Rusya merkezli Operation Zero şirketi, Android ve iPhone’larda sıfırıncı gün açıkları bulanlara 20 milyon dolar vereceğini açıkladı.
Sıfırıncı gün açıklarını alan ve satan firma, müşterilerinin Android ve iPhone cihazları hacklemesine olanak tanıyacak 0-day zafiyetlerini keşfeden araştırmacılara 20 milyon dolar ödemeyi teklif etti.
Şirketin X uygulamasındaki resmî hesabından yaptığı paylaşımda sıfırıncı gün açıkları bulanlara yapacağı ödemeleri 200 bin dolardan 20 milyon dolara yükselttiğini duyurdu.
NATO ÜYESİ OLMAYAN ÜLKELERLE TİCARET YAPIYORLAR
Rusya merkezli olan ve 2021’de faaliyete geçen Operation Zero, sıfırıncı gün açıklarını alıp satan çeşitli şirketlerden bir tanesi olarak biliniyor.
Şirketin müşterileri arasında Rus özel şirketler ve hükûmet kurumları olduğu bilinirken şirketin resmî internet sitesinde “NATO üyesi olmayan ülkelerle” ticaret yaptıkları şerhi yer alıyor.
Operation Zero CEO’su Sergey Zelenyuk’a, neden sadece NATO üyesi olmayan ülkelere satış yaptıkları sorulduğunda, “Aşikâr nedenler dışında başka bir sebep yok” açıklamasını yaptı.
Zelenyuk, Operation Zero’nun şu anda sunduğu ödüllerin geçici olabileceğini, belirli ürünlerin fiyatlarının oluşumunun büyük ölçüde sıfırıncı gün piyasasındaki mevcudiyete bağlı olduğunu söyledi.
Zelenyuk ayrıca, “Cep telefonları için olan açıklar şu anda en pahalı ürünler ve çoğunlukla hükûmet aktörleri tarafından kullanılıyorlar. Bir aktör bir ürüne ihtiyaç duyduğunda, bazen diğer tarafların eline geçmeden önce ona sahip olmak için mümkün olduğunca fazla ödeme yapmaya hazır.” ifadelerini kullandı.
Bunun yanı sıra şirketin ödeyecekleri miktarı artırmasının rekabeti sağlamak ve geliştirici ekipleri kendi şirketleriyle çalışmaya teşvik etmek olduğu belirtildi.
GRİ PAZAR: ZERO DAY PİYASASI
En az on yıldır, dünyanın birçok ülkesindeki çeşitli şirketler, hatalar ve kusurlardan yararlanmak için hack tekniklerini satmak isteyen güvenlik araştırmacılarına ödüller teklif ediyor.
Hacker One ya da Bugcrowd gibi geleneksel hata ödül platformlarının aksine, Operation Zero gibi şirketler ürünlerinde güvenlik açığı bulunan satıcıları uyarmıyor, aksine bunları devlet müşterilerine satıyor.
Doğası gereği fiyatların dalgalandığı ve müşterilerin kimliğinin genellikle gizli olduğu gri bir pazar olan sıfırıncı gün piyasasında Operation Zero gibi çeşitli şirketler kamuya açık fiyat listeleri oluşturuyor.
Örneğin 2015’te kurulan bir şirket olan Zerodium, müşterilerin hedeften hiçbir etkileşim almadan bir Android cihazı hacklemesine olanak tanıyan bir açık zincirini 2,5 milyon satıyor. İnternet sitesine göre Zerodium, iOS’ta aynı tür bir açık zinciri için 2 milyon dolara satıyor.
Birleşik Arap Emirlikleri merkezli bir şirket olan Crowdfense, Android ve iOS’ta aynı tür hatalar zincirini 3 milyon dolara satıyor.
YASAL DÜZENLEMELERDEN UZAK
Sıfırıncı gün piyasası büyük ölçüde düzenlenmemiş durumda. Ancak bazı ülkelerde şirketler, faaliyet gösterdikleri hükûmetlerden ihracat lisansı almak zorunda kalabiliyor. Bu süreç esasen belirli ülkelere satış yapmak için izin istemeyi gerektiriyor ve bu izinler kısıtlı olabiliyor.
Söz konusu durum, siyasetten giderek daha fazla etkilenen parçalı bir pazar yaratıyor. Örneğin, Çin’de yakın zamanda kabul edilen bir yasa, güvenlik araştırmacılarının yazılım üreticilerini uyarmadan önce Çin hükûmetini açıklar konusunda uyarmasını zorunlu kılıyor. Uzmanlara göre bu yasa, Çin’in istihbarat amacıyla kullanmak üzere sıfırıncı gün piyasasını ele geçirdiği anlamına geliyor.
Güvenlik zafiyetlerini tarama araçları, sistem açıklarının her gün ortaya çıktığından ve birçok kurum için kritik önemde olduğundan BT departmanlarının vazgeçilmezleri arasında yer alıyor.
İşletim sistemi, donanım, uygulama ve ağ sistemlerindeki güvenlik zafiyetlerini tespit etmek isteyen pentesterlar için zafiyet tarama araçları kilit işlevde. Siber tehdit aktörlerini uzak tutmak için bir hayli önemli olan bu araçlardan en iyi 10 zafiyet tarama aracını sizin için derledik.
GÜVENLİK ZAFİYETİ TARAMA ARAÇLARI NE YAPAR?
Güvenlik zafiyeti tarayıcıları, sürekli ve otomatik tarama prosedürleriyle ağı potansiyel boşluklar için tarayabiliyor.
Tarama araçları internet üzerinde veya herhangi bir cihazımızda, BT departmanlarının güvenlik açığını tanımlamasına ve hem manuel hem de otomatik olarak düzeltmesine yardımcı oluyor.
Vulnerability Manager Plus, güvenlik zafiyetlerini tespit eden ve bunları gerçek zamanlı olarak azaltmaya yardımcı olan kapsamlı bir çözüm sağlamak için tehdit ve güvenlik zafiyeti yönetimi işlevlerini entegre ediyor.
Tüm güvenlik zafiyeti yönetim süreci, merkezî bir konsolla güvenlik zafiyetlerinin tespitinden düzeltilmesine kadar kolaylaştırılıyor.
Temel özellikleri şöyle sıralayabiliriz:
Birden fazla işletim sistemi, üçüncü taraf uygulamalar ve ağ cihazları için güvenlik zafiyetlerinin anlık tespiti.
Ağınızı güvenlik zafiyetlerinden korumak için otomatik yama.
Sıfırıncı gün güvenlik zafiyetlerini tespit etmek için gelişmiş tehdit istihbaratı ve resmî yamalar yayınlanmadan önce uygulanabilecek geçici çözümler.
En son CIS ölçütleri için otomatik kontroller sağlayarak ve uyumluluk durumu hakkında ayrıntılı raporlar oluşturarak ağınızda CIS uyumluluğu sağlar.
Güvenlik yapılandırma yönetimi ile ağ güvenliğinizi sıkılaştırır.
Ağınızı yüksek riskli yazılımlara karşı denetlemek için düzenli taramalar yapar, BitLocker şifreleme uyumluluğunu kontrol eder ve olası güvenlik zafiyetleri için aktif bağlantı noktalarını izler.
Web sunucusu ayarlarınızı güçlendirerek ihlal edilmelerini önler.
Ağ yöneticilerinin mevcut güvenlik zafiyetlerini kontrol etmesine olanak tanıyan saldırgan tabanlı analizler sağlar.
Ek olarak, otomatik taramalar, etki değerlendirmesi, yazılım risk değerlendirmesi, yanlış güvenlik yapılandırmaları, yama, sıfırıncı gün güvenlik zafiyeti azaltma tarayıcısı ve Web Sunucusu Sızma Testi ve sertleştirme, Vulnerability Manager Plus’ın diğer önemli özellikleri arasında yer alıyor.
Tripwire IP360, kullanıcıların şirket içi ve bulut varlıkları da dâhil olmak üzere ağlarındaki her şeyi tanımlamalarına olanak tanıyan, pazardaki önde gelen Güvenlik Zafiyeti Değerlendirme Tarama Araçlarından biri.
Tripwire, BT departmanlarının varlıklarına bir ajan ve ajan olmayan taramalar kullanarak erişmelerine imkan sağlıyor.
Ayrıca güvenlik zafiyeti yönetimi ve risk yönetimi ile entegre bir şekilde çalışarak BT yöneticilerinin ve güvenlik uzmanlarının güvenlik yönetimine bütünsel bir yaklaşım getirmelerine olanak tanıyor.
OpenVAS Vulnerability Scanner
OpenVAS Vulnerability Scanner, kapsamlı yapısı sayesinde BT departmanlarının sunucuları ve ağ cihazlarını taramasına olanak tanıyan en iyi güvenlik zafiyeti tarayıcı aracı olarak biliniyor.
Bu tarayıcılar bir IP adresi arar ve mevcut tesislerdeki açık portları, yanlış yapılandırmayı ve güvenlik zafiyetlerini tarayarak herhangi bir açık hizmet olup olmadığını kontrol ediyor.
Tarama tamamlandığında, otomatik bir rapor oluşturulur ve daha fazla çalışma ve düzeltme için e-posta olarak gönderiliyor.
OpenVAS harici bir sunucudan da çalıştırılabilir ve size tehdit aktörünün bakış açısını verir, böylece açık portları veya hizmetleri tanımlar ve bunlarla zamanında ilgilenir.
Hâlihazırda kurum içi bir olay müdahale veya tespit sisteminiz varsa, OpenVAS Ağ Pentesting Araçlarını ve uyarıları bir bütün olarak kullanarak ağ izlemenizi geliştirmenize yardımcı olacaktır.
Comodo HackerProof
Comodo HackerProof, BT departmanlarının güvenlik zafiyetlerini günlük olarak taramasına olanak tanıyan iyi özelliklere sahip bir başka önde gelen iyi güvenlik zafiyeti tarayıcısı.
PCI tarama seçenekleri, drive-by saldırılarını önleme ve yeni nesil web sitesi taramasına yardımcı olan Site Inspector teknolojisine sahip.
Ayrıca HackerProof, müşterilerinizin alışverişleri sırasında kendilerini güvende hissetmelerini sağlayan görsel bir damga sunuyor. Bu damga dönüşüm oranınızı arttırıp, yarıda kesilen ya da tamamlanmaktan vazgeçilen alışveriş sayısını azaltıyor.
Nessus Vulnerability Scanner
Nessus Professional, çok çeşitli işletim sistemleri ve uygulamalar üzerinde yama, yazılım sorunları, kötü amaçlı yazılım, reklam yazılımı kaldırma aracı ve yanlış yapılandırmalarla ilgileniyor.
Nessus, tehdit aktörleri bir ağa sızmak için kullanmadan önce güvenlik zafiyetlerini zamanında tespit ederek proaktif bir güvenlik prosedürü getiriyor ve ayrıca uzaktan kod yürütme zafiyetleriyle da ilgileniyor
Sanal, fiziksel ve bulut altyapısı dâhil olmak üzere ağ cihazlarının çoğuyla ilgileniyor.
Nexpose Community
Nexpose Community, Rapid7 tarafından geliştirilen bir güvenlik zafiyeti tarama aracı ve ağ kontrollerinizin çoğunu kapsayan açık kaynaklı bir çözüm.
Bu çözümün çok yönlülüğü BT yöneticileri için bir avantaj. Böylece herhangi bir yeni cihaz ağa eriştiği anda cihazları tespit edip tarayabilen bir Metasploit çerçevesine dâhil edilebilir.
Ayrıca gerçek dünyadaki güvenlik zafiyeti risklerini izler ve hepsinden önemlisi, buna göre düzeltmeler geliştirmek için tehdidin yeteneklerini tanımlıyor.
Nexpose şu anda bir yıllık ücretsiz deneme sunuyor.
Nikto
Nikto, Nexpose Community gibi çevrim içi kullanımı ücretsiz olan bir başka güvenlik zafiyeti tarayıcı aracı.
Nikto, sunucu işlevlerini anlamaya, sürümlerini kontrol etmeye, tehditleri ve kötü amaçlı yazılım varlığını belirlemek için web sunucularında bir test gerçekleştirmeye ve HTTPS, httpd, HTTP ve daha fazlası gibi farklı protokolleri taramaya yardımcı oluyor.
Ayrıca bir sunucunun birden fazla portunu kısa sürede taramaya yardımcı olan Nikto, verimliliği ve yetenekleri nedeniyle tercih ediliyor.
Retina Network Security Scanner
Retina Network Security Scanner, merkezî bir konumdan güvenlik zafiyeti yönetimiyle ilgilenen web tabanlı açık kaynaklı bir yazılımı.
Özellikleri arasında yama, uyumluluk, yapılandırma ve raporlama yer alıyor.
VCenter entegrasyonları ve uygulama tarama sanal ortamları için tam destek ile veri tabanları, iş istasyonları, sunucu analizi ve web uygulamaları ile ilgileniyor.
Eksiksiz bir çapraz platform güvenlik açığı değerlendirme araçları listesi ve güvenliği sunan birden fazla platformla ilgileniyor.
Wireshark
Wireshark, piyasadaki en güçlü ağ protokolü analizörlerinden biri olarak kabul ediliyor. Linux, macOS ve Windows cihazlarında başarıyla çalışıyor.
Birçok devlet kurumu, işletme, sağlık hizmetleri ve diğer endüstriler tarafından ağlarını çok keskin bir şekilde analiz etmek için kullanılıyor. Wireshark tehdidi tanımladıktan sonra, incelemek için her şeyi çevrim dışı hale getiriyor.
Wireshark’ın diğer önemli özellikleri arasında standart üç bölmeli paket tarayıcı, GUI kullanılarak gezilebilen ağ verileri, güçlü ekran filtreleri, VoIP analizi, Kerberos, WEP, SSL/TLS gibi protokoller için şifre çözme desteği ve daha fazlası yer alıyor.
Aircrack-ng
Aircrack-ng, BT departmanlarının Wi-Fi ağ güvenliğine dikkat etmelerine yardımcı oluyor.
Aircrack-ng, ağ denetimlerinde kullanılır ve Wi-Fi güvenliği ve kontrolü sunuyor.
Veri paketlerini yakalayarak kayıp anahtarlarla ilgilenir. NetBSD, Windows, OS X, Linux ve Solaris’te destekleniyor.
Güvenlik zafiyeti tarayıcı araçları, zafiyetlerin proaktif bir şekilde tespit edilmesine ve yamalanmasına yardımcı oluyor.
Otomatik tarama seçenekleri ile haftalık güvenlik zafiyeti analiz raporları oluşturabilir ve daha fazla bilgi edinmek için sonuçları karşılaştırabilirsiniz.
Türk siber güvenlik uzmanlarının tespit ettiği güvenlik açığı ABD’de Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) zafiyetler listesine girdi.
Trendyol şirketler grubunda çalışan uygulama güvenliği uzmanları Emre Durmaz ve Fatih Çelik imgproxy uygulamasında bir sıfırıncı gün zafiyeti keşfetti.
NIST tarafından CVE numarası verilen güvenlik açığı kurumca onaylandı.
ABD’li teknoloji devi Apple, siber tehdit aktörlerinin aktif olarak istismar ettiği kritik bir sıfırıncı gün zafiyetini giderdi.
Apple, saldırganların iPhone’ları, iPad’leri ve Mac’leri hacklemek için vahşi doğada istismar ettiği yeni bir 0-day zafiyetine yönelik güvenlik güncellemeleri yayımladı.
Apple’ın onardığı kritik seviyedeki 0-day, siber tehdit aktörlerinin rastgele kod yürütmesine olanak sağlıyordu.
SALDIRGANLAR SİSTEMDE RASTGELE KOD YÜRÜTÜYOR
CVE-2022-22620 kodlu ve 8,4’lük kritiklik seviyesine sahip 0-day uzak bir saldırganın savunmasız sistem güvenliğini aşmasına olanak sağlıyordu. Zafiyet, WeBkit’te HTML içeriği işlenirken ortaya çıkan use-after-free hatasından kaynaklanıyor. Uzak bir saldırgan, kurbana özel amaçlarla oluşturulmuş bir web sayfasını ziyaret etmesi için kandırabilir, use-after-free hatasını tetikleyebilir ve sistemde rastgele kod yürütebilir.
Güvenlik zafiyetinden başarılı bir şekilde yararlanılması, bir saldırganın iOS ve iPadOS işletim sistemlerinin güvenlik açığı bulunan sürümlerini çalıştıran iPhone ve iPad’lerde rastgele kod yürütmesine olanak tanıyor.
Apple’ın yaptığıaçıklamadaysa, “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır.” ifadeleri kullanıldı.
GÜNCELLEMELER ACİLEN YÜKLENMELİ
Söz konusu zafiyet birçok modeli etkilediğinden, etkilenen cihazlar arasında iPhone 6s ve üstü, iPad Pro’nun tüm modelleri, iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil), Big Sur ve macOS Monterey çalıştıran Mac’ler bulunuyor.
Apple’ın giderdiği 0-day muhtemelen yalnızca hedefli saldırılarda kullanılmış olsa da olası saldırı girişimlerini engellemek için güncellemelerin mümkün olan en kısa sürede yüklenmesi tavsiye ediliyor.
Bilgi güvenliği şirketi Zerodium, Microsoft Outlook e-posta istemcisinde uzaktan kod yürütülmesine (RCE) izin veren 0-day güvenlik zafiyeti ödüllerinin 400.000 dolara kadar yükseldiğini duyurdu.
Şirket tarafından atılan bir tweette yeni ödeme miktarının kalıcı olmadığı belirtilirken başvuru süresinin ne zaman sona ereceğinin hala net olmadığı ifade edildi.
Zerodium’un Windows’a ait Microsoft Outlook’ta bulunan RCE zafiyetini bulanlara yönelik düzenli olarak verdiği ödül 250.000 dolar. Microsoft’un e-posta istemcisi iletileri alırken veya indirirken ‘sıfır tıklama’ olarak adlandırılan ve herhangi bir etkileşim olmadan uzaktan kod yürütülmesini sağlayan güvenlik açığı için ise 400 bin dolar veriliyor.
ÖDÜL 250 BİNDEN 400 BİNE ÇIKARILDI
Zerodium tarafından yapılan açıklamada şu ifadeler yer aldı: “Microsoft Outlook RCE’leri karşılığında yapacağımız ödemeyi geçici olarak 250 bin dolardan 400 bin dolara çıkarıyoruz. Outlook’ta e-posta alırken veya indirirken, kötü amaçlı e-posta mesajını okumak veya bir eki açmak gibi herhangi bir kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmesine yol açan sıfır tıklama istismarlarını bildirecek kişiler arıyoruz.”
Şirket ayrıca e-postanın açılmasını veya okunmasını gerektiren zaafiyetler karşılığında daha düşük miktarlarda da olsa ödül verdiğini açıkladı. Zerodium ayrıca şu anda Mozilla Thunderbird’de uzaktan kod yürütülmesine yol açan açıklar için 200 bin dolara kadar ödül verdiğini ve 2019’dan bu yana verilen ödülün aynı olduğunu hatırlattı. Mozilla Thunderbird için Microsoft Outlook’ta olduğu gibi zaafiyet ödemeleri için de aynı koşullar geçerli.
BAŞVURU SÜRESİNİN UZUN OLACAĞI ÖN GÖRÜLÜYOR
Bir e-posta istemcisindeki RCE, saldırganlara mevcut tüm hesaplara erişim izni veriyor. Şirket sıfır tıklama zaafiyetlerini bildirmek için bir “deadline” belirtmemiş olsa da bu sürenin oldukça uzun olabileceği düşünülüyor.
31 Mart 2021’de Zerodium, WordPress RCE açıkları için ödülün geçici olarak üç katına çıktığını açıklamıştı, ödül bugün hala geçerli. En popüler açık kaynaklı içerik yönetim sisteminde (CMS) bir zafiyet bildirme karşılığında yapılan düzenli ödeme ise 100.000 dolar.
Şu anda, geçici olarak artırılan ödüllerin verildiği listede WordPress, Mozilla Thunderbird ve Microsoft Outlook etkin olarak görülüyor.
