OCAK AYINDA NASIL HACKLENDİK? (2020)

SİBER SAVAŞ
CEPHESİNDEN NOTLAR
DERGİ
OCAK AYINDA NASIL HACKLENDİK?
SPARTA BİLİŞİM | www.sparta.com.tr

Starbucks API Anahtarı
Bir siber güvenlik uzmanı
tarafından Starbucks API
anahtarının çevrimiçi olarak
bulunabildiği tespit edildi.
Starbucks'taki geliştiricilerin,
saldırganlar tarafından dahili
sistemlere erişmek ve yetkili
kullanıcılar listesini değiştirmek
için kullanılabilecek bir API
anahtarını çevrimiçi erişilebilir
durumda bıraktığının
anlaşıldığı olay kritik olarak
değerlendirildi.

Mariah Carey Hacklendi
Ünlü şarkıcı Mariah Carey de
siber saldırı kurbanı ünlüler
kervanına katıldı.
Yılbaşı günü Twitter hesabı
hacklenen Carey’nin
hesabından birçok ırkçı ve
“tuhaf” tweet atıldı.
Parola güvenliği önemli!

SHITCOIN
Kriptopara dünyasına aşina
olanların özellikle ilginç isim ve
logo seçimi ile tanıyor
olabileceği “Shitcoin”in Google
Chrome uzantısı olarak sunulan
cüzdanı: “Shitcoin Wallet”.
Bu Google Chrome eklentisinin
kripto-cüzdana ait özel
anahtarları ve parolalarını
çaldığı anlaşıldı.
Chrome uzantısının kriptopara
cüzdanlarından ve
portallarından parolaları ve
özel anahtarları çalmak için
web sayfalarına JavaScript
kodu enjekte ettiği belirlendi.

Yine Sextortion
Sextortion denilen dolandırıcılık
e-postaları geçen yıl ülkemizde de
çok yaygın şekilde görüldü.
“Elimizde porno izlerken çekilmiş
görüntüleriniz var” şeklinde gelen e-
postalar ile internet kullanıcılarından
Bitcoin talep edildi.
Ocak ayında dolandırıcıların spam
filtreleri ve güvenli e-posta ağ
geçitlerini atlatmak için yeni taktikler
geliştirdiği fark edildi.
E-postalar yabancı dillerde (Rusça
gibi) gönderiliyor ve kullanıcıya kendi
dilinde sadece Google Translate’i
nasıl kullanabileceği anlatılıyor,
böylece spam filtreleri de
atlatılabiliyor.

Star Wars Saga
Siber suçluların Star Wars
Saga’nın popülaritesini
kullanarak çevrimiçi sitelerden
zararlı yazılım dağıttığı tespit
edildi. Çok popüler filmlerin
“Tam izle”, “Full HD izle” gibi
sahte bağlantıları ile zararlı
yazılım dağıtıldığı ve son
zamanlarda özellikle «Star
Wars The Rise of Skywalker»
bağlantılarında bu duruma
rastlandığı açıklandı.

D-Link Routerlar
Bazı D-Link Routerlarda
bulunan uzaktan kod yürütme
ve bilgi ifşası gibi zafiyetler
ortaya çıktı. Siber güvenlik
uzmanları tarafından çok
sayıda D-Link Routerın
etkilendiği zafiyetlerin kanıtları
(PoC) yayınlandı.
Kanıt videolarına
https://youtu.be/Q1HC5ExoE30
linkinden erişilebiliyor.

Microsoft 50 Alan Adını Engelletti
Kuzey Koreli siber
saldırganlardan oluşan Thallium
isimli gruba ait ve oltalama
saldırılarında kullanıldığı tespit
edilen 50 alan adı mahkeme
kararıyla kapatıldı.
Devlet kuruluşları ve
üniversiteler gibi pek çok
kuruluşu hedef alan oltalama
saldırılarında, hedeflerin
kullanıcı bilgilerine erişmek için
bu alan adları kullanılıyordu.
Yapılan saldırıların çoğunda
hedef bilgisayara uzaktan erişim
sağlayan KimJongRAT ve
BabyShark gibi zararlı
yazılımların yüklenmesi
amaçlanıyordu.

CISCO
DCNM (Data Center Network Manager)
Zafiyeti
Cisco DCNM (Data Center Network
Manager) kullanıcılarını etkileyen
bir düzine güvenlik açığı için yama
yayınladı.
Bu kritik zafiyetlerin bazılarının,
etkilenen Cisco DCNM
sistemlerinde saldırganların
yönetici yetkileri ile uzaktan izinsiz
kod yürütülebilmesine neden
olduğu açıklandı.
Zafiyetler, CVE kodları, etkilenen
ürün ve versiyon bilgileri ile
yayınlanan yamalara aşağıdaki
bağlantıdan ulaşılabilir:
https://tools.cisco.com/security/c
enter/publicationListing.x

CISCO
WEBEX VE IOS XE
Zafiyeti
Ocak ayının ortasına gelindiğinde ise
bu defa Cisco’nun web konferansı ve
video konferans uygulamaları
geliştiren şirketi Cisco Webex ve IOS
XE Yazılım ürünlerini etkileyen iki
yüksek seviyeli zafiyet duyuldu.
Webex video konferans
platformunda uzaktan kod
yürütülmesine de izin verdiği fark
edilen bu iki zafiyet için güvenlik
yamaları yayınlandı.
“Cisco Webex Video Mesh Node
Command Injection Vulnerability” ile
ilgili yayınlanan güvenlik bültenine
aşağıdaki linkten erişilebilir:
https://tools.cisco.com/security/cen
ter/content/CiscoSecurityAdvisory/ci
sco-sa-20200108-webex-video

CISCO
WEBEX’de 2. Zafiyet
Cisco Webex video konferans
platformunda CVE-2020-3142 kodu
ile takip edilebilen, parola korumalı
bir video konferans toplantısına
girmek için uzak, kimliği
doğrulanmamış bir saldırgan
tarafından kullanılabilecek yüksek
önem seviyesine sahip bir zafiyet
daha duyurdu.
Webex’de bu ay çıkan ikinci zafiyetin
Cisco tarafından yayınlanan
detaylarına aşağıdaki bağlantıdan
ulaşılabiliyor:
sco-sa-20200124-webex-unauthjoin

CISCO
FMC (Firepower Management Center)
Zafiyeti
Ocak ayının sonuna gelindiğinde
Cisco Firepower Management
Center (FMC) kullanıcılarını
ilgilendiren kiritik bir zafiyet
yayınlandı. Saldırganın, güvenlik açığı
bulunan aygıtların web tabanlı
yönetim arabiriminde yönetici
yetkilerini elde etmesine, kimlik
doğrulamasını atlatmasına ve rasgele
eylemler gerçekleştirmesine izin
verebilen bu zafiyet CVE-2019-16028
kodu ile takip edilebiliyor ve “yüksek
derecede kritik” (9.8) olarak
görülüyor.
Zafiyet ile ilgili detaylı bilgi ve çözüm
önerilerine aşağıdaki linkten
erişilebilir:
sco-sa-20200122-fmc-auth

Drupal CMS
Drupal CMS’de bulunan 1’i kritik 4
zafiyet için güncelleme yayınlandı.
Kritik zafiyeti istismar eden
saldırganların sunucuya zararlı bir tar
dosyası yükleyebildiği ve yüklediği
dosyayı hassas dosyaların üzerine
yazabildiği belirtildi.
Zafiyet kullanıcılar tarafından
yüklenen .tar, .tar.gz, .bz2 veya .tlz
uzantılı dosyaları işlemek üzere
yapılandırılmış Drupal web sitelerini
etkiliyor.
Kullanıcıların CMS sürümünün son
versiyonuna güncelleştirme
yapmaları gerekiyor.

TikTok Siber Tehdit Mi?
Sosyal medya kullanıcılarının kısa
videolar çekmesi ve
yayınlamasına yarayan Çin
menşeili mobil telefon
uygulaması dünya çapında 1.3
milyar indirmeye sahip.
Amerika ve diğer bazı ülkelerde
ise güvenlik endişeleri ve siber
casusluk şüphesi ile yakından
takip ediliyor.
Son olarak bir Amerikan askeri
sözcüsünden uygulamanın bir
“siber tehdit” olduğu yönünde
açıklama geldi ve Amerikan ordu
mensupları ile hükümet
çalışanlarının bu uygulamayı
kullanması yasaklandı.

TikTok Güvenlik Zafiyetleri
Ocak ikinci haftasına girerken ise TikTok
uygulamasında güvenlik zafiyetleri duyuldu.
CheckPoint araştırmacılarının keşfettiği
zafiyetler: SMS Link Spoofing, Open Redirect
ve XSS olarak belirtildi.
Her ne kadar düşük seviye zafiyet olarak
tanımlanmış olsalar da birleştirilerek
kullanıldığı takdirde kritik hale geleceği de
belirtildi.
Zafiyetlerin istismar edilmesi durumunda
saldırganlar kullanıcı profiline video
yükleme, video silme, gizli videoları açık hale
getirme ve kullanıcıya ait kişisel verileri ele
geçirme gibi yetkiler elde edebiliyor.
Saldırının nasıl gerçekleştirildiğini anlatan
videoya aşağıdaki linkten erişebilirsiniz:
https://www.youtube.com/watch?v=THYeyn
t-Ag8&feature=emb_title

İran vs Amerika Haberleri
ABD yetkilileri, Bağdat
Havaalanında öldürülen
Qassim Suleimani’nin ardından
karşılık olarak İran’dan
gelebilecek siber saldırılardan
endişe duyduğunu açıkladı.
Özellikle endüstriyel kontrol
sistemlerine dikkat edilmesi ve
üçüncü taraf erişimlerinin
gözlemlenmesi konusunda
uyarı yayınlandı.

Federal Depo Kütüphanesi
Programı Hacklendi
Uyarı yapılmasından sadece birkaç
gün sonra ABD federal hükümet
yayınlarını ücretsiz olarak kamuya
sunmak amacıyla oluşturulan ve
1141 depo kütüphanesi bulunan
“Federal Depo Kütüphanesi
Programı” İranlı siber saldırganlar
tarafından hacklendi ve anasayfasına
“Iranian Hackers!” yazılarak
Ayetullah Humeyni ve İran bayrağı
resimleri koyuldu.
Donald Trump ise İran Devrim
Muhafızlarından gelen bir yumruk
yerken resmedilmişti.
Sayfada ayrıca “Bu, İran’ın siber
güçlerinin ufak bir parçası” denildi.

Avrupa Enerji Sektörüne İran
Bağlantılı Trojan Saldırısı
İran bağlantılı olduğu düşünülen APT
gruplarının uzak bağlantı trojanı
(RAT) kullanarak Avrupa enerji
sektörünü hedef aldığı açıklandı.
Recorded Future güvenlik uzmanları
zararlı yazılımın PupyRAT isimli
arkakapı olduğunu, saldırganların
kurbanın sistemine tam erişim
sağlayan çok platformlu (Windows,
Linux, OSX, Android) ve çok işlevli bir
RAT (Remote Access Trojan)
olduğunu açıkladı.
İran’dan geldiği düşünülen saldırının,
Avrupa’daki yüksek önem derecesine
sahip ve kritik enerji kuruluşlarının e-
posta sunucularına ve hassas
verilerine yetkisiz erişim
sağlanmasına neden olabileceği
belirtildi.

Westat’a APT34’ten Saldırı
İran bağlantılı APT34 grubu,
işletmelere ve hükümet kuruluşlarına
hizmet veren ABD merkezli Westat
isimli araştırma şirketini hedef aldı.
Saldırı, Temmuz 2019’da bir Cambridge
araştırmacısından geliyor gibi görünen
oltalama e-postaları ile kurbanları üç
yeni zararlı yazılıma maruz bırakmaya
çalışan saldırıya benzetildi.
Saldırganlar, ABD hükümet yüklenicisi
Westat'ta çalışanlara “çalışan
memnuniyeti anketi” gibi görünen bir
oltalama belgesi gönderdi.
Excell dokümanı olarak gönderilen
anketteki makrolar etkinleştirildiğinde
içerisinde yer alan zararlı kod
vasıtasıyla TONEDAF arkakapısı ve
VALUEVAULT parola çalma programının
etkinleştiği belirlendi.

DeathRansom
İlk olarak Kasım 2019’da
karşılaştığımız fidye yazılım
görünümlü ancak esasında
düzgün şifreleme yapamayan
DeathRansom, “sahte fidye
yazılımı” olarak tanımlanıyordu.
Yalnızca dosya uzantılarını
değiştiren ve bir fidye notu
bırakan zararlı yazılımdan, dosya
uzantılarının düzeltilmesi ile
kurtulmak mümkün oluyordu.
Siber güvenlik uzmanları ilk
başta “şaka” olarak görülen fidye
zararlı yazılımının geliştiği ve yeni
kurbanlarının dosyalarının
“başarılı” şekilde şifrelendiği, 2
aydır yayılmakta olduğu
konusunda uyardı.

Avusturya Dışişleri
Bakanlığına Siber Saldırı
Avusturya Dışişleri Bakanlığı
“ciddi bir siber saldırı” ile karşı
karşıya olduğunu ve saldırının
devlet destekli olduğundan
şüphelendiklerini açıkladı.
"Saldırının şiddeti ve niteliği
nedeniyle, bunun devlet
destekli bir hedefli saldırı
olduğu göz ardı edilemez."
denilirken, erken fark edilip
hemen müdahale edilmesine
karşın saldırganların hassas
verilere erişim sağlayıp
sağlayamadığı anlaşılamadı.

Uzak Masaüstü Bağlantıları
(RDP) Hakkında Araştırma
Microsoft araştırmacıları, Microsoft Defender
ATP müşterileri arasında meydana gelen RDP
kaba kuvvet (brute force) saldırılarına dair
araştırma yayınladı. Çalışmaya 45.000 bilgisayar
dahil edildi. Uzmanlar, günde ortalama birkaç
yüz makinenin RDP kaba kuvvet saldırılarına
maruz kaldığını belirledi. Saldırganların fark
edilmemek için her gün az sayıda kombinasyon
denediğini ve günlerce bu denemelere devam
ettiği anlaşıldı. Saldırıların 0.08%’inin başarıya
ulaştığı, birkaç ay boyunca analiz edilen
işletmelerin her 3-4 günde bir RDP kaba kuvvet
saldırısına maruz kaldığı ve yaklaşık 1 makinenin
tehlikeye girme olasılığının yüksek bulunduğu
raporlandı.
Rapor sonucunda “Başarısız oturum açma ve ağ
bağlantılarındaki şüpheli etkinliklerin izlenmesi
ciddiye alınmalıdır; bir ağdaki değişen
dinamiklerle kendini güncelleyebilen gerçek
zamanlı bir anormallik tespiti gerçekten
sürdürülebilir bir çözüm sağlayabilir.” denildi.
Raporun tamamına aşağıdaki linkten erişilebilir:
https://www.microsoft.com/security/blog/2019
/12/18/data-science-for-cybersecurity-a-
probabilistic-time-series-model-for-detecting-
rdp-inbound-brute-force-attacks/

Japonya’nın “Aşk Oteli”
Arama Motorunda Veri İhlali
Japonya’da popüler bir arama
motoru olan “HappyHotel” aşk oteli
denilen otelleri aramak ve
rezervasyon yapmak için
kullanılıyordu ve Kasım ayında bir
veri ihlali yaşadıklarını duyurdu.
Aşk oteli (love hotels) adı verilen
oteller ise genellikle aldatan eşlerin
kullandığı yerler olarak biliniyor.
İsim soyad, e-posta adresi, kullanıcı
adı ve parola, doğum tarihi, telefon
numarası, ev adresi ve kredi kartı
bilgileri gibi verilerin çalındığı
anlaşılan veri ihlali sonucunda
kullanıcıların genellikle tehdit ve
şantaja maruz kaldığı biliniyor.
2015 yılında popüler bir “aldatma
sitesi” olan Ashley Madison benzer
şekilde hacklenmiş ve kullanıcıların
bir kısmının intiharına kadar giden
korkunç olaylar yaşanmasına neden
olmuştu.

50.000 Hastanın Verileri
Çalındı
A.B.D. – Minnesota Alomere
Hastanesi hastalarının kişisel
ve medikal verilerini içeren bir
veri ihlali yaşadığını ve bunun
sonucunda 49.351 hastasına
ait verilerin çalınmış
olabileceğini açıkladı.
Veri ihlaline neden olan olayın
ise iki hastane personeline ait
e-posta hesaplarının ele
geçirilmesi olabileceği
düşünülüyor.

Las Vegas’a Siber Saldırı
Amerika’da geçtiğimiz yıl sıklıkla
şehirlere yapılan siber saldırıları
duymuş ve şehir yönetimlerinde
yaşanan fidye yazılımı saldırılarına
rastlamıştık.
Bu defa Las Vegas şehrinde bir siber
saldırı yaşandığı ve bilgisayar
sistemlerinde veri ihlali olduğu ancak
hassas verilere erişim sağlanıp
sağlanmadığının bilinmediği
duyuldu.
Aylık olarak ortalama 279.000 saldırı
denemesi yaşadıklarını belirten şehir
yönetimi, şehir ağına her ay yaklaşık
2 milyon e-posta geldiğini ve
saldırganların şehrin iç ağına zararlı
yazılım barındıran bir e-posta ile
sızdıklarını düşündüklerini belirtti.

SNAKE Fidye Yazılımı
SNAKE isimli yeni bir fidye yazılımının
kuruluş ağlarını tehdit ettiği görüldü.
Dünya çapında bir tehdit haline gelen
SNAKE’in bireysel kullanıcıları değil
özellikle kuruluşları ve tekil bilgisayarları
değil tüm kuruluş ağını tehdit ettiği
belirlenmiş. SCADA sistemleri, sanal
makineler, endüstriyel kontrol sistemleri,
uzaktan yönetim araçları ve ağ yönetim
yazılımı gibi süreçleri durdurduğu tespit
edilen zararlı yazılım, dosya uzantılarına 5
karakterlik bir uzantı ekliyor (fatura.doc
dosyasını fatura.docIksrt yapmak gibi).
Şifreleme sonrası ise
C:UsersPublicDesktop altına “Fix-Your-
Files.txt” isimli bir fidye notu ve fidye
ödemesi ile ilgili iletişim için
bapcocrypt@ctemplar.com e-posta
adresini bıraktığı görülmüş.
Konuyla ilgili analiz raporu ve teknik
detaylar:
https://www.bleepingcomputer.com/new
s/security/snake-ransomware-is-the-next-
threat-targeting-business-networks/

Firefox - Sıfırıncı Gün Açığı
• Mozilla bir güvenlik güncellemesi
yayınlayarak Firefox tarayıcılarda CVE-2019-
17026 olarak tanımlanan sıfırıncı gün açığına
karşı önlem aldı.
• Aktif olarak kullanıldığı tespit edilen
zafiyet için Amerika Homeland Security’e
bağlı Siber Güvenlik ve Altyapı Güvenliği
birimi (CISA) da bir uyarı yayınladı ve bu
zafiyetten kaynaklanan olası bir istismar
durumunda saldırganların sistemin tam
kontrolünü ele geçirebileceğini belirtti.
• Mozilla tarafından yayınlanan bilgilere
https://www.mozilla.org/en-
US/security/advisories/mfsa2020-03/#CVE-
2019-17026 linkinden erişilebilir.
• Mozilla kullanıcılarının eğer güncelleme
yapmadılarsa 72.0.2 olan son sürüme
geçmeleri gerekiyor.

Firefox – Yasaklanan
Eklentiler
Mozilla, Firefox kullanıcılarını
korumak için birkaç hafta
içerisinde 200 zararlı eklentiyi
engellediğini, bu eklentilerin
kullanıcı bilgilerini çaldığının
fark edildiğini açıkladı.
Eklentilerin uzaktan kod
çalıştırma, tarayıcıya zararlı
yazılım yükleme, izinsiz veri
toplama, potansiyel zararlı
yazılım barındırma gibi
özellikler taşıdığı için
engellendiği belirtildi.

TrickBot’tan
PowerTrickBot’a
Popüler bankacılık trojanı
TrickBot 2016 yılının Ekim
ayından beri hayatımızda ve
trojanın ardındaki kişiler yeni
özellikler ekleyerek zararlı
yazılımı geliştirmeye devam
ediyor.
Şubat 2019’da Trend Micro
uzmanları tarafından kullanıcı
bilgilerini çalmak için kullanılan
yeni bir modül keşfedilmişti.
Ocak ayında ise SentinelLabs
uzmanları TrickBot’un yeni bir
PowerShell arka kapı
kullanarak özellikle yüksek
değerli hedeflere (finans
kuruluşları gibi) yöneldiğini
tespit etti.

checkpeople.com
56 milyon 250 bin Amerikan
vatandaşına ait kişisel bilgileri
içeren bir veritabanı Çin IP
adresine sahip bir sunucuda
açığa çıktı.
22GB boyutundaki veritabanı
isim, ev adresi, telefon
numarası ve yaş bilgileri gibi
verilerin ihlaline neden
olurken, metadata verilerinden
bu bilgilerin checkpeople.com
internet sayfası ile bağlantılı
olduğu anlaşıldı.
Açığa çıkan veriler halka açık
olarak erişilebilir olması
nedeniyle “zararsız” olarak
nitelendirilebilmesine karşın,
farklı veri setleri ile
birleştirilerek kullanıldığında
zararlı hale gelebiliyor.

Citrix
Sunucularda Zafiyet
Siber saldırganların Citrix sunucularda
tarama yaparak CVE-2019-19781 kodlu
uzaktan kod çalıştırmaya neden olan
zafiyetten faydalanmaya başladığı
tespit edildi.
Citrix ADC (Application Delivery
Controller) ve Citrix Gateway
(NetScaler Gateway) kullanıcılarının
etkilendiği bilinen zafiyet ile ilgili
detaylı bilgilere
https://support.citrix.com/article/CTX2
67027 linkinden erişilebilir.
Ocak ayının devamında ise saldırıların
yoğunlaştığı görüldü. Saldırganlardan
birinin diğer saldırganları engellemek
ve diğer zararlı yazılım bulaşmalarını
temizlemek için kendi arka kapısını
kurması ve zafiyetlere yama yapması
ise FireEye araştırmacıları tarafından
fark edildi.
158 ülkeden 80.000 kuruluşun
potansiyel olarak risk altında olduğu
açıklandı.

Citrix
Güvenlik Güncellemesi
Citrix Ocak ayının sonlarına doğru
güvenlik güncellemesi yayınladı.
Güncelleme için gerekli bilgilere
aşağıdaki linkten ulaşılabilir:
https://www.citrix.com/blogs/2020/01/19/vulnerability-
update-first-permanent-fixes-available-timeline-
accelerated/

Google Play’de Casus
Yazılımlar
Camero – FileCrypt – callCam
isimli Android uygulamalarının
kullanıcılarının cihazlarında casusluk
yaptığı Trend Micro araştırmacıları
tarafından ortaya çıkartıldı.
Eğer bu dosya yönetimi ya da
fotoğraf uygulamalarından herhangi
birini telefonunuza indirdiyseniz
hacklendiniz ve izleniyorsunuz.
Kullanıcı verilerini toplamak için CVE-
2019-2215 kodu ile takip edilen bir
Android sıfırıncı gün açığından Mart
2019’dan beri faydalandığı
düşünülen uygulamalar, saldırganın
tüm cihazın kontrolünü ele
geçirmesine neden olabiliyor.
Kaynak kodu incelemesine göre
savunmasız görünen cihazlar:
Samsung S7, S8 ve S9, Pixel 2,
Huawei P20, Xiaomi Redmi 5A,
Xiaomi Redmi Note 5, Xiaomi A1, A3,
Moto Z3, Oreo LG.

Joker Zararlı Yazılımı yüklü 1700
adet Google Play Uygulaması
2019 yılının Ekim ayında Google Play’den
472.000 defa indirilmiş olan 24 uygulamanın
Joker zararlı yazılımı barındırdığı için
kaldırıldığı duyurulmuştu.
Bu defa Joker zararlı yazılımına karşı Google
tarafından birkaç yıldır sürdürülen
aktivitelerin detayları verildi ve son 3 yılda
toplam 1700 uygulamada bu zararlı yazılıma
rastlandığı ve Google Play’dan kaldırıldığı
açıklandı.
Joker zararlı yazılımına rastlanan 37 ülke
arasında Türkiye’de var.
Telefonunuzda ücretli ve tam koruma
sağlayan bir anti-virüs bulunması, paralı
üyeliklerin dönem dönem kontrol edilmesi
ve izinsiz satın alma varsa tespit edilmesi,
güvenilir kaynak olarak görünmeyen hiçbir
uygulamanın indirilmemesi öneriliyor. Ayrıca
yüklü uygulamalarınızın güncel durumu
hakkında bilgi edinmek için Google play’i
açarak sol üstte yer alan menü tuşundan
“Play Protect”i kontrol edebilirsiniz.

Dikkat! Google Play’de Yeni
Dolandırıcılık Yöntemi
SophosLabs, Google Play’de bulunan bir grup
Android uygulamasının son derece basit ve
genellikle ücretsiz ya da çok düşük ücretlerle
sunulan özelliklerine rağmen uygulamayı indiren
kullanıcılara aşırı yüksek üyelik ücretleri
çıkarttığını ortaya koydu.
Kullanıcıların bir kısmı indirdikleri uygulamayı aynı
gün silmiş olmalarına rağmen 200$ gibi üyelik
ücretlerinin hesaplarından çekildiğini ve geri
ödeme alamadıklarını belirtti.
Genelde «kısa bir süre için ücretsiz» olarak
sunulan bu uygulamalar, kullanıcılar üyeliğini iptal
edip uygulamayı sildikten sonra uygulama
geliştiricisine «sildim» diye mesaj göndermez ise
üyelik ücretini aldı.
Normal şartlar altında ancak birkaç dolar zarara
neden olabilecek bu durum kurbanlardan
yüzlerce dolar çekilmesine neden oldu ve çok
sayıda kişiden şikayet geldi.
Uygulamalar zararlı yazılım barındırmadığı için
Google Play kurallarını ihlal etmiyor ancak barkod
okuyucusu için deneme süresi bitiminde €104.99,
Professional GIF Maker uygulaması ise deneme
süresi bitiminde €214.99 fatura kestiği için buna
yeni bir dolandırıcılık modeli deniliyor.
Uygulamaları indirmeden önce mutlaka kullanıcı
yorumlarını okuyun!

Google Play’den Uygulama
İndirirken Çok Dikkat Edin
Google Play’de yalnız Eylül ayında
tespit edilen enfekte uygulama sayısı
172 ve bu uygulamaların toplam
indirilme sayısı 335 milyonu bulmuş.
Yandaki tabloda görülen rakamlar
Eylül ayında ortaya çıkan Adware,
üyelik dolandırıcılıkları, gizli reklam,
bankacılık trojanları, sahte
antivirüsler, kredi kartı oltalamaları
yapan uygulamaların adet ve
indirilme sayılarını detaylı olarak
gösteriyor.
Android ve Google Play
kullanıcılarının uygulama indirirken
ekstra dikkat göstermesi gerektiği
açıkça görülüyor.

Pulse Secure VPN
Amerika Homeland Security’e
bağlı Siber Güvenlik ve Altyapı
Güvenliği birimi (CISA) Pulse
Secure VPN’de bulunan ve
CVE-2019-11510 kodu ile takip
edilen zafiyetin siber saldırganlar
tarafından istismar edilmeye
devam edildiği konusunda
kuruluşları uyardı.
Bunun yetkisiz dosya okumaya
neden olabilen kritik bir zafiyet
olduğu biliniyor.
Zafiyet detayları:
(https://www.cvedetails.com/cv
e-details.php?t=1&cve_id=CVE-
2019-11510)

Microsoft’un Windows 7
Desteği Sona Erdi
Microsoft 14 Ocak 2020
tarihinden itibaren Windows 7
bilgisayarlar için teknik destek
veya güvenlik güncelleştirmesi
sağlamayacağını açıkladı.
Windows 10’dan sonra en fazla
kullanılan işletim sistemi olarak
bilinen Windows 7’nin yüz
milyonlarca kullanıcısı ve yaklaşık
%26’lık bir pazar payı olduğu
düşünülüyor.
Windows 7 kullanıcıları bundan
böyle yeni çıkan güvenlik
zafiyetlerine karşı savunmasız
kalacağından işletim sistemlerini
Windows 10’a yükseltmeleri
öneriliyor.

Ocak ayında ise kablo üreticisi Southwire’ın
fidye yazılımı ile şifrelenen dosyalarının yanı sıra
çalınan 120GB verisi için 6 milyon dolar karşılığı
Bitcoin talep edildiği öğrenildi. 878 sistemi
enfekte ettiği bilinen saldırının ardından istenen
fidye ödenmeyince üreticiye ait 14GB veriyi
yayınladı. Fidye ödemesi yapılana kadar her
hafta ellerindeki verilerin %10’unu daha
yayınlayacaklarını da duyurdu.
Fidye yazılımı saldırılarının sadece
“dosyalarımız şifrelendi” anlamına gelmediğini,
“önemli verilerimiz açığa çıkmış olabilir”
demek olabileceğini hatırlayabiliriz:
Hem Dosyalarınız Şifrelendi, Hem KVKK’yı İhlal
Ettiniz! https://sibersavascephesi.com/hem-
dosyalariniz-sifrelendi-hem-kvkkyi-ihlal-ettiniz/
Maze fidye yazılımına maruz kalan kurbanlar,
şifrelenmiş olan verilerinin çevrimiçi olarak
yayınlanması tehdidi altında. Fidye ödemesi
yapmayı kabul etmeyen kurbanları için bir web
sayfası hazırlayan ve 8 şirketin adını duyuran
saldırganlar: “Bizimle işbirliği yapmayı kabul
etmeyen ve başarılı olmuş saldırımızı gizlemeye
çalışan kuruluşların listesi aşağıda. Bu şirketlerin
veritabanlarını ve gizli belgelerini burada
görmek için bekleyin. Yeni haberlerimizi takip
edin!” mesajı yayınladı.
Kasım ayında Pensacola şehrinin fidye yazılım
saldırısında dosyaları şifrelenmiş ve saldırganlar
çaldıkları veriler için 1 milyon dolar talep
etmişti. Ödeme yapılmamasının ardından ise
kanıt olarak çalınmış olan 32GB verinin 2GB’ını
yayınlamışlardı.

Adobe Illustrator ve
Experience Manager
Adobe’nin Illustrator ve
Experience Manager ürünlerini
kullananların güncelleme
yapması gerekiyor.
İlgili güvenlik bültenine
https://blogs.adobe.com/psirt/
?p=1820 linkinden
erişilebiliyor.

LimeLeads’in 49 Milyon
Kullanıcı Verisi Dark Web’de
ABD’de veri brokerlığı yapan bir
kuruluş olan LimeLeads veri sızıntısı
yaşadı ve 49 milyon kullanıcı kaydı
hacker forumlarında satışa çıktı.
Kurbanların isim, e-posta, şirket
bilgileri, şirket adresleri, telefon
numaraları, web sayfası, şirketlerin
toplam kazanç ve çalışan sayısı gibi
verilerin satışa çıktığı görüldü.
Veri ihlalinin LimeLeads’in
Elasticsearch sunucusunu doğru
yapılandıramaması ve yanlışlıkla
içeriğine herkesin erişmesine izin
verecek şekilde çevrimiçi olarak
açığa çıkarması nedeniyle yaşandığı
belirtildi.
Veritabanının hata fark edilmeden
bir aydan uzun bir süre erişime açık
şekilde internette kalmış olduğu
düşünülüyor.

P&N Bankası Veri İhlali
Avusturalya P&N bankası
100.000 Avusturalya vatandaşını
etkileyen bir veri ihlali yaşadı.
Veri ihlalinde müşterilere ait
kişisel veriler ve hassas hesap
detayları açığa çıktı.
Veri ihlalinde saldırganların
müşterilere ait isim, adres, e-
posta, telefon numarası, yaş ve
hesap detaylarına eriştiği ancak
parola, sosyal güvenlik numarası,
vergi numarası, ehliyet bilgileri
veya pasaport detayları ve
doğum tarihlerinin çalınmadığı
belirtildi.
Olaya sunucu güncellemesinin
neden olduğu söylendi.

VMware’de Zafiyet
VMware bir güvenlik güncellemesi
yayınladı.
Windows için VMware Tools versiyon
10’da bulunan yetki yükseltme
zafiyeti nedeniyle yayınlanan
güncelleme sonrası VMware Tools
11.0.0 indirilmesi gerekiyor.
Bundan önceki 10.x.y versiyonların
ise CVE-2020-3941 kodu ile takip
edilebilen zafiyetten etkilendiği
belirtildi.
Zafiyet hakkında detaylı bilgilere ve
yükseltme yapılamayan durumlarda
zafiyetin istismar edilmesinin
engellenmesi için sistemde
değişikliklerin nasıl yapılabileceği
bilgisine
https://kb.vmware.com/s/article/76
654 linkinden erişilebiliyor.

WordPress Time Capsule ve
InfiniteWP
WP Time Capsule ve InfiniteWP
WordPress eklentileri, popüler içerik
yönetim sistemini kullanan web
sitelerinin kontrolünü ele geçirmek
için kullanılabilecek güvenlik
zafiyetlerinden etkileniyor.
Kullanıcıların istediği kadar
WordPress sitesini kendi
sunucularından yönetmesine imkan
tanıyan InfiniteWP’nin yaklaşık
300.000 kullanıcısı bulunduğu
tahmin ediliyor.
1.9.4.5 sürümü öncesindeki
sürümler bu zafiyetten etkileniyor.
Kullanıcılar vakit kaybetmeden her
iki eklentinin de son sürüme
yükseltilmesi gerektiği konusunda
uyarılıyor.

WordPress Database Reset
Kullanıcıların veritabanını sıfırlaması
ve varsayılan ayarlara döndürmesini
sağlayan bir Wordpress eklentisi olan
WP Database Reset’in
(https://wordpress.org/plugins/wor
dpress-database-reset/#description)
kolaylıkla istismar edilebilen iki farklı
zafiyet barındırdığı ve eklentinin
bulunduğu internet sayfalarının
saldırganların kontrolüne
geçebileceği duyuruldu.
9.1 CVSS skoruna sahip CVE-2020-
7048 ve 8.1 CVSS skoruna sahip CVE-
2020-7047 kodları ile takip edilen
zafiyetlerin “Kritik” sınıfında
değerlendirildiği görüldü.
Eklentiyi yüklemiş olan kullanıcıların
WP Database Reset 3.15 sürümüne
yükseltmesi gerekiyor.

WordPress Code Snipplets
200.000’den fazla Wordpress web
sayfası yüksek önem derecesine sahip
cross-site request forgery (CSRF) hatası
nedeniyle istismara açık.
CVE-2020-8417 kodu ile izlenen Code
Snippets eklenti zafiyetinin WordPress
sayfalarının kontrolünün siber
saldırganlar tarafından ele
geçirilmesine neden olabileceği
bildirildi.
Eklentinin 2.14.0 versiyonu yayınlandı
ve daha eski sürüm kullanan kişilerin
güncelleme yapması istendi.
İstismarın kanıt videosuna
https://www.youtube.com/watch?v=tu
Gog329Ayg&feature=youtu.be

Yunanistan’a DDoS Saldırıları
Türk hackerlar Yunan parlamentosunun,
bazı bakanlıkların ve Yunan yerel
borsasının resmi web sitelerini
kapanmasına yol açan bir saldırı
düzenledi. İsimleri “Anka Neferler Tim”
olarak açıklanan grup, 17 Ocak Cuma
günü gerçekleştirdiği saldırı ile
Yunanistan’a ait resmi web sayfalarının 90
dakikadan uzun bir süre kapalı kalmasına
neden oldu.
Saldırı duyurusunu kendi Facebook
sayfasından yapan grup, saldırı nedeni
olarak Yunanistan’ın Türkiye’yi Ege denizi
ve doğu Akdeniz’de tehdit etmesi ve
Libya’daki konferans için de tehdit
oluşturması gösterildi.
Bu olayın ardından, 24 Ocak tarihinde
Yunan hükümeti ikinci bir DDoS saldırısına
uğradıklarını ve başbakana ait web
sayfası, emniyet, itfaiye ve diğer bazı
önemli bakanlıkların sayfalarının
saldırıdan etkilendiğini bildirdi.

Mitsubishi Electric
21 Ocak tarihinde “Mitsubishi
Electric Veri İhlaline Dair Önemli
Noktalar” başlıklı yazımızda
(https://sibersavascephesi.com/mits
ubishi-electric-veri-ihlaline-dair-
onemli-noktalar/) detaylarına yer
vermiş olduğumuz saldırıda Çinli
siber saldırganların Trend Micro
OfficeScan’de bulunan bir sıfırıncı
gün açığını istismar ettiği anlaşıldı.
8 ay süren araştırma sonucunda
loglar silinmiş olduğu için kesin bir
bilgi alınamadı ancak Çin bağlantılı
siber casusluk grubu Tick (Bronze
Butler) suçlanıyor.
Tick’in 2012 yılından beri Japonya’yı
ağır sanayi, imalat ve uluslararası
ilişkiler konusunda hedef aldığı
biliniyor.

Internet Explorer Sıfırıncı
Gün Açığı
Microsoft CVE-2020-0674 kodu
ile takip edilen Internet
Explorer sıfırıncı gün açığı için
bir güvenlik bülteni yayınladı ve
zafiyetin saldırganlar
tarafından istismar edildiği
duyuruldu.
Scripting Engine Bellek
Bozulması olarak tanımlanan
zafiyet ile ilgili detaylı bilgilere
https://portal.msrc.microsoft.c
om/en-us/security-
guidance/advisory/ADV200001

500.000 cihazı etkileyen
Telnet Kullanıcı Bilgisi İfşası
Yaklaşık 500.000 sunucu, router ve
IoT cihazına ait Telnet kullanıcı
bilgisinin çevrimiçi olarak erişilebilir
durumda olduğu açığa çıktı. Bir siber
saldırgan tarafından yayınlanan
büyük çaplı listede evlerde kullanılan
routerlar da dahil olmak üzere
toplamda 515.000’den fazla sunucu
ve akıllı cihaza ait Telnet kimlik
bilgileri yer alıyordu. Bu veri ihlali,
Telnet parolaları için bugüne dek
rastlanan en büyük bilgi ifşası olarak
geçti. Listede IP adresleri, kullanıcı
adı ve parolalar yer aldı. Liste,
varsayılan kimlik bilgilerini veya
tahmin edilmesi kolay şifreleri
kullanan cihazlar için internet
taramasının bir sonucu olarak
görüldü.

Ortadoğu Ülkelerini
Hedef Alan Trojan
• Cisco Talos araştırmacıları
JhoneRAT adı verilen yeni bir Trojan
ortaya çıkardı ve bu trojanın özellikle
Ortadoğu ülkelerinde yer alan
kuruluşları hedef aldığı belirlendi.
• Zararlı yazılım spesifik olarak
Arapça konuşulan ülkeleri (Suudi
Arabistan, Irak, Mısır, Libya,
Morokko, Cezayir, Tunus, Amman,
Oman, Yemen, Suriye, Birleşik Arap
Emirlikleri, Kuveyt, Bahreyn ve
Lübnan) hedef alıyor ve bunun için
Arapça klavye düzeninden
faydalanıyor.
• Zararlı yazılımın Microsoft Office
dokümanları kullanılarak yayıldığı da
belirtildi.

CurveBall Zafiyeti (Kritik)
CurveBall isimli zafiyet tüm dünyadaki bilgi
güvenliği uzmanlarını alarma geçirdi. Zafiyet
ABD Ulusal Güvenlik Kurumu tarafından
“majör bir zafiyet” olarak adlandırıldı ve
raporlandı. CVE-2020-0601 kodu ile takip
edilen zafiyetin nedeni hala net değil ancak
sektördeki birçok uzman tarafından istismar
edilme şansı yüksek ve önemli bir zafiyet
olarak doğrulandı.
Saldırganların Windows 10, Windows Server
2016 ve Windows Server 2019'u atlatmasına
ve Microsoft gibi güvenilir kaynakların
kimliğine bürünerek güvenlik açığı bulunan
bilgisayarlar tarafından kriptografik olarak
doğrulanmasına olanak tanıyor.
Microsoft’un bağlantısından zafiyet detayları
ve güncelleme için gerekli bilgilere
erişilebilir:
https://portal.msrc.microsoft.com/en-
US/security-guidance/advisory/CVE-2020-
0601

Dünyanın en zengin
adamının telefonu hacklendi
Dünyanın en zengin adamı olarak
bilinen Amazon’un sahibi Jeff Bezos’un,
Suudi Arabistan prensi Mohammad bin
Salman’ın kişisel hesabından gelen bir
WhatsApp mesajı sonrasında
hacklendiği duyuldu.
Nisan 2019’da ortaya çıkan özel
fotoğraflarının ve mesajlaşmalarının
ardından bir soruşturma başlatan
Bezos, telefonunun kişisel verilerine
erişmek için Suudi Arabistanlı yetkililer
tarafından hacklendiğini açıkladı.
Gavin de Becker isimli güvenlik
araştırmacısının ortaya çıkarttığı bu
siber saldırının Suudi gazeteci Jamal
Khashoggi’nin öldürülmesi ile ilgili
Washington Post gazetesinde yapılan
haberden kaynaklandığı, gazete Bezos’a
ait olduğu için saldırının hedefi olduğu
düşünülüyor.

Microsoft Müşteri Hizmetlerinden 250
milyonluk Veri İhlali
Bir siber güvenlik uzmanı tarafından tespit
edilen veri ihlalinden Microsoft müşteri
hizmetlerinde kaydı bulunan yaklaşık 250
milyon müşteriye ait kişisel verilerin etkilendiği
düşünülüyor. Güvenilir olmayan bir
veritabanında çevrimiçi olarak bulunan müşteri
kayıtlarının 2005-2009 yılları arasında teknik
destek alan tüm müşterileri etkilediği
düşünülen veri ihlalinde yer alan müşterilere
ait e-posta adresleri, IP adresleri, konum
bilgileri, teknik destek talepleri ve “gizlidir”
ibaresi bulunan kuruluş içi yazışmalar gibi
bilgilerin bir saldırıda kullanılmadığı
düşünülüyor.
Veri ihlali hakkında detaylı açıklama:
https://msrc-blog.microsoft.com/2020/01/22/access-
misconfiguration-for-customer-support-database/

Amazon S3’de Saklanan
Marijuana Kullanıcıları
THSuite’e ait güvenilir olmayan bir
veritabanı bulundu ve A.B.D’deki 30.000
marijuana kullanıcısının bilgilerinin
çevrimiçi olarak erişilebilir durumda olduğu
açıklandı.
Amazon S3 nesne depolama hizmetinde
tutulan arşivin çok sayıda hassas veri
barındırdığı da söylendi.
85.000’den fazla dosya veri ihlalinde yer
alırken, erişilebilen kişisel veriler içerisinde
isim soyad, doğum tarihi, telefon numarası,
fiziksel adres, e-posta adresi, kullanılan
marijuana çeşidi/fiyatı/miktarı gibi
bilgilerin yer aldığı görüldü.
Bilgileri açığa çıkan kullanıcıların bir
kısmının medikal değil eğlence amaçlı esrar
kullanıyor olması veri ihlalinden kişisel ve
mesleki olarak oldukça kötü
etkilenmelerine neden olabilecek gibi
görülüyor.
Hasta bilgilerinin açığa çıkması federal bir
suç sayıldığından her bir kayıt için
50.000$’a kadar para cezası öngörülüyor.

Windows RDP Ağ Geçidi
Hataları İçin PoC
RDP (uzak masaüstü) ağ geçidi sunucusu
genellikle kuruluşlar ya da özel ağlarda harici
bir ağdan gelen RDP bağlantılarının terminal
sunucularına erişimi için kullanılıyor.
Windows Remote Desktop Gateway’de (RD
Gateway) tespit edilen bir zafiyet nedeniyle
yetkisiz kişilerin (saldırganların) uzaktan kod
yürütmesine neden olabildiği görülmüş.
Saldırganın dilediği gibi program
yüklemesine, verileri görüntüleme, değişiklik
yapma veya veri silme gibi yetkilere sahip
olmasına, tam yetkiye sahip yeni kullanıcılar
açmasına neden olabildiği Microsoft
tarafından yayınlanan bültende yer alan
bilgiler arasında.
Windows Server (2012, 2012 R2, 2016 ve
2019) cihazlarındaki bileşenleri etkileyen ve
CVE-2020-0609 ve CVE-2020-0610 kodları ile
takip edilen zafiyetler için aşağıdaki bağlantı
incelenebilir:
0609 ve
0610

Ryuk Fidye Zararlı Yazılımından
Kritik Yeni Versiyon
MalwareHunterTeam güvenlik uzmanları
tarafından özellikle askeri, devlet ve
finans ve bankacılık kuruluşlarından gizli
bilgileri çalmak üzere geliştirildiği
düşünülen yeni versiyon bir Ryuk zararlı
yazılımı ortaya çıkartıldı.
Zararlı yazılımın hassas dosyaları çalmak
için spesifik anahtar kelimeleri
hedeflediği ve başarıya ulaşması
durumunda hükümetler, askeri
operasyonlar ve emniyet güçleri için
felakete yol açabileceği belirtildi.
Ryuk Stealer varyantı, C ++ kod
dosyalarını (yani .cpp), diğer Word ve
Excel belge türlerini, PDF'leri, JPG resim
dosyalarını ve ayrıca kripto para
cüzdanlarıyla ilişkili dosyaları arıyor.
Zararlı yazılımın tarama modülü önce
sistemlerdeki dosyaların yukarıdaki
dosyaların uzantılarından birine sahip
olup olmadığını kontrol ediyor, ardından
belirlenen 55 anahtar kelimeden birinin
varlığını doğrulamak için dosyaların
içeriğini kontrol ediyor.

ABD Hükümetinin Alt Yüklenicisi EWA’ya
Ryuk Fidye Zararlı Yazılımı Bulaştı
ABD hükümetine elektronik
ekipman sağlayan Electronic
Warfare Associates (EWA) fidye
yazılımı saldırısı yaşadı,
saldırıdan sunucular da
etkilendi.
Müşterileri arasında ABD
Savunma Bakanlığı, Adalet
bakanlığı gibi önemli isimler
bulunan EWA’ya yapılan
saldırının görüntülerine
Google’dan ulaşılabildi.
Saldırganların kuruluşa ait
hangi verileri ele geçirdiği ise
henüz anlaşılamadı.

H&M Kendi Çalışanlarını
Gözetliyor Mu?
İsveçli giysi parekendecisi
H&M’e Almanya’daki müşteri
temsilcilerini gizlice
gözetlemek suçundan
soruşturma başlatıldı.
Alman araştırmacılara göre
yaklaşık 60GB veri içeren bir
hard disk Nürnberg’deki üst
düzey çalışanların özel ve
hassas verileri hakkında
ayrıntılı ve sistematik kayıtlar
içeriyor.
Veriler içerisinde “kanser
olmaya yatkınlık”, “aile
sorunları”, “tatil deneyimleri”
gibi bilgiler olması dikkat
çekiyor.

Fortinet Önemli Güvenlik
Yamaları Yayınladı
FortiSIEM’de yer alan sabit kodlu SSH
anahtarları ve veritabanı arkakapılarının
kaldırılması için güvenlik yamaları yayınlandı.
Fortinet, müşterilerini CVE-2019-17659
kodlu zafiyet ile takip edilen açıktan
etkilenmemeleri için hızla güncelleme
yapmaları ya da FortiSIEM’in “tunneluser”
portu 19999’a erişimi engellemeleri
konusunda uyardı.
FortiSIEM’i etkileyen bir başka zafiyet ise
CVE-2019-16153 kodu ile takip ediliyor ve
FortiSIEM veritabanı bileşeninde sabit
kodlanmış bir parolanın varlığından
kaynaklanıyor. Bu hatanın, saldırganlar
tarafından statik kimlik bilgileri kullanılarak
aygıt veritabanına erişmek için
kullanılabileceği belirtiliyor. Bu zafiyet
FortiSIEM 5.2.5 ve daha altı sürümleri
kullanan sistemleri etkiliyor.
FortiSIEM müşterilerinin 5.2.7 ya da daha
üzeri bir versiyonu kullanmaları gerekiyor.

Magento E-Ticaret Platformu
Dünya çapında 150.000’den fazla
işletme tarafından kullanılan açık
kaynak kodlu e-ticaret platformu
Magento önceki versiyonlarında
tespit edilen çeşitli güvenlik
zafiyetleri nedeniyle versiyon 2.3.4’ü
yayınladı ve güncellenmesi gerekiyor.
Zafiyetlerin Magento Commerce
(2.3.3/2.2.10 ve altı), Open Source
(2.3.3/2.2.10 ve altı), Enterprise
Edition (1.14.4.3 ve öncesi) ile
1.9.4.3 ve önceki versiyonlardaki
Community Edition’larda bulunduğu
belirtildi.
Güncelleme yapılmadığı takdirde
platformun siber saldırganların
uzaktan rasgele kod yürütmesine
neden olabileceği biliniyor.

BSD ve Linux Dağıtımlarını
Etkileyen Zafiyet
Birçok BSD ve Linux dağıtımı tarafından
kullanılan temel e-posta ile ilgili bir
kütüphaneyi etkileyen CVE-2020-7247
kodu ile izlenen bir güvenlik açığı tespit
edildi.
OpenSMTPD’de yer alan güvenlik açığı,
OpenSMTPD istemcisini kullanan bir
sunucuda root ayrıcalıklarıyla rasgele
kod yürütmek için saldırganlar
tarafından kullanılabilen bir yetki
yükseltme sorunu ve uzaktan kod
yürütme hatası. Kullanıcıların ayarları
mümkün olan en kısa sürede
yükseltmesinin çok önemli olduğu
belirtildi.
Konu hakkında daha detaylı bilgi için:
https://www.mail-
archive.com/misc@opensmtpd.org/ms
g04850.html

Wawa’dan Çalınan Kredi Kartı
Verileri Dark Web’de Satışta
Aralık 2019'da Wawa isimli market
zincirinin ödeme sistemlerinde bir
zararlı yazılım bulunduğu, binlerce
müşteriye ait banka ve kredi kartı
bilgilerinin çalınmış olabileceği
açıklanmıştı.
Ocak 2020 tarihli haberlerde ise
Wawa kredi kartı veri ihlalinde 30
milyondan fazla müşteriye ait verinin
Dark Web’de satışa sunulduğu yer
aldı.
Market zincirinin ödeme işlemlerinin
yapıldığı sistemlerinde bulunan PoS
zararlı yazılımı kredi kartı sahiplerinin
isim, kart numarası ve erişebildiği
diğer bilgilerini çalıyordu.

Birleşmiş Milletler de
Hacklendi
İnternete sızan gizli bir rapor ile
ortaya çıkan veri ihlalinde
Birleşmiş Milletler’in Cenova ve
Viyana ofislerindeki sunucuların
hacklendiği açıklandı.
Saldırganların personel listesi ve
e-posta adresleri gibi detaylara
eriştiği ancak kullanıcı
parolalarının ele geçirilemediği
belirtildi. Raporda en az 42
sunuda veri ihlali yaşandığı,
Cenova ve Viyana’da yer alan 25
farklı sunucuda ise ihlalden
şüphelenildiği söylendi. UN
raporunda Microsoft
Sharepoint’te yer alan bir
zafiyetin istismar edildiğinin
düşünüldüğü de yer aldı.

Avast Antivirüs Bilgilerimizi
Satıyor
Popüler antivirüs yazılımı Avast’ın
kullanıcılarına ait hassas verileri
Microsoft, Google, Pepsi ve
McKinsey gibi kuruluşlara izinsiz
sattığı ortaya çıktı.
Bu veriler içerisinde Google
aramaları, Google haritalar
kullanılarak yapılan adres aramaları,
GPS verileri, şirketlerin Linkedin
sayfalarına yapılan ziyaretler, bazı
Youtube videolarını izleyen kişi
bilgileri, pornografik sitelere giriş
yapan kişiler gibi bilgiler bulunuyor.
Avast’ın tarayıcı eklentisi olarak
sunulan uygulamasının kullanıcıyı
zararlı web sitelerden koruma
özelliğinin yanı sıra kullanıcı
bilgilerini de topladığı, kullanıcıların
ise bu durumdan habersiz olduğu
anlaşıldı.

Intel İşlemcilerde Zafiyet
Intel işlemcilerde CVE-2020-0549 kodu
ile izlenen bir zafiyet tespit edildi.
“CacheOut” adı verilen kritik
seviyedeki zafiyet Ekim 2018
tarihinden önce üretilen Intel
işlemcileri etkiliyor.
AMD işlemciler ise bu zafiyetten
etkilenmiyor.
Zafiyetten etkilenen işlemcilerin veri
ihlallerine açık olduğu ve bu zafiyetten
yararlanan saldırganların işletim
sistemi çekirdeğinden, sanal
makinelerden ve Intel’in güvenli SGX
biriminden hassas veriler
sızdırabilecekleri açıklandı.
Intel’in yayınladığı zafiyet detayları ve
önerilere aşağıdaki linkten ulaşılabilir:
https://www.intel.com/content/www/
us/en/security-center/advisory/intel-
sa-00329.html

OCAK AYINDA NASIL HACKLENDİK? (2020)

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à OCAK AYINDA NASIL HACKLENDİK? (2020)

Similaire à OCAK AYINDA NASIL HACKLENDİK? (2020) (10)

Plus de Sparta Bilişim

Plus de Sparta Bilişim (8)

OCAK AYINDA NASIL HACKLENDİK? (2020)