Almanya, Rusya’nın Almanya’nın savunma ve teknoloji sektörüne yönelik siber saldırılarını protesto etmek için üst düzey bir Rus elçiyi çağırdı.
Almanya Dışişleri Bakanlığı, geçen yıl yaşanana ve Rusya’nın sorumlu olduğunu iddia edilen bilgi güvenliği olaylarına karşı diplomatik tavrını koymak için üst düzey bir Rus elçiyi görüşmeye çağırdı.
2023 saldırıları, Berlin’in Ukrayna’ya tank gönderme kararının ardından bazı web sitelerinin çevrimdışı bırakıldığı saldırılar olarak değerlendiriliyor. Bu saldırılar, Rusya’nın askeri istihbaratıyla bağlantılı bir hacker grubunun eylemi olarak kabul ediliyor.
Alman yetkililere göre, saldırganlar, Microsoft Outlook e-posta servisindeki o zaman keşfedilmemiş bir zafiyeti kullandılar ve etkilenen şirketlerin sunucularını ele geçirdiler.
Dışişleri Bakanı Annalena Baerbock, Avustralya ziyareti sırasında bir basın toplantısında, “Bu siber saldırıyı açıkça APT28 olarak adlandırabileceğimizi söyleyebiliriz, ki bu Rusya’nın askeri istihbarat servisi tarafından yönetilen bir grup” diye konuştu. Baerbock ayrıca başka bir konuşmasında Rusya’nın siber casusluk faaliyetlerinin sonuçlarıyla karşı karşıya geleceğini söyledi.
İçişleri Bakanı Nancy Faeser ise Rus cyber saldırılarını ülke demokrasisine yönelik bir tehdit olarak nitelendirdi ve Almanya’nın AB ve NATO ile birlikte hareket ettiğini vurguladı. Rusya’yı kınayan NATO ve AB yetkilileri de saldırıları “kötü niyetli” olarak nitelendirdi.
Siber güvenlik firması SOCRadar, Microsoft’un Azure bulut hizmetindeki dâhili bilgileri depolayan herkese açık bir depolama sunucusu keşfetti.
SOCRadar’dan güvenlik araştırmacıları Can Yoleri, Murat Özfidan ve Egemen Koçhisarlı’nın ortaya çıkardığı zafiyet Microsoft tarafından giderildi.
Kurumların güvenlik zafiyetlerini bulmalarına yardımcı olan şirket, Microsoft’un Azure bulut hizmetinde barındırılan ve Microsoft’un Bing arama motoruyla ilgili dâhili bilgileri depolayan herkese açık bir depolama sunucusu keşfetti.
Azure depolama sunucusu, Microsoft çalışanları tarafından diğer dâhili veri tabanlarına ve sistemlere erişmek için kullanılan parolaları, anahtarları ve kimlik bilgilerini içeren kod, komut dosyaları ve yapılandırma dosyalarını barındırıyordu.
Ancak depolama sunucusunun kendisi bir parola ile korunmuyordu ve internet üzerindeki herkes tarafından erişilebiliyordu.
Yoleri’nin yaptığı açıklamada, açığa çıkan verilerin, kötü niyetli kişilerin Microsoft’un dâhili dosyalarını depoladığı diğer yerleri belirlemelerine ya da bu yerlere erişmelerine yardımcı olabileceğini söyledi. Yoleri, bu depolama yerlerinin tespit edilmesinin “Daha önemli veri sızıntılarına yol açabileceğini ve muhtemelen kullanılan hizmetleri tehlikeye atabileceğini” vurguladı.
MICROSOFT’TAN TEBRİK
Araştırmacılar güvenlik açığını 6 Şubat’ta Microsoft’a bildirdi. Microsoft ise 5 Mart’ta sızan dosyaların güvenliğini sağladığını açıkladı.
Microsoft’tan Jeff Jones, “Ortaklarımıza bu sorunu sorumlu bir şekilde bildirdikleri için teşekkür ediyoruz.” ifadelerini kullandı.
Jones, bulut sunucusunun ne kadar süreyle internete açık kaldığını ya da SOCRadar dışında herhangi birinin içerideki açık verileri keşfedip keşfetmediği hakkında yorum yapmadı.
Almanya merkezli otomobil üreticisi Porsche, yeni bir bug bounty programı başlattığını duyurdu.
Firmanın siber güvenlikten sorumlu genel müdürü (CISO) Jörg Möbes sosyal medya üzerinden yaptığı açıklamada, “Müşteri, çalışan ve şirketlerin verilerinin korunması Porsche için en yüksek önceliktedir. Bundan sonra güvenlik önlemleri kapsamında atacağımız adım bug bounty ödül programlarıdır” ifadelerini kullandı.
Bilgisayar sistemlerinin her geçen gün daha fazla kullanılmaya başladığı otomobiller, siber tehdit aktörlerinin de vazgeçilmez hedefleri arasında yer alıyor.
Siber güvenlik zafiyetlerini bulan ve bu açıkların ayrıntılarını Google’a bildiren kişiler, 2022 yılında şirketin Zafiyet Ödül Programları (VRP) kapsamında rekor bir yıl yaşadı.
Toplamda 2 bin 900’den fazla güvenlik araştırmacısı güvenlik açıklarını bildirerek Google’dan ödül kazanırken Google, bugüne kadarki en yüksek ödeme miktarını gerçekleştirdi.
GOOGLE, MICROSOFT’LA REKABET EDİYOR
Google’ın 2022’deki VRP bug bounty programı, 12 milyon doların üzerinde ödeme gerçekleştirerek rekor bir seviyeye ulaştı. Bu, önceki yıllarda ödenen 8,7 milyon dolarlık zafiyet ödüllerini geride bıraktı. Microsoft’un ödeme miktarıyla rekabet etmek amacıyla, Google ödüllendirme programlarını genişletti ve yeni programlar ekledi.
YUVAL AVRAHAMİ 133 BİN DOLAR KAZANDI
Google’dan en çok ödül kazanan kişi Palo Alto Networks Unit 42 analisti Yuval Avrahami oldu.
Avrahami’nin, Google Kubernetes Engine (GKE) Autopilot’ta bulduğu zafiyetler ve saldırı yöntemleri sayesinde bir saldırganın sistemden kaçması, yetkilendirme düzeyini yükseltmesi ve erişimi korumak için arka kapılar oluşturması mümkün hâle geliyordu.
Google ise Avrahami’yi en büyük ödül olan 133.337 dolarla ödüllendirdi. Sivanesh Ashok ve Sreeram KL, Google Compute Engine’deki SSH anahtar enjeksiyonu ve Google Cloud Workstations’da yetkilendirme atlatma üzerine yaptıkları araştırmalarla 73.331 dolarlık ödül kazandı.
Kubernetes’teki ayrıcalık yükseltme vektörleri ve Azure AKS, Amazon EKS ve Google GKE gibi Kubernetes barındırma sağlayıcılarında bulunan zafiyetler nedeniyle bazı araştırmacılara da 17.311 dolarlık ödül verildi.
BUG BOUNTY PROGRAMLARI ŞİRKETLER İÇİN ÖNEMLİ BİR ROL OYNUYOR
Google ve diğer şirketlerin bu ödüllendirme programları, şirketlerin güvenlik açıklarını hızlı bir şekilde tespit etme ve düzeltme sürecini destekliyor. Bunun yanı sıra bu programlar dijital güvenlik alanında önemli bir rol oynuyor.
Google, Google Home Mini adlı akıllı hoparlöründe keşfedilen güvenlik zafiyetini şirketle paylaşan güvenlik araştırmacısına 107.500 dolar ödedi.
Güvenlik araştırmacısı Matt Kunze, kablosuz ağ yakınındaki bir saldırganın cihazda sahte hesap oluşturup çeşitli eylemler gerçekleştirmek için istismar edilebilir olduğunu kanıtladı.
ABD’li teknoloji devinin piyasaya sunduğu Google Home Mini akıllı hoparlörü, Google Asistan ile entegre bir şekilde evinizdeki akıllı cihazları yönetmesiyle biliniyor.
Işıkları açıp kapatmaktan müzik açmaya, televizyonları sesle yönetmekten soracağınız soruların cevaplarına, yemek söylemekten arama yapmaya kadar birçok fonksiyona sahip olan bu cihazlar günümüzde oldukça popüler.
Güvenlik araştırmacısı Matt Kunze ise söz konusu cihazda bir saldırganın sahte bir hesap oluşturup bu hesabı kullanarak cihaza internet üzerinden uzaktan komutlar gönderilebileceğini, mikrofona erişilebileceğini, yerel ağda rastgele HTTP istekleri göndererek Wi-Fi şifresini açığa çıkarabileceğini veya cihazın bağlı olduğu diğer cihazlara doğrudan erişebileceğini ortaya çıkardı.
ZAFİYETİN PoC’Sİ YAYIMLANDI
Matt Kunze, bir saldırganın kurbanları gözetlemek, kurbanın ağında keyfi HTTP istekleri göndermek ve hatta bağlantılı cihazdaki keyfi dosyaları okumak veya yazmak için bu sorunlardan nasıl yararlanabileceğini gösteren kavram kanıtı (PoC) paylaştı.
Kunze, “Bir saldırganın bağlantı sürecini kurcalayarak bir hesabı Google Home uygulaması olmadan akıllı hoparlöre nasıl bağlayacağını düşünerek hareket ettim.” diyerek keşfettiği zafiyeti nasıl bulduğunu aktardı.
Kunze, bunu yapmak için “Hesap bağlama sırasındaki HTTP isteklerine müdahale ederek temel cihaz bilgilerinin yerel API aracılığıyla alınmasının ardından Google’ın sunucularına cihaz bilgilerini içeren bir bağlantı isteği gönderilmesini ve bağlantı isteği yükündeki dizgeleri sahtelerle değiştirerek arka kapı oluşturabildiğini” ifade etti.
Kunze, daha sonra da Google Home uygulaması olmadan bağlantı sürecini yeniden uygulamak ve akıllı hoparlörün kontrolünü ele geçirmek adına gerekli yükü oluşturmak için bir Python betiği oluşturduğunu söyledi.
Söz konusu zafiyeti istismar edebilen bir saldırgan cihaz üzerinde uzaktan sesli komutlar çalıştırabiliyor, zararlı rutinler oluşturabiliyor, aramalar yapabiliyor, bağlı cihazlara erişebiliyor.
GOOGLE ZAFİYETİ GİDERDİ
Google Home Mini akıllı hoparlöründeki zafiyeti ilk olarak Ocak 2021’de Google’a bildirdiğini belirten Kunze daha sonra Google’ın zafiyeti giderdiğini belirtti.
Google Home cihazının yetkisini kaldırmak hâlâ mümkün olsa da ‘kurulum modu’ artık hesap bağlantısını desteklemiyor. Üstelik Google, akıllı hoparlörlere başka korumalar da eklendi.
Google, hem Nest hem de Fitbit cihazlarındaki güvenlik açıkları için sunulan ödülleri artırdıktan bir ay sonra, Mayıs 2022’de araştırmacıya bir de bonus verdi.
