Etiket arşivi: vulnerability

SOCRadar’ın güvenlik araştırmacılarından kritik keşif

27 Nisan 2024 Oğuzcan Balyemez Yorum yapın

Siber güvenlik firması SOCRadar, Microsoft’un Azure bulut hizmetindeki dâhili bilgileri depolayan herkese açık bir depolama sunucusu keşfetti.

SOCRadar’dan güvenlik araştırmacıları Can Yoleri, Murat Özfidan ve Egemen Koçhisarlı’nın ortaya çıkardığı zafiyet Microsoft tarafından giderildi.

Kurumların güvenlik zafiyetlerini bulmalarına yardımcı olan şirket, Microsoft’un Azure bulut hizmetinde barındırılan ve Microsoft’un Bing arama motoruyla ilgili dâhili bilgileri depolayan herkese açık bir depolama sunucusu keşfetti.

Azure depolama sunucusu, Microsoft çalışanları tarafından diğer dâhili veri tabanlarına ve sistemlere erişmek için kullanılan parolaları, anahtarları ve kimlik bilgilerini içeren kod, komut dosyaları ve yapılandırma dosyalarını barındırıyordu.

Ancak depolama sunucusunun kendisi bir parola ile korunmuyordu ve internet üzerindeki herkes tarafından erişilebiliyordu.

Mercedes ticari sırlarını ve kaynak kodlarını yanlışlıkla nasıl paylaştı?

Yoleri’nin yaptığı açıklamada, açığa çıkan verilerin, kötü niyetli kişilerin Microsoft’un dâhili dosyalarını depoladığı diğer yerleri belirlemelerine ya da bu yerlere erişmelerine yardımcı olabileceğini söyledi. Yoleri, bu depolama yerlerinin tespit edilmesinin “Daha önemli veri sızıntılarına yol açabileceğini ve muhtemelen kullanılan hizmetleri tehlikeye atabileceğini” vurguladı.

MICROSOFT’TAN TEBRİK

Araştırmacılar güvenlik açığını 6 Şubat’ta Microsoft’a bildirdi. Microsoft ise 5 Mart’ta sızan dosyaların güvenliğini sağladığını açıkladı.

Microsoft’tan Jeff Jones, “Ortaklarımıza bu sorunu sorumlu bir şekilde bildirdikleri için teşekkür ediyoruz.” ifadelerini kullandı.

Jones, bulut sunucusunun ne kadar süreyle internete açık kaldığını ya da SOCRadar dışında herhangi birinin içerideki açık verileri keşfedip keşfetmediği hakkında yorum yapmadı.

Sektörel

NATO, zafiyet yönetiminde IBM ile iş birliği yapacak

13 Aralık 2023 Onur Usta Yorum yapın

NATO siber güvenlik zafiyetleri yönetimi alanında IBM ile birlikte çalışacak.

NATO İletişim ve Bilgi Ajansı (NCI Agency) ile IBM Consulting kurumun ağlarındaki siber güvenlik görünürlüğünü ve varlık yönetimini iyileştirmeye yönelik bir sözleşme imzaladı.

ABD’li bilişim devi IBM, 2024 yılından itibaren NATO için özel olarak tasarlanmış, performansa dayalı Birleşik Varlık, Yapılandırma, Yama ve Zafiyet Yönetim Hizmeti sunacak.

IBM Consulting anlaşma sayesinde NATO’nun siber risklere yönelik görünürlüğünü artıracak ve potansiyel sorunları daha kolay ve hızlı bir şekilde yönetmesine olanak tanıyacak. NATO siber tehditleri taramak için IBM ara yüzünü kullanacak.

“SİBER TEHDİTLERE KARŞI HAYATİ BİR İŞ BİRLİĞİ”

NCI Agency CEO’su Ludwig Decamps konuya ilişkin şu değerlendirmelerde bulundu:

“Siber güvenlik sektörüyle ile iş birliği, kolektif siber dayanıklılığımızı artırmak ve siber tehditlere ve zafiyetlere daha hızlı yanıt vermek açısından hayati öneme sahip. Bugünkü anlaşma, daha hızlı ve karmaşık kaynak tedariki için daha çevik ve hızlı yaklaşımlara imkan tanıyan yeni bir gelişmiş tedarik sürecinde önemli bir kilometre taşını işaret ediyor,”

BugBounter, Avrupa’da ilk çözüm ortaklığını oluşturdu

IBM’in hizmeti, mevcut NATO varlık, yapılandırma ve yama çözümlerinin üzerine inşa edilecek. Ayrıca, hizmet varlık yapılandırma ve yama yönetimi bilgilerine dayanan, IT hizmet yönetimi ve finans ve denetim departmanlarının ihtiyaçlarını destekleyecek olan geniş bir kurumsal çerçeve oluşturmada yardımcı olacak.

Teknik

Google, akıllı hoparlör zafiyetini keşfedene 107 bin dolar bug bounty ödülü verdi

10 Ocak 2023 Oğuzcan Balyemez Yorum yapın

Google, Google Home Mini adlı akıllı hoparlöründe keşfedilen güvenlik zafiyetini şirketle paylaşan güvenlik araştırmacısına 107.500 dolar ödedi.

Güvenlik araştırmacısı Matt Kunze, kablosuz ağ yakınındaki bir saldırganın cihazda sahte hesap oluşturup çeşitli eylemler gerçekleştirmek için istismar edilebilir olduğunu kanıtladı.

ABD’li teknoloji devinin piyasaya sunduğu Google Home Mini akıllı hoparlörü, Google Asistan ile entegre bir şekilde evinizdeki akıllı cihazları yönetmesiyle biliniyor.

Işıkları açıp kapatmaktan müzik açmaya, televizyonları sesle yönetmekten soracağınız soruların cevaplarına, yemek söylemekten arama yapmaya kadar birçok fonksiyona sahip olan bu cihazlar günümüzde oldukça popüler.

Google Bug Bounty’de kesenin ağzını açtı: Zafiyeti bulana 31 bin dolar ödül!

Güvenlik araştırmacısı Matt Kunze ise söz konusu cihazda bir saldırganın sahte bir hesap oluşturup bu hesabı kullanarak cihaza internet üzerinden uzaktan komutlar gönderilebileceğini, mikrofona erişilebileceğini, yerel ağda rastgele HTTP istekleri göndererek Wi-Fi şifresini açığa çıkarabileceğini veya cihazın bağlı olduğu diğer cihazlara doğrudan erişebileceğini ortaya çıkardı.

ZAFİYETİN PoC’Sİ YAYIMLANDI

Matt Kunze, bir saldırganın kurbanları gözetlemek, kurbanın ağında keyfi HTTP istekleri göndermek ve hatta bağlantılı cihazdaki keyfi dosyaları okumak veya yazmak için bu sorunlardan nasıl yararlanabileceğini gösteren kavram kanıtı (PoC) paylaştı.

Kunze, “Bir saldırganın bağlantı sürecini kurcalayarak bir hesabı Google Home uygulaması olmadan akıllı hoparlöre nasıl bağlayacağını düşünerek hareket ettim.” diyerek keşfettiği zafiyeti nasıl bulduğunu aktardı.

Kunze, bunu yapmak için “Hesap bağlama sırasındaki HTTP isteklerine müdahale ederek temel cihaz bilgilerinin yerel API aracılığıyla alınmasının ardından Google’ın sunucularına cihaz bilgilerini içeren bir bağlantı isteği gönderilmesini ve bağlantı isteği yükündeki dizgeleri sahtelerle değiştirerek arka kapı oluşturabildiğini” ifade etti.

Kunze, daha sonra da Google Home uygulaması olmadan bağlantı sürecini yeniden uygulamak ve akıllı hoparlörün kontrolünü ele geçirmek adına gerekli yükü oluşturmak için bir Python betiği oluşturduğunu söyledi.

Söz konusu zafiyeti istismar edebilen bir saldırgan cihaz üzerinde uzaktan sesli komutlar çalıştırabiliyor, zararlı rutinler oluşturabiliyor, aramalar yapabiliyor, bağlı cihazlara erişebiliyor.

GOOGLE ZAFİYETİ GİDERDİ

Google Home Mini akıllı hoparlöründeki zafiyeti ilk olarak Ocak 2021’de Google’a bildirdiğini belirten Kunze daha sonra Google’ın zafiyeti giderdiğini belirtti.

Google Home cihazının yetkisini kaldırmak hâlâ mümkün olsa da ‘kurulum modu’ artık hesap bağlantısını desteklemiyor. Üstelik Google, akıllı hoparlörlere başka korumalar da eklendi.

Google, hem Nest hem de Fitbit cihazlarındaki güvenlik açıkları için sunulan ödülleri artırdıktan bir ay sonra, Mayıs 2022’de araştırmacıya bir de bonus verdi.

Siber Güvenlik

İspanyol şirket casus yazılım bağlantılarıyla Google’ı hedef almış

10 Aralık 2022 Zeynep Kılıç Yorum yapın

Google’ın Tehdit Analiz Grubu araştırmacıları, “kişiye özel Bilgi Güvenliği Çözümleri” sunan bir İspanyol şirketinin Chrome, Firefox ve Microsoft Defender antivirüs programındaki açıklardan yararlanarak casus yazılım dağıtmış olabileceğini söyledi.

Araştırmacılar, şirketin “Heliconia” adı verilen görünür istismar çerçevesi yazılımının “bir hedef cihaza bir payload dağıtmak için gerekli tüm araçları” temin ettiğini iddia etti. Ekip aktif bir exploit vakası tespit etmemiş olsa da araştırmacılar “bunların sıfırıncı gün saldırısı olarak kullanılmış olması muhtemel görünüyor.” diye ekledi.

ŞÜPHELER VARISTON ŞİRKETİNE İŞARET EDİYOR

Google’ın incelediği kod içindeki bir komut dosyası, diğer hizmetlerin yanı sıra “[kolluk kuvvetleri] tarafından dijital bilgilerin tespit edilmesini” destekleyen “Özel Güvenlik” çözümleri ve araçları sunan Barselona merkezli bir şirket olan Variston IT’ye atıfta bulunuyor.

Araştırmacılar, Google, Microsoft ve Mozilla’nın ilgili güvenlik açıklarını 2021’de ve 2022’nin başlarında düzelttiğini söyledi.

CyberScoop’tan Tonya Riley’in haberine göre, Google Tehdit Analizi Grubu araştırmacılarının ortaya çıkardığı söz konusu exploit şüphesi Beyaz Saray’ın ABD hükümetinin ticari casus yazılım kullanma kabiliyetini sınırlayacak bir talimat da dahil olmak üzere politika girişimlerini uygulamaya koymaya hazırlandığı bir sırada ortaya çıktı.

Yunanistan’ın Watergate’inde yeni gelişme: Tüm casus yazılım satışları yasaklandı

Habere göre söz konusu yasa teklifi ABD hükümetinin casus yazılım kullanması için esnek bir alan bırakabilir, ancak “bu önlem, Biden yönetiminin, dünyanın dört bir yanındaki kolluk kuvvetleri ve istihbarat teşkilatları tarafından kullanılan son derece müdahaleci yazılımların yarattığı gizlilik risklerini ele almak için gösterdiği en son çabayı içerecektir.”

CHROME’A ÜÇ GÜVENLİK AÇIĞI GÖNDERİLMESİYLE ORTAYA ÇIKTI

Heliconia, kimliği bilinmeyen bir üçüncü tarafın Chrome hata raporlama programına, her biri talimatlar ve kaynak kodu içeren bir arşivle birlikte üç güvenlik açığı göndermesiyle keşfedildi. Zafiyet raporları üç benzersiz isim içeriyordu: “Heliconia Noise”, “Heliconia Soft” ve “Files”.

Haziran ayında Google’daki aynı ekip, İtalya ve Kazakistan’daki hedeflerin telefonlarına kötü amaçlı uygulamalar yüklemek için adı açıklanmayan internet servis sağlayıcılarıyla birlikte çalışan RCS Labs adlı bir İtalyan casus yazılım firmasının faaliyetlerini ortaya çıkarmıştı.

Security Week’in 28 Kasım’daki haberi göre, bu yıl sekiz Chrome sıfır gün sorunu çözüldü ve en sonuncusu Şükran Günü’nde duyuruldu. Bu yazın başlarında Google Project Zero’dan Maddie Stone, 15 Haziran itibariyle 2022’de 18 sıfır açığın tespit edildiğini ve vahşi ortamda istismar edildiğini bildirdi. 2021 yılında, Project Zero’nun 2014 yılının ortalarında izleme çalışmalarına başlamasından bu yana kaydedilen en yüksek rakam olan 58 açık tespit edildi ve açıklandı.

İngiltere

İngiltere ülkedeki tüm cihazları zafiyetlere karşı tarayacak

29 Kasım 2022 Oğuzcan Balyemez Yorum yapın

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NSCS), ülkedeki internete açık tüm cihazları zafiyetlere karşı tarayacak.

Siber saldırılara karşı kullanıcılara yardım etmek ve güvenlik tutumlarını artırmak için yapılacak olan bu tarama görevi giderek karmaşıklaşacak.

YÜKSEK ETKİYE SAHİP ZAFİYETLER TARANACAK

NSCS’den yapılan açıklamada, “Ülkede bulunan ve internete bağlanabilen tüm cihazların zafiyetlere yönelik taranacağı” belirtildi.

Söz konusu taramaların amacını kamuoyuyla paylaşan NSCS, İngiltere’nin siber saldırılara karşı durumunu değerlendirmek, bağlı cihaz ve sistemlerin zafiyetlerini görmek olarak tanımladı.

Açıklamada “Yapılacak faaliyetler, yaygın ve özellikle yüksek etkisi olan zafiyetleri ve Birleşik Krallık’ta var olan, internete erişimi bulunan tüm sistemleri kapsayacak.” ifadeleri kullanıldı.

NSCS, “Taramalar ‘scanner.scanning.service.nscs.gov.uk’ ve iki IP adresiyle bulut bazlı ortamdaki araçlar yardımıyla gerçekleştirilecek.” dedi. Kurumun açıklamasında ayrıca “Birleşik krallık interneti taranmadan önce herhangi bir sorunu tespit etmek için tüm zafiyet incelemelerinin kendi ortamında test edildiği” bilgisine de yer verildi.

Fidye yazılım çetesi İngiltere’nin su şebekesine nasıl sızdı?

NSCS direktörü Ian Levy ise, “Kötü amaçlar için güvenlik zafiyetleri bulmaya çalışmıyoruz. Basit aramalarla başlayacağız fakat taramaların karmaşıklığını yavaşça artıracağız. Ne yaptığımızı ve niye yaptığımızı da açıklayacağız.” diye konuştu.

HASSAS VERİLER YANLIŞLIKLA TOPLANIRSA KALDIRILACAK

Yapılacak olan taramalardan toplanacak veriler, hizmet ve sunuculara bağlanırken gönderilen ve alınan verileri içerecek.

İstekler, taranacak sistemlerin güvenlik zafiyetinden etkilenip etkilenmediğini belirlemek için gereken minimum miktarda veriyi toplamak üzere tasarlanacak.

İşlemler sonucunda hassas veya kişisel veriler yanlışlıkla toplanırsa da bu verilerin kaldırılacağı taahhüt edilecek.

Kişiler, hariç tutulmasını istedikleri IP adreslerinin bir listesini e-posta yoluyla NSCS’ye göndererek sunucularının hükûmet tarafından taranmasını devre dışı bırakabilecek.

Siber Bülten