ABD’li ağ teknolojisi devi, Çinli Yanluowang fidye yazılım çetesinin sızdırdığı bilgilerin şirket kayıtlarıyla uyuştuğunu açıkladı.
Fidye çetesi firmadan geçtiğimiz mayıs ayında ele geçirdiği ve 55 GB büyüklüğünde olduğunu iddia ettikleri bilgilerin bir kısmını dün sızıntı sitesinde paylaşmıştı. Paylaşımın ardından şirket de çalıntı verilerin doğruluğunu kabul etti.
Firmadan yapılan konuya ilişkin açıklamada saldırının şirkete yönelik herhangi bir olumsuz etkisinin bulunmadığı iddiası yinelendi.
Açıklamada tehdit aktörlerinin sızdırdığı bilgilerin firma kayıtlarıyla uyuştuğu ve daha önce tespit edilen veriler olduğu ifade edildi. Firmanın açıklamasında şu değerlendirmelere yer verildi: “Saldırıya ilişkin Cisco ürünleri, hizmetleri, hassas müşteri verileri, çalışan bilgileri, fikri mülkiyet ve tedarik zinciri operasyonlarına herhangi bir etkisi gözlemlenmemiştir.”
Tehdit aktörleri firmaya ait kaynak kodlarını da ele geçirdiğini öne sürmüş ancak şirketten bunu ispat eden bir bulguya rastlanmadığı açıklaması gelmişti.
Geçen ay firmadan yapılan açıklamaya siber saldırı doğrulanmıştı. Açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.
ABD’li ağ teknolojisi devi Cisco, geçtiğimiz günlerde yaptığı açıklamayla bir çalışanı üzerinden hack olayı yaşandığını açıklamıştı. Söz konusu olayın ardından hızlı aksiyon alan Cisco nasıl hacklendi? Nasıl aksiyon aldı?
CISCO NASIL HACKLENDİ?
Cisco, 10 Ağustos Salı günü Çinli bir fidye yazılımı çetesinin kendilerini hacklediğini ve sızdırdıkları dosyaları yayınlayacağını bildirdiği dark web gönderisinden kısa süre sonra bir çalışanı üzerinden hacklendiğini doğrulamıştı.
Yapılan açıklamada saldırının tarihi 24 Mayıs olarak bildirilirken Cisco ekibi, bir çalışanının kişisel Google hesabının ele geçirildiği, ele geçirilen Google hesabında kayıtlı olan Cisco uzantılı kurumsal ağa giriş parolası çalınarak VPN üzerinden uzaktan sisteme erişildiğini tespit ettiklerini açıklamıştı.
Ekip, ikili kimlik doğrulamayı sesli kimlik avı saldırıları ve çok faktörlü doğrulamayı (MFA) atlama tekniklerini kullanarak atlayan tehdit aktörünün kullanıcıya gelen doğrulama kodu aşamasını da bir şekilde çözdüğünü belirtmişti.
Sesli kimlik avı saldırıları (voice phishing), tehdit aktörlerinin çalışanların hassas bilgilerini elde etmek için telefonları üzerinden aranarak kandırmaya çalıştığı giderek yaygınlaşan bir sosyal mühendislik yöntemi olarak biliniyor.
İlk erişimi elde eden tehdit aktörü, MFA için bir dizi yeni cihaz kaydederek Cisco VPN’de başarılı bir şekilde kimlik doğrulaması yaptı. Tehdit aktörü daha sonra ayrıcalık yükseltme zafiyetlerini kullanarak yönetici ayrıcalıklarından yararlanmaya başladı.
Tehdit aktörü, arka kapı oluşturmak ve kalıcılık kazanmak için LogMeIn ve TeamViewer gibi uzaktan erişim araçları, Cobalt Strike, PowerSploit, Mimikatz ve Impacket gibi saldırgan güvenlik araçları dâhil olmak üzere çeşitli araçları kullandı.
Çok sayıda sistemde oturum açmak için güvenliği ihlal edilmiş hesabı kullanmaya başlayan tehdit aktörü daha sonra etki alanı denetleyicilerine ayrıcalıklı erişim elde etti.
Kimlik bilgileri veritabanlarına erişim elde ettikten sonra tehdit aktörü, ayrıcalıklı kimlik doğrulama ve ortam boyunca yanal hareket için makine hesaplarından yararlandı.
CISCO HEMEN YANIT VERDİ
Olayı fark eder fark etmez şirket çapında parola sıfırlaması uygulayan Cisco, daha sonra gerek güvenlik korumaları gerekse de iki ClamAV imzası oluşturarak tehdit aktörünün ilerlemesinin yavaşlatılmasında ve kontrol altında tutulmasında etkili oldu.
Stratejik ve Uluslararası Çalışmalar Merkezi’nde başkan yardımcısı olarak görev yapan Jim Lewis, “Cisco’nun başarısının sırrı, hızlı bir şekilde olayı tespit etmek.” ifadelerini kullandı.
Legendary Entertainment’ın başkan yardımcısı Dan Meacham ise saldırı vektörünün şeffaflığı ve Calm AntiVirüs imzalarının oluşturulmasını tebrik ederken bu saldırıdan çıkarılacak birkaç dersin olduğunu söyledi. Meacham, “Kullanıcılar, Google gibi kişisel hesaplarında kişisel bilgilerini önbelleğe almamasının yanında tüm hesaplarda MFA’yı etkinleştirmeleri gerekir.” dedi.
Bununla birlikte Meacham, “Kullanıcı davranış analizlerini izlemek her zaman güvenliği ihlal edilmiş hesabın belirlenmesinde birincil öncelik taşır. Cisco’nun da bu davranışları izlediğini ve bu durumun Cisco SOC’yi uyardığını Cisco Güvenlik Olayı Müdahale Merkezi’ni harekete geçirdiğini düşünüyorum.” dedi.
Cisco’nun söz konusu olaya hızlı bir şekilde yanıt vermesi ve tehdit aktörünün daha fazla ilerleyememesinin değerini belirten ve diğer güvenlik ekiplerinin de benzer hızda yanıt vermesi için yorumda bulunan Meacham, “MFA Fatigue saldırılarını önlemek için çeşitli mekanizmalar kullanılması gerekiyor. Cihaz kaydını kısıtlamak için önlemlerin olması gerekiyor. Chrome hesaplarıyla diğer hesapların senkronize edilmemesi gerekiyor. Parola güvenliği uygulamalarının kullanılması gerekiyor.” ifadelerini kullandı.
Popüler ağ erişim protokolü uygulaması üreten Samba, VFS modülünde keşfedilen kritik zafiyeti giderdi. Siber tehdit aktörleri, Samba’nın VFS modülündeki zafiyeti istismar ederek kök ayrıcalıklarıyla uzaktan kod yürütebiliyor.
KRİTİK ZAFİYET SİSTEMLERİ NASIL ETKİLİYOR?
Samba, kullanıcıların bir ağ üzerinden dosyalara, yazıcılara ve diğer yaygın olarak paylaşılan kaynaklara erişmesine olanak tanıyan SMB protokolünün popüler bir ücretsiz uygulaması olarak biliniyor.
CVE-2021-44142 kodlu ve 9,9’luk kritiklik seviyesine sahip zafiyet, Apple SMB istemcileriyle uyumluluk sağlayan VFS modülü “vfs_fruit” içindeki sınır dışı bir okuma/yazma zafiyeti olarak biliniyor.
Vfs_fruit’te bulunan zafiyet, VFS fruit modülünün varsayılan konfigürasyonu olan “fruit:metadata=netatalk veya fruit:resource=file” ayarlarından kaynaklanıyor. Söz konusu ayarlar farklı bir ayarla değiştirilmişse zafiyetten etkilenilmiyor ancak zafiyetin etkilediği durumlarda siber tehdit aktörleri, kök ayrıcalıklarıyla uzaktan kod yürütebiliyor.
Öte yandan herkesin Windows 10’da yönetici ayrıcalıkları kazanmasına imkan sağlayan bir Windows yerel ayrıcalık yükselmesi güvenlik zafiyeti yayımlandı.
CVE-2021-21882 kodlu 7,0’lık kritiklik seviyesine sahip zafiyet, Win32k Ayrıcalık Yükselmesi zafiyeti olarak biliniyor ve yerel, kimliği doğrulanmış bir saldırganın, söz konusu zafiyet aracılığıyla yükseltilmiş yerel sistem veya yönetici ayrıcalıkları elde edebilmesine imkan tanıyor.
GÜVENLİK AÇIĞI NASIL GİDERİLİR?
Samba zafiyetini azaltmak ve zafiyet kaynaklı olası saldırıları engellemek için kullanıcıların güncellemeleri hızlı bir şekilde yapması gerekiyor.
Tayvan merkezli network çözümleri üreticisi QNAP, ürün yelpazesinde yer alan bazı ağ depolama cihazlarındaki (NAS) önemli zafiyetleri giderdiğini duyurdu.
Photo Station yazılımının 5.4.10, 5.7.13 veya 6.0.18’den önceki sürümlerini etkileyen güvenlik açıkları, siber tehdit unsurlarının NAS cihazlarında uzaktan zararlı kodların çalıştırmalarına olanak tanıyor.
CVE-2021-34354, CVE-2021-34356 ve CVE-2021-34355 kodlu zafiyetler depolanmış Cross Site Scripting (XSS) güvenlik açıkları olarak duyuruldu.
Zafiyetler, siber tehdit unsurlarının sistemlere zararlı kodları uzaktan enjekte etmesine ve hedeflenen sunucularda kalıcı olarak depolamasına imkan veriyor.
YAZILIMLAR SON VERSİYONLARINA GÜNCELLENMELİ
Firma ayrıca, saldırganların rastgele komutlar çalıştırmasına yol açan QVR IP video gözetim yazılımını çalıştıran bazı kullanım ömrü dolmuş cihazları etkileyen CVE-2021-34352 kodlu komut enjeksiyon zafiyetini giderdi. Söz konusu zafiyeti istismar eden saldırganlar, güvenliği ihlal edilmiş ağ depolama cihazlarının tamamen ele geçirebiliyor.
Kullanıcıların QNAP NAS cihazlarında yazılımları en kısa zamanda son sürümlere güncellemeleri tavsiye ediliyor.
QNAP, geçen yıl eylül ayında NAS cihazlarına yönelik fidye yazılımı saldırılarında artış olabileceğine ilişkin uyarılarda bulunmuştu.
Bir şeyleri bilmek ve yapmak çok farklıdır aslında. Çoğu zaman yaptıklarımız bizim için kazanılmış refleksler olmanın ötesine geçemez, sanıyorum bu yüzdendir ki “monoton” sıfatını çokça kullanmaya başladık artık. Bununla birlikte, bilmek ve yapmak arasındaki dengeyi sağlayarak bir sentez yapmanın, günümüz çağını yakalayabilmenin anahtarı olduğuna inanıyorum. Yani düşünebilmeyi ve refleks gösterebilmeyi aynı anda yapmak, “harekete geçmek”. 17 yaşındaki bir genci, beni öğrenmeye iten şey de bu oldu; harekete geçme isteği. Cisco Networking Academy ile de bu sayede tanıştım.
Bilgisayar kullanmanın ayrıcalık olduğu zamanlardan olmazsa olmaz haline geldiği zamanlara geçiş çok hızlı gerçekleşti, tıpkı İngilizce ve zamanında ayrıcalık olan diğer yetkinlikler gibi. Günümüzde ise bilgisayar, daha genel ifade edecek olursak teknik bilgi birikimi bir ayrıcalık halinde. Peki yakın gelecekte de böyle mi olacak? Gerek donanımsal gerek yazılımsal becerilere duyulan ihtiyaç giderek artıyor. Öğrenme sürecinin başlamasını sağlayan temel neden, bir şeye karşı duyulan ihtiyaçtır. Bu durumda teknik bilgiye duyulan ihtiyaç arttıkça, öğrenme sürecine giren insanlar da paralel şekilde artacaktır.
Örnek vermek gerekirse, 2 yıl öncesi ile şu anı kıyasladığımızda yazılımla uğraşan insan sayısında inanılmaz bir artış var. 2 yıl önce yazılım kelimesi bile bizleri heyecanlandırmaya yeterken, şimdilerde 7 yaşındaki çocuklara yazılım ve algoritma dersi veren okullar, liseli hackerlar, liseli yazılım start-upları gibi kavramlar oldukça normal ve yaygın hale geldi. Teknolojinin hızı arttıkça, devirler arası geçiş sıklığı ve hızı da artıyor. Teknik becerinin ayrıcalık değil temel yetkinlik olduğu çağ hızla yaklaşıyor. Bu sürecin başlıca yapıtaşlarından biri elbette ki bilgisayarlar. Peki ne kadar tanıyoruz bilgisayarları? Bu kadar çok kullandığımız, yanımızdan eksik etmediğimiz bu mühendislik harikalarını gerçekte ne kadar kullanabiliyoruz? Yoksa bilgisayar kullanmak da bir refleks haline mi geldi artık bizim için? Bu soruları kendime sormaya başladığımda, uzun zamandır hayıflandığım teknik bilgi yetersizliğimin sebebini fark etmiş oldum.
Cisco Networking Academy; gerek eğitim içeriği gerek verdiği belgelerin uluslararası geçerliliği açısından herkes tarafından dünyanın en saygın bilişim eğitimleri arasında gösteriliyor. IT Essentials ve CCNA1 eğitimlerimi tamamladıktan sonra gerçekten de bilgisayar ve “network” hakkında kısa sürede oldukça kapsamlı ve işlevsel bilgiler edinmiş halde buldum kendimi. Bu eğitimi benim için daha da ileriye taşıyan çok önemli bir faktör de, tecrübelerinden ve bilgilerinden yararlandığım, bana sonsuz destek olan pek çok ağabey ve abla ile birlikte geçen bir süreç olmasıydı. Bu bir şeyi daha anımsamamı sağladı. Nasıl ki bilgisayarları insan zihnine benzetiyorsak ve yapay zekâ gibi gelişmeler bu benzetmenin ışığında gerçekleşiyorsa; networklerin gelişimine ışık tutacak olan benzetme de birbirimizle paylaşabilme yetimize, yani iletişim kurma becerilerimize dayanıyor. Cihazlar arası etkileşim ve etkileşim kanalları, IoT, IoE gibi gelişmeler aslında “iletişim” kavramına eşdeğer.
Bu noktada sormak istediğim bir başka soru ise; teknik bilgi yakın gelecekte bir zorunluluk olacaksa, bizler yakın geleceğin başrolleri olacak olan gençleri ne kadar iyi hazırlıyoruz? Eğitimdeki çoğu kişi ya üniversite mezunu ya da üniversitede son yıllarını geçirmekte olan insanlardı. Her ne kadar günümüz gençleri için teknolojinin içine doğuyorlar dense de, gençlere teknolojiyi öğretiyor muyuz yeteri kadar? Bu sefer kaçırırsak yakalamamızın imkansıza yaklaşacağı bir tren geçiyor önümüzden, teknoloji ve bilişim. Sanıyorum ki bu trene yeni vagonlar eklemenin yegane yolu, biz gençlere reflekslerimizi harekete dönüştürebilmeyi öğretecek, bizlere önderlik edecek ve imkanlar sağlayacak olan lokomotif yetişkinlerimizden başkası değil.
Siber Bülten abone listesine kaydolmak için doldurunuz
