Nisan 2022 Siber Güvenlik Bülteni

Yayınlayan
Yunus Emre Çoban, Uğur Ateş
Yayınlanma tarihi
11-05-2022
Okuma süresi
15 DK

2022 - NİSAN AYI SİBER GÜVENLİK BÜLTENİ

1.    Nisan Ayı Yayınlanan Güvenlik Açılları

Nisan ayında yayınlanan tüm güvenlik açıklarına buradan ulaşabilirsiniz. Ayrıca haftalık periyotlarda önemli olduğu düşünülen güvenlik açıkları aşağıda belirtilmiştir.


1.1.    01 – 04 Nisan 

  • Güvenlik araştırmacıları, Spring framework üzerinde zero day güvenlik açığı keşfetti. Spring4Shell olarak adlandırılan güvenlik açığı, kimliği doğrulanmamış bir saldırganın hedeflenen bir sistemin kontrolünü uzaktan ele geçirmesine izin verebilir. Kullanıcıların 5.3.18 veya sonraki sürümlerine ve 5.2.20 veya sonraki sürümlerine yükseltme yapmaları önerilir.
  • Araştırmalar güvenlik açığının ortaya çıkmasından sonraki ilk 4 gün içinde dünya çapındaki kuruluşların %16'sının Spring4Shell'den etkilendiğini gösteriyor. VMware, ürünlerindeki bu kritik uzaktan kod yürütme kusurunu gidermek için güvenlik güncellemeleri yayınladı. 
  • Apple, underground forumlarda istismar edilen ve mobil ve masaüstü işletim sistemlerini etkileyen iki zero day güvenlik açığı için acil yamalar yayınladı. CVE-2022-22675 olarak adlandırılan güvenlik açığı, bir uygulamanın kernel ayrıcalıklarıyla rastgele kod yürütmesine izin verebilir.
  • Trend Micro, Apex Central ürün yönetim konsolundaki bir güvenlik açığı olan CVE-2022-26871'i düzeltti ve bu güvenlik açığı, uzaktaki bir saldırganın güvenliği ihlal edilmiş sistemde rastgele kod yürütmesine izin verebilir. 
  • DevOps platformu GitLab, CVE-2022-1162'yi ele alan ve bir saldırganın hesapların kontrolünü ele geçirmesine izin verebilecek bir güvenlik açığına ait güvenlik güncellemesi yayınladı.
  • Zyxel, CVE-2022-0342 olarak izlenen kritik bir güvenlik açığı için güvenlik güncellemeleri yayınlandı. Güvenlik açığı, bir saldırganın kimlik doğrulamasını atlamasına ve cihaza yönetici erişimi elde etmesine izin verebilir.

1.2.    04 – 11 Nisan

  • Palo Alto Networks, güvenlik duvarı, VPN ve XDR aracısı dahil bazı ürünlerinin CVE-2022-0778 olarak adlandırılan yüksek önem derecesine sahip bir güvenlik açığına karşı savunmasız olduğuna dair bir uyarı yayınladı. Güvenlik açığı hizmet reddi (DoS) saldırılarına veya güvenliği ihlal edilmiş uç noktaların uzaktan kilitlenmesine olanak sağlayabilir. 
  • Atlassian Confluence Server ve Data Server'da güvenlik açığı tespit edilmiştir.

1.3.    11 – 18 Nisan

  • Cisco, CVE2022-20695 tarafından izlenen Kablosuz Lan Denetleyicisi (WLC) içinde kritik bir güvenlik açığı için yama yayınladı. Güvenlik açığı, bir saldırganın kendi kimlik bilgilerini oluşturarak yönetici ayrıcalıkları kazanmasına ve sonunda hedeflenen sistemi ele geçirmesine izin verebilir.
  • Google, Chrome 8 JavaScript motoru CVE-2022-1364'teki yüksek önem derecesine sahip bir güvenlik açığını gidermek için acil bir Chrome güncellemesi yayınladı.

1.4.    18 – 24 Nisan

  • Zoho, Desktop Central ve Desktop Central MSP'de yetkisiz verileri okumak veya bir sunucuya rastgele bir .zip dosyası yazmak için kullanılabilecek kritik bir kusur (CVE-2021-44757) için bir yama yayınladı.
  • McAfee Enterprise, tehdit aktörlerinin SYSTEM ayrıcalıklarıyla rasgele kod yürütmesine izin verebilecek yüksek önem derecesine sahip bir yerel ayrıcalık yükseltme güvenlik açığı olan CVE-2022-0166 için bir yama yayınladı.
  • CVE-2021-45467 ve CVE-2021-45466)iki kritik güvenlik açığı, sunucularda uzaktan kod yürütülmesini sağlamak için kullanılabilir.
  • Cisco Systems, StarOS yazılımı için Redundancy Configuration Manager'daki kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-20649 için bir düzeltme yayınladı ve bu güvenlik açığı bir saldırgan tarafından rastgele kod yürütmek ve etkilenen bilgisayarların kontrolünü ele geçirmek için kullanılabilir.

1.5.    24 – 30 Nisan

  • Atlassian, Seraph'ta kritik bir kimlik doğrulama atlama hatasına karşı savunmasız olan Jira ve Jira Hizmet Yönetimi ürünleriyle ilgili bir uyarı yayınladı. CVE-2022-0540 olarak adlandırılan güvenlik açığı saldırganların özel olarak haırlanmış bir HTTP isteğiyle kimlik doğrulamasını atlamasına izin verebilir.
  • QNAP, kritik kusurları gidermek için bir yama yayınladı, CVE-2022-22721 olarak adlandırılan güvenlik açığı, arabellek taşmasına sebebiyet verebilmektedir. 
  • Lenovo, Birleşik Genişletilebilir Ürün Yazılımı Arabirimini (UEFI) etkileyen üç güvenlik açığı (CVE-2021-3970, CVE-2021-3971 ve CVE-2021-3972) hakkında bir danışma belgesi yayınladı.


2.    Önemli Siber Saldırılar 

Bu bölümde nisan ayında önemli olduğu düşünülen haberlere yer verilmiştir. Ayrıca bulgular haftalık olarak periyotlara bölünmüştür.

2.1.    01 – 07 Nisan

  • Araştırmalar APT’ler tarafından Rusya ve Ukrayna arasındaki savaşı kullanılarak son kullanıcıları hedef alan saldırılarda büyük bir artış olduğunu ortaya çıkardı. Saldırıların çoğu, Loki.Rat backdoor gibi zararlı yazılımları içeren belgelerin phishing e-postalarıyla yayılması ile başladı. 
  • Rus tehdit grubu COLDRIVER, verileri çalmak için oltalama saldırılarını kullanarak NATO'nun Merkezlerinden birinini ve birden fazla Doğu Avrupa ülkesini hedef aldı.
  • Güvenlik araştırmacıları, Rusya'da gerçekleşen muhalifleri hedef alan yeni bir hedefli oltalama saldırısı kampanyası keşfetti. 
  • Pakistan merkezli tehdit grubu APT36, Hindistan hükümetine karşı yeni bir kampanya yürüttü. Grup, kritik BT sistemlerine erişmek için Hint ordusu ve diğer devlet kurumları tarafından kullanılan uygulamaları kullandı. 
  • ABD fotoğraf şirketi Shutterfly, Aralık 2021'de meydana gelen bir Conti fidye yazılımı saldırısından etkilendikten sonra bir veri ihlali açıkladı. 
  • Palo Alto Networks müşteri desteğinde bir hata sonucunda binlerce müşteriye ait bilgileri açığa çıkarıldı. CISA ve ABD Enerji Bakanlığı, varsayılan kullanıcı adlarını/ parolaları kullanan internet bağlantılı kesintisiz güç kaynağı (UPS) cihazlarına yönelik saldırılara karşı ortak bir uyarı yayınladı.

2.2.    07 – 14 Nisan

  • Check Point araştırmacıları, 15.000'den fazla indirme ile anti-virüs çözümleri gibi görünerek Google Play Store'da bankacılık kötü amaçlı yazılımları yayan altı uygulama keşfetti. "Sharkbot" olarak bilinen zararlı yazılım, zararlı yazılım Android kullanıcılarının kimlik bilgilerini ve bankacılık bilgilerini çalıyor. Konu hakkında gerekli bilgilendirme raporu müşterilerimize iletilmiştir.
  • Filistinli grup Hamas'ın siber bölümüne bağlı tehdit aktörü APT-C-23, bir casusluk kampanyasında İsrailli kişileri ve yetkilileri hedef alıyor. 
  • Çin devlet destekli APT10 grubu (aka Cicada), VLC medya oynatıcısından yararlanan bir siber casusluk kampanyası ile kuruluşları hedefliyor. Kurbanlar arasında ABD, Hong Kong, İsrail, Türkiye, Hindistan yer almaktadır. Ayrıca saldırganlar hukuk, dini ve STK sektörlerini hedef almaktadır.
  • ABD merkezli bir otomobil araçları üreticisi olan Snap-on, verilerinin çevrimiçi olarak sızdırılmaya başlanmasının ardından bir Conti fidye yazılımı saldırısının kurbanı olduğunu açıkladı. Conti, Snap-on'ın fidyeyi ödediğini açıkladı ve verileri kaldırdı. 
  • Yeni Spring4shell güvenlik açığı (CVE-2022-22965), Mirai botnet'ten yararlanarak, Nisan ayında tehdit aktörleri tarafından aktif olarak kullanıldı. Singapur bölgesi en çok etkilenen coğrafi bölgelerden biri oldu.

2.3.    14 – 21 Nisan

  • Rus devlet destekli APT aktörü Sandworm, birden fazla altyapı bileşenini ele geçirmeyi amaçlayan Industroyer2 zararlı yazılımıyla Ukrayna'nın elektrik şebekesine girme girişiminde bulundu. 
  • Alman rüzgar türbini şirketi Nordex, Conti fidye yazılımı grubu tarafından iddia edilen bir siber saldırının kurbanı oldu. 30 Mart'ta meydana gelen saldırı, şirketin tüm dahili BT sistemlerini kapattı ve türbinlere uzaktan erişimlerini engelledi. 
  • Bazı üst düzey Avrupa Birliği yetkililerinin İsrailli NSO grubu Pegasus casus yazılımından etkilendiği tespit edildi. Bu saldırıların kaynağının kimde olduğu veya hangi bilgilerin ele geçirildiği şu anda belli değil. NSO yaptığı açıklamada sorumluluğu reddetti. 
  • Fidye yazılımı grubu  olan OldGremlin tehdit aktörü, Mart 2022'nin sonundan itibaren phishing kampanyalarıyla Rus kuruluşlarını hedef aldı. 
  • Kuzey Kore devlet destekli APT grubu Lazarus, Axie Infinity oyununda yakın zamanda 625 milyon dolarlık Ethereum kripto para birimi hırsızlığıyla bağlantılı olduğu görüldü. 
  • İtalya'da lüks bir moda markası olan Ermenegildo Zegna, bir RansomExx fidye yazılımı saldırısının kurbanı olduğunu açıkladı. Fidyeyi ödemeyi reddettikten sonra, hassas muhasebe materyalleri de dahil olmak üzere verileri çevrimiçi olarak yayınlandı.

2.4.    21 – 28 Nisan

  • Araştırmacılar, Katalonya'da (İspanya) en az 65 yüksek profilli kurbanı hedef alan yeni bir casus yazılım operasyonunu keşfetti. Hedefler arasında politikacılar ve bazen aile üyeleri de dahil olmak üzere sivil toplum kuruluşlarının üyeleri yer aldı. HOMAGE adlı yeni açıklanmayan bir iOS zero day, bu istismarların kaynağından olduğu görüldü.
  • ProxyShell kusurlarına karşı savunmasız Microsoft Exchange sunucuları, Cobalt Strike dahil olmak üzere farklı arka kapılar kullanılarak Hive fidye yazılımı tarafından saldırıya uğradı. Saldırganlar, fidye yazılımını dağıtmadan ve kuruluş içindeki dosyaları şifrelemeden önce ağ genelinde kapsamlı keşifler gerçekleştirdi. 
  • Docker sunucuları, Linux platformunda kripto para madenciliği yapmak için LemonDuck botnet tarafından aktif olarak hedefleniyor. 
  • FBI, Gıda ve Tarım (FA) kuruluşlarına hasat ve ekim dönemlerinde fidye yazılımı saldırılarının daha büyük riskleri konusunda bir uyarı yayınladı. 
  • CISA, FBI ve ABD Hazine Bakanlığı, çalışanlar üzerinde sosyal mühendislik kullanarak blok zinciri ve kripto para sektörlerindeki şirketleri hedef alan Kuzey Koreli APT grubu Lazarus hakkında uyarıda bulundu.


3.    Türkiye’yi Etkileyen Dark Web/ Deep Web Bulguları

3.1.    01 – 07 Nisan 
 

Bir İlaç Şirketi İçin Yetkisiz RDP Erişimi Satışta olduğu görülmüştür. 

3.2.    07 – 18 Nisan


Elektrikli araç güç aktarma sistemi ve pil takımı tasarımındaki IMECAR şirketine ait veri sızıntısı olduğu tespit edilmiştir. 


E devlet veri sızıntısı olduğu iddia edilmiştir. Konu hakkında Gais Security Threat İntelligence (GSTI) ekibi tarafından yapılan araştırmalar sonucunda olayın sahte olduğu anlaşılmıştır. 


Destek gıda sektöründe faaliyet gösteren bigjoy.com.tr firmasına ait veri sızıntısı olduğu tespit edilmiştir. 

3.3.    18 – 24 Nisan


Araştırmalar sonucunda söz konusu erişimin ülkemizdeki bir üniversiteye ait olduğu görülmüştür. 


Mernis verilerinin ele geçirildiği iddia edilmektedir. GSTI ekibinin araştırmaları sonucunda söz konusu verilerin asılsız olduğu ve geçmişteki veri sızıntılarından toplandığı görülmüştür. 

 

 

 

 

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Microsoft Teams — Cross Site Scripting (XSS) Bypass CSP Report
Siber İstihbarat ve Siber Tehdit İstihbaratı
Siber İstihbarat ve Siber Tehdit İstihbaratı
JWT Saldırıları
JWT Saldırıları
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages
CVE-2022–36446 — Webmin 1.996 — Remote Code Execution (RCE — Authenticated) During Install New Packages