Siber Güvenlik Bülteni
Temmuz 2024
Zyxel NAS Ürünlerinde Mirai Tabanlı Botnet Saldırısı
Shadowserver Vakfı'ndaki araştırmacılar, Mirai tabanlı bir botnet'in, kullanım ömrü sona eren NAS cihazlarında Zyxel NAS ürünlerinde CVE-2024-29973 olarak yakın zamanda açıklanan bir güvenlik açığından yararlanmaya başladığı konusunda uyarıyor. Mirai Botnet, özellikle IoT (Nesnelerin İnterneti) cihazlarına yönelik saldırılarıyla bilinen kötü amaçlı bir yazılımdır. İlk olarak 2016 yılında keşfedilmiştir ve dünya genelinde birçok büyük ölçekli dağıtılmış hizmet engelleme (DDoS) saldırısına yol açmıştır.
Bu zafiyet, "setCookie" parametresindeki bir komut ekleme güvenlik açığıdır. Kimliği doğrulanmamış bir saldırgan, hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmek için bu zafiyetten yararlanabilir. Güvenlik açığı, Haziran 2023'te CVE-2023-27992 olarak takip edilen başka bir kod ekleme sorununa yönelik düzeltmeden kaynaklanmaktadır.
Uzmanlar, EoL (End of Life) cihazlarının değiştirilmesini talep ediyor ve PoC yararlanma kodunun kamuya açık olduğuna dikkat çekiyor.
Cyberwise Yorumu: Ağda yer alan EoL (End of Life) cihazlar ele geçirilmesi kolay, güncellemeleri bulunmayan ve güvenlik açıklarına yama yapılamayacak olduklarını bildikleri için her zaman saldırganların ilk hedefi olmaktadır. Bu tarz cihazların yenisi ile değiştirilmesi gerekmektedir, eğer cihazın veya altyapının önemi dolayısıyla böyle bir imkân bulunmuyor ise herhangi bir saldırı karşısında yanal harekete izin verilmeyecek şekilde ağdan izole edilerek kullanılmalıdır.
CDN Saldırılarının 1 Operatöre Dayandığı Belirlendi
"mdmck10" takma adlı kullanıcı olan araştırmacı Ze-Zheng Wu ile güvenlik araştırma grubu MalwareHunterTeam arasındaki ortak çalışma sayesinde Polyfill.io, BootCDN, Bootcss ve Staticfile gibi birden fazla CDN üzerinden gerçekleştirilen ve on milyonlarca web sitesini etkileyen son büyük ölçekli tedarik zinciri saldırısının izi ortak bir operatöre kadar uzandı. Araştırmacılar, Polyfill.io'nun sözde operatörlerinin yanlışlıkla Cloudflare g izli anahtarlarını açığa çıkardıkları halka açık bir "data.polyfill.com" başlıklı GitHub deposu keşfettiler. Mdmck10 tarafından paylaşılan 430 satırlık JSON dosyası, ayrıca "staticfile.net, bootcdn.net, bootcss.com" alan adları için girişler içeriyordu; bu da bunların ortak bir varlık tarafından işletilen aynı Cloudflare kullanıcı hesabı altında yönetildiğini gösteriyordu.
.env dosyaları, geliştiriciler ve sistem yöneticileri tarafından API anahtarları ve belirteçleri, ortam değişkenleri ve yapılandırma ayarları gibi gizli bilgileri depolamak için kullanılır. Bu nedenle, bu dosyalar kısıtlayıcı izinlerle güvence altına alınmalı ve kamuya karşı sıkı bir şekilde korunmalıdır.
Cyberwise Yorumu: Kritik kaynaklar için harici CDN kaynağı kullanmak yerine bu tarz kaynakları kendinize ait sunucularda barındırmak büyük öneme sahiptir.
Alt Kaynak Bütünlüğü (SRI- Subresource Integrity), bir web sayfasının belirli bir kaynağı (örn. JavaScript veya CSS dosyası) değişmediğinden emin olmasını sağlar. Bu tür CDN üzerinden gerçekleştirilen ataklar için harici kaynakları yüklerken SRI kullanarak, bu dosyaların beklenmedik bir şekilde değiştirilmediğinden emin olmanızı sağlar. Bu, dış kaynakların içeriklerinin değiştirilip değiştirilmediğini kontrol eder. Bu gibi birçok hizmet ile web sitenizi olası saldırganlara karşı koruyabilirsiniz.
Bu bir paragraf. Bu metni değiştirmek veya düzenlemek için tıklayın. Çok kolay.
Bu bir paragraf. Bu metni değiştirmek veya düzenlemek için tıklayın. Çok kolay.
Bu bir paragraf. Bu metni değiştirmek veya düzenlemek için tıklayın. Çok kolay.
Bu bir paragraf. Bu metni değiştirmek veya düzenlemek için tıklayın. Çok kolay.
