 625 milyon dolarlık Ethereum kripto para birimi hırsızlığıyla bağlantılı olduğu görüldü.
  • İtalya'da lüks bir moda markası olan Ermenegildo Zegna, bir RansomExx fidye yazılımı saldırısının kurbanı olduğunu açıkladı. Fidyeyi ödemeyi reddettikten sonra, hassas muhasebe materyalleri de dahil olmak üzere verileri çevrimiçi olarak yayınlandı.

2.4.    21 – 28 Nisan

  • Araştırmacılar, Katalonya'da (İspanya) en az 65 yüksek profilli kurbanı hedef alan yeni bir casus yazılım operasyonunu keşfetti. Hedefler arasında politikacılar ve bazen aile üyeleri de dahil olmak üzere sivil toplum kuruluşlarının üyeleri yer aldı. HOMAGE adlı yeni açıklanmayan bir iOS zero day, bu istismarların kaynağından olduğu görüldü.
  • ProxyShell kusurlarına karşı savunmasız Microsoft Exchange sunucuları, Cobalt Strike dahil olmak üzere farklı arka kapılar kullanılarak Hive fidye yazılımı tarafından saldırıya uğradı. Saldırganlar, fidye yazılımını dağıtmadan ve kuruluş içindeki dosyaları şifrelemeden önce ağ genelinde kapsamlı keşifler gerçekleştirdi.
  • Docker sunucuları, Linux platformunda kripto para madenciliği yapmak için LemonDuck botnet tarafından aktif olarak hedefleniyor.
  • FBI, Gıda ve Tarım (FA) kuruluşlarına hasat ve ekim dönemlerinde fidye yazılımı saldırılarının daha büyük riskleri konusunda bir uyarı yayınladı.
  • CISA, FBI ve ABD Hazine Bakanlığı, çalışanlar üzerinde sosyal mühendislik kullanarak blok zinciri ve kripto para sektörlerindeki şirketleri hedef alan Kuzey Koreli APT grubu Lazarus hakkında uyarıda bulundu.


3.    Türkiye’yi Etkileyen Dark Web/ Deep Web Bulguları

3.1.    01 – 07 Nisan

Bir İlaç Şirketi İçin Yetkisiz RDP Erişimi Satışta olduğu görülmüştür.

3.2.    07 – 18 Nisan


Elektrikli araç güç aktarma sistemi ve pil takımı tasarımındaki IMECAR şirketine ait veri sızıntısı olduğu tespit edilmiştir.


E devlet veri sızıntısı olduğu iddia edilmiştir. Konu hakkında Gais Security Threat İntelligence (GSTI) ekibi tarafından yapılan araştırmalar sonucunda olayın sahte olduğu anlaşılmıştır.


Destek gıda sektöründe faaliyet gösteren bigjoy.com.tr firmasına ait veri sızıntısı olduğu tespit edilmiştir.

3.3.    18 – 24 Nisan


Araştırmalar sonucunda söz konusu erişimin ülkemizdeki bir üniversiteye ait olduğu görülmüştür.


Mernis verilerinin ele geçirildiği iddia edilmektedir. GSTI ekibinin araştırmaları sonucunda söz konusu verilerin asılsız olduğu ve geçmişteki veri sızıntılarından toplandığı görülmüştür.

Yunus Emre Çoban, Uğur Ateş

Detaylı Bilgi İçin

info@gaissecurity.com