Popüler mesajlaşma uygulaması WhatsApp’ta keşfedilen kritik zafiyetler, siber tehdit aktörlerinin cihazınızı uzaktan hackleyerek kontrolü ele geçirmesine ve casus yazılımlar da dahil zararlı yazılımlar göndermesine izin veriyor.
Android ve iOS işletim sistemleri için yayımlanan güncellemelerle söz konusu güvenlik açıkları giderildi.
9,8 kritiklik seviyesinde olan CVE-2022-36934 kodlu zafiyet sadece bir video görüşmesi yoluyla sistemde rastgele kod yürütülmesine olanak tanıyor.
Zafiyet WhatsApp ve WhatsApp Business’ın 2.22.16.12’den önceki versiyonlarını etkiliyor.
7,8 kritiklik seviyesindeki CVE-2022-27492 kodlu zafiyet ise bir video dosyası göndererek cihazın kontrolüne imkan sağlıyor.
Alternatif taksi uygulaması Uber’i hedef alan ve kişisel bilgilerin sızmasına yol açan siber saldırıda MFA Fatigue (çok faktörlü kimlik doğrulaması yorgunluğu) taktiği ön plana çıktı.
1- SALDIRIDA HANGİ YÖNTEM KULLANILDI?
Genç bir hacker, Uber’in sistemlerine erişim sağladığını iddia etti ve saldırı veri ihlallerine yol açtı. Sözkonusu ihlalin boyutu tam olarak netleşmese de yöntemleri her geçen gün ortaya çıkıyor. Tehdit aktörünün ilk olarak şirkette çalışan bir kişiyi hedef aldığı ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama bildirimi göndermek suretiyle giriş yapmaya çalışan kişide oluşan “MFA Fatigue” zafiyetini istismar ettiği düşünülüyor.
Geçtiğimiz hafta araç paylaşım devi Uber “bir siber güvenlik olayına” müdahale ettiğini ve ihlalle ilgili olarak kolluk kuvvetleriyle temasa geçtiğini doğruladı. Saldırının sorumluluğunu 18 yaşında bir hacker olduğunu iddia eden bir kişi üstlendi. Saldırganın geçtiğimiz hafta perşembe gecesi Uber’in Slack kanalında “Merhaba bir hacker olduğumu ve Uber’in bir veri ihlali yaşadığını duyuruyorum” şeklinde bir paylaşımda bulunduğu bildirildi. Slack gönderisinde ayrıca, hackerın ihlal ettiğini iddia ettiği bir dizi Uber veritabanı ve bulut hizmeti de listelendi.
2-UBER’DE MEYDANA GELEN VERİ İHLALİNİN BOYUTLARI NE KADAR?
İhlali ilk olarak bildiren New York Times gazetesine göre, şirket Perşembe akşamı Slack ve diğer bazı dahili hizmetlere erişimi geçici olarak durdurdu. Cuma günü yapılan bir bilgi güncellemesinde ise şirket, “dün önlem olarak kaldırdığımız dahili yazılım araçları tekrar çevrimiçi hale getiriliyor” dedi. Uber ayrıca Cuma günü yaptığı açıklamada, geleneksel ihlal bildirim diline başvurarak, “olayın hassas kullanıcı verilerine (tarama geçmişi gibi) erişimi içerdiğine dair hiçbir kanıt olmadığını” söyledi. Ancak hacker tarafından sızdırılan ekran görüntüleri, Uber’in sistemlerinin derinlemesine ve kapsamlı bir şekilde tehlikeye atılmış olabileceğini ve saldırganın erişemediği bilgilerin fırsat bulamamaktan değil vakit sınırından kaynaklı olabileceğini ortaya koyuyor.
3-GEÇMİŞTEKİ BENZER BİR SALDIRI OLDU MU?
Ofansif güvenlik mühendisi Cedric Owens, hackerın şirkete sızmak için kullandığını iddia ettiği kimlik avı ve sosyal mühendislik taktikleri hakkında “Bu cesaret kırıcı ve Uber kesinlikle bu yaklaşımın işe yarayacağı tek şirket değil. Bu saldırıda şu ana kadar bahsedilen teknikler, ben de dahil olmak üzere pek çok Red Team üyesinin geçmişte kullandıklarına oldukça benziyor. Ne yazık ki, bu tür ihlaller artık beni şaşırtmıyor.” ifadelerini kullandı.
WIRED’ın görüşme taleplerine cevap vermeyen saldırgan, ilk olarak bireysel bir çalışanı hedef alarak ve kendisine tekrar tekrar çok faktörlü kimlik doğrulama giriş bildirimleri göndererek şirket sistemlerine erişim sağladığını iddia ediyor. Hacker, bir saatten fazla bir süre sonra aynı hedefle WhatsApp üzerinden iletişime geçerek Uber BT çalışanı gibi davrandığını ve hedefin oturum açmayı onaylamasıyla çok faktörlü kimlik doğrulaması bildirimlerinin kesileceğini söylediğini iddia etti.
4-SALDIRI SİSTEMİ HANGİ ZAFİYETLERE AÇIK HALE GETİRDİ?
“MFA (çok faktörlü kimlik doğrulaması) yorgunluğu” veya “tükenme” saldırıları olarak bilinen bu tür saldırılar, hesap sahiplerinin rastgele oluşturulmuş bir parola oluşturmak gibi yollardan ziyade cihazlarındaki bir anlık bildirim yoluyla oturum açmayı onaylamaları gereken kimlik doğrulama sistemlerinden yararlanıyor.
MFA-istekli kimlik avları saldırganlar arasında giderek daha popüler hale geliyor. Her geçen gün daha fazla şirket iki faktörlü kimlik doğrulamasını kullandıkça hackerlar, bunu aşmak için kimlik avı saldırılarını giderek daha fazla geliştirdiler. Örneğin son Twilio ihlali, çok faktörlü kimlik doğrulama hizmetleri sağlayan bir şirketin kendisi tehlikeye girdiğinde sonuçların ne kadar korkunç olabileceğini gösterdi. Sisteme giriş için fiziksel kimlik doğrulama anahtarları gerektiren kuruluşlar, bu tür uzaktan sosyal mühendislik saldırılarına karşı kendilerini savunmada başarılı oldular.
5-SALDIRGANLAR SİSTEME SIZDIKTAN SONRA HANGİ HESAPLARA ERİŞİM SAĞLADI?
“Sıfır güven” ifadesi güvenlik sektöründe anlamsızlaşan bir moda sözcük haline gelse de Uber ihlali sıfır güvenin en azından ne olmadığının bir örneğini ortaya koymuş oldu. Saldırgan şirket içinde ilk erişimi sağladıktan sonra, Microsoft’un otomasyon ve yönetim programı PowerShell için komut dosyaları da dahil olmak üzere ağ üzerinde paylaşılan kaynaklara erişebildiklerini iddia ediyorlar. Saldırganlar, komut dosyalarından birinin erişim yönetim sistemi Thycotic’in bir yönetici hesabı için sabit kodlanmış kimlik bilgileri içerdiğini söyledi.
Saldırgan bu hesabın kontrolünü ele geçirerek Amazon Web Services, Google GSuite, VMware vSphere dashboard, kimlik doğrulama yöneticisi Duo ve kritik kimlik ve erişim yönetimi hizmeti OneLogin dahil olmak üzere Uber’in bulut altyapısı için erişim jetonu elde edebildiklerini iddia etti. Saldırgan tarafından sızdırılan ekran görüntüleri, OneLogin de dahil olmak üzere bu derin erişim iddialarını destekliyor.
Intellexa’nın devletlere iOS ve Android cihazlardan veri sızdıran bir casus yazılım sattığı ortaya çıktı
İsrailli girişimci Tal Dilian tarafından kurulan gözetim firması Intellexa, devletlerin emniyet ve istihbarat birimlerine 8 milyon dolar karşılığında istihbarat ve bilgisayar korsanlığı hizmeti sağladığı ortaya çıktı.
Vx-undergroud araştırmacıları, Intellect’in ticari teklifi görünümündeki birkaç gizli belgenin bazı görüntülerini paylaştı. Sızan belgeler, bir iOS Uzaktan Kod Yürütme sıfırıncı gün zafiyetinin 8 milyon dolar karşılığında satılmasına dair ayrıntılı bilgiler içeriyor.
Sızan belgeler, şirketin Android ve iOS cihazlardan uzaktan veri çıkarma (data extraction) hizmetleri sunduğunu gösteriyor. Firmadan yapılan teklif, tehdit aktörlerinin hem Android hem de iOS mobil cihazlarını tehlikeye atmasına olanak tanıyan uzaktan, tek tıklamayla tarayıcı tabanlı açıklardan yararlanmayı içeriyor. Tehdit aktörleri, hedefleri bir bağlantıya tıklamaları için yönlendirerek bu yazılımları kullanabiliyor.
ZAFİYETLER APPLE TARAFINDAN HENÜZ GİDERİLMEMİŞ OLABİLİR
Yazılımların Android 12 güncellemesi ve iOS 15.4.1’e karşı çalışması bekleniyor. Apple, iOS 15.4.1’i geçtiğimiz Mart piyasaya sürdü. Bu da yapılan teklifin görece yeni olduğu anlamına geliyor. Şu anda, söz konusu güvenlik açıklarının Apple tarafından giderilip giderilmediği tespit edilebilmiş değil.
Gözetim firmasının sızan belgelerinden biri, tek işlemli yazılımla hedef alınabilecek Android cihazlarının listesini içeriyor.
Vx-undergroud tarafından paylaşılan belgeler, gözetim endüstrisinin büyümeye devam ettiğini ve çok büyük miktarlarda kârların elde edilebileceğini gösteriyor.
Haziran ayında, Google’ın Tehdit Analizi Grubu’ndan (TAG) araştırmacılar, İtalya ve Kazakistan’daki bazı İnternet servis sağlayıcılarının (İSS’ler) casus yazılımlarını Android ve iOS kullanıcılarından bilgi alabilmesinde İtalyan gözetim firması RCS Labs’a yardımcı olduğunu ortaya çıkardı.
Google, açık kaynaklı projelerinde güvenlik açığını bulana 31 bin dolar ödül verecek.
ABD’li teknoloji devi düzenlediği yeni bir bug bounty yarışması (hata ödül programı) ile açık kaynaklı projelerindeki güvenlik açıklarını bulup bildirenleri ödüllendiriyor. Firma böylece yazılım tedarik zinciri güvenliğini güçlendirmeyi umuyor.
Açık Kaynak Kodlu Yazılım Güvenlik Açığı Ödül Programı (OSS VRP), açık kaynak kodlu güvenlik teknik program yöneticisi Francis Perron ve bilgi güvenliği mühendisi Krzysztof Kotowicz’e göre, hata avcılarına 100 dolar ve 31.337 dolar arasında ödeme yapacak. En yüksek ödemeler “olağandışı ve ilginç güvenlik açıklarını” bulanlara yapılacak.
Öte yandan, Google tarafından sürdürülen Bazel, Angular, Golang, Protocol Buffers ve Fuchsia gibi açık kaynak projelerinin “en hassas”larındaki güvenlik açıklarını bulan ve bildirenleri de büyük ödüller bekliyor.
Bu projeler, internet devinin birçok ürününde kullanılıyor. Örneğin, Google tarafından tasarlanan Go programlama dili, depolama ortamlarına yönelik analizlerde yoğun olarak kullanılırken, Fuchsia OS ise Alphabet’in sahip olduğu Nest de dahil olmak üzere akıllı ev cihazlarına güç veriyor.
2021 DERS OLDU, ÖDÜL PROGRAMLARINA AĞIRLIK VERİLDİ
Tedarik zinciri ve açık kaynaklı yazılım saldırıları açısından önemli bir yıl olan 2021’in ardından, Google’ın en son VPR’si (Güvenlik Açığı Ödül Programı) beyaz şapkalı hackerların tedarik zincirinin tehlikeye girmesine ve ürün güvenlik açıklarına neden olan tasarım sorunlarının yanı sıra sızdırılan kimlik bilgileri, zayıf parolalar ve güvensiz kurulumlara yol açabilecek güvenlik açıklarını tespit etmelerini istiyor.
Perron ve Kotowicz, “Geçen yıl, Codecov ve Log4j güvenlik açığı gibi tek bir açık kaynak güvenlik açığının yıkıcı potansiyelini gösteren önemli olaylar da dahil olmak üzere, açık kaynak tedarik zincirini hedef alan saldırılarda bir önceki yıla göre yüzde 650 artış görüldü” diye yazdılar ve eklediler:
“Google’ın açık kaynak projelerine odaklanan yeni Güvenlik Açığı Ödül Programı, hem Google kullanıcıları hem de dünya çapındaki açık kaynak tüketicileri için bu tür saldırılara karşı tedarik zincirini güvence altına almak da dahil olmak üzere siber güvenliği geliştirmeye yönelik 10 milyar dolarlık yatırım taahhüdümüzün bir parçasıdır.”
Google’ın bu yıl 12.’sini düzenlediği VRP’si yıllar içinde genişledi ve Chrome, Android ve diğer ürün ve projelere odaklanan hata ödülleri eklendi. Bu ayın başlarında, Google’ın Linux çekirdeğindeki hataları açığa çıkarmaları için araştırmacılara ödeme yapan Kubernetes tabanlı capture-the-flag projesi, ödemelerini kalıcı olarak 133.337 $’lık maksimum ödüle yükseltti.
Toplamda, Google geçen yıl çeşitli VPR’lerinde yaklaşık 700 araştırmacıya 8.7 milyon dolar ödül verdi.
BEYAZ SARAY TOPLANTISI SONRASI BUG BOUNTY MİKTARI ARTTI
Bu hamle aynı zamanda özel yazılım şirketlerinin yanı sıra federal hükümetin tedarik zinciri ve açık kaynak güvenliğini geliştirmeye yönelik daha geniş çaplı çabalarının bir parçası.
Mayıs ayında Beyaz Saray’da yapılan bir toplantının ardından Google ve diğer büyük teknoloji şirketleri, açık kaynak ve yazılım tedarik zinciri güvenliğini iyileştirmeye yönelik bir planın uygulanması için 30 milyon doların üzerinde yatırım yapacaklarına dair taahhütte bulunduklarını açıkladılar. Bundan kısa bir süre sonra Google, işletmelerin açık kaynaklı yazılım bağımlılıklarını güvence altına almalarını kolaylaştırmaya çalışan “Assured Open Source Software” adlı bir hizmet duyurdu.
Elon Musk’ın sahibi olduğu SpaceX’in internet hizmeti Starlink, firmayı hackleyen güvenlik araştırmacısını ödüllendirdi. Şirket, güvenlik seviyesini geliştirmek için üçüncü taraflardan gelen eleştirilere önem veriyor.
Starlink’i hacklemek için gereken 25 dolarlık bir çipin yeterli olacağını kim düşünebilirdi? Belçika’dan bir güvenlik araştırmacısı olan Lennert Wouters, Starlink’in ağına ve iletişim bağlantılarına girmeyi başardı ve tüm sistemi özgürce keşfetmeyi başardı.
Yapılan kulağa oldukça korkutucu gelse de, Wouters bunu kötü bir niyetle yapmadı. Saldırı hakkında kamuya açıklama yapmadan önce, durumu Starlink’e bildirdi. SpaceX’in saldırıya verdiği cevap ise sıradışıydı.
Wouters, Starlink’e girebilmek için kendisine ait olan bir Starlink uydu çanağını söktü. Daha sonra da bir Raspberry Pi mikro kontrol cihazından, elektronik anahtarlardan, flash depolamadan ve bir voltaj regülatöründen oluşan özel bir devre kartıyla modifiye etti. Düzeneği mevcut Starlink güç devre kartına (PCB) lehimledi ve bağladı. Bağlantının sağlanmasının ardından, araç sistemi geçici olarak kısa devre yapabildi ve bu da Wouters’a sisteme açılan bir yol sağladı. Wouters erişim elde ettikten sonra ağı özgürce keşfedebildiğini söyledi.
Wouters, tüm bulgularını SpaceX’e gereği gibi özel hata ödül programı aracılığıyla gönderdi. Bu sayede de şu anda ikinci sırada yer aldığı SpaceX bug avı onur listesine dahil oldu. SpaceX muhtemelen hacker’a bulduğu hata için para ödemesi yaptı çünkü programın amacı bu. Ancak miktar açıklanmadı.
Wouters’ın hikâyeyi kendi perspektifinden yayınlamasının ardından SpaceX altı sayfalık bir makaleyle cevap verdi. SpaceX, başlıktan itibaren, tüm güvenlik araştırmacılarını Wouters’ın yaptığını yapmaya, yani sistemin bug’ını bulmaya, davet ediyor.
SpaceX, başarısından ötürü Wouters’ı tebrik ederken, diğer yandan da bu tür bir saldırının ağ ve kullanıcıları için etkisinin düşük olduğuna da dikkat çekti. SpaceX’ten gelen açıklamada, “Sistemin her bir parçasına, işini yapmak için gereken minimum ayrıcalığı vermeyi amaçlıyoruz.” denilirken, güvenliği ihlal edilmiş tek bir ekipmanın tüm ağı etkilememesi gerektiği eleştirisi ise kabul edilmiş oldu. Bununla birlikte SpaceX, bir hackerın sürekli olarak izlenmeyen fiziksel erişime sahip olduğu bir cihazı korumanın zor olduğunu da belirtiyor. Tam da bu sebeple ‘bug avı’ devam ediyor.
