Menu

Acil Güvenlik Bildirimi #3

VMware vSphere Data Protection Kritik Güvenlik Zafiyeti

VMware tarafından yayınlanan VMSA2018-0001 numaralı güvenlik zafiyeti bildirimi vSphere Data Protection (VDP) sistemlerinde ve VDP’nin temel alındığı EMC Avamar yedekleme ürününde kritik seviyeli güvenlik açığı olduğunu belirtmektedir.

Zafiyetin kullanımının etkisinin yüksek olması sebebiyle internete açık sistemlerde yoğun tarama trafiği beklenmektedir.

Bu bildirime göre ürününde üç kritik zafiyet bulunmaktadır;

  • CVE-2017-15548
    VDP kimlik kontrol mekanizması atlatılabilmekte, erişim yetkisi olmayan birisi tarafından sisteme uzaktan ‘root’ erişimi sağlanabilmektedir.
  • CVE-2017-15549
    VDP sistemine düşük seviyeli erişimi olan bir kullanıcı tarafından sistemde herhangi bir alana dosya yüklenebilmektedir.
  • CVE-2017-15550
    VDP sistemine düşük seviyeli erişimi olan bir kullanıcı tarafından sistemdeki hassas dosyalara erişim sağlanabilmektedir.

Etkilenen Sürümler
VDP    6.1.x
VDP    6.0.x
VDP    5.x

Çözüm
VMware tarafından yayınlanan yamalı sürümler olan VDP 6.1.6 veya 6.0.7 sürümlerine yükseltilmesi gerekmektedir.

Yama yüklenmesi ve sistemin güncellenmesine kadar geçen süre içerisinde tehditten etkilenmemek için VDP sunucunuza ağ erişimlerini kısıtlayın.

Referans Bağlantılar

Acil Güvenlik Bildirimi #2

WanaCrypt 2.0 Fidye Yazılımı Alarmı

Nisan ayında “The Shadow Brokers” adlı hacker grubu tarafından yayınlanan NSA hacking araçları içerisinde bulunan ETERNALBLUE ve DOUBLEPULSAR kodlu istismar araçlarını kullandığı Microsoft Windows işletim sistemlerinin SMB servisini etkileyen ve ağ üzerinden SYSTEM haklarıyla kod çalıştırılmasına izin veren MS17-010 kodlu zafiyet WanaCrypt adlı bir fidye yazılımı tarafından kullanılmaya başlanmıştır.

Fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmemekte ve bulaştığı bir ağda MS17-010 zafiyetinin olduğu sistemlere bulaşmaktadır.

WanaCrypt fidye yazılımı oldukça bulaşıcıdır ve hızla yayılmaktadır. Başta Avrupa ülkeleri olmak üzere İngiltere, İspanya ve Rusya’da büyük çaplı enfeksiyon tespit edilmiş.

MS17-010 zafiyetinden aşağıdaki işletim sistemleri ve sürümleri etkilenmektedir;

  • Windows Vista,
  • Windows Server 2008,
  • Windows Server 2008 R2,
  • Windows 7,
  • Windows 8.1,
  • Windows Server 2012,
  • Windows Server 2012 R2,
  • Windows 10,
  • Windows Server 2016

Fidye yazılı WNCry, WCry, WanaCrypt0r, Wana Decrypt0r isimleri ile de bilinmektedir.
Önerilen Tedbirler
Microsoft tarafından yayınlanan MS17-010 zafiyetine ilişkin sisteminize uygun yamayı hızlıca yüklemeniz tavsiye edilir. Bununla birlikte SMB servislerinin korunması, IPS kurallarının güncellenerek ETERNALBLUE ve DOUBLEPULSAR istismar araçlarının trafiğine karşı kuralların tüm ağ genelinde etkin hale getirilmesi, SMB protokollerinin kurum içerisi şifreli yürütüldüğü durumlarda mutlaka IDS/IPS sistemleri tarafından görünür hale getirilerek trafiğin filtrelenmesi, Windows istemci ve sunucu sistemlerinde HIPS’lerin etkinleştirilmesi tavsiye edilir.

Ağınızda SNORT açık kaynak IDS/IPS sistemi mevcutsa, aşağıdaki kuralı ekleyerek ETERNALBLUE zafiyetinin istismarına yönelik trafikleri engelleyebilirsiniz.

alert smb $HOME_NET any -> any any (msg:”SMB EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response”; flow:from_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

 

Referans Bağlantılar

Acil Güvenlik Bildirimi #1

Symantec Ürünleri Kritik Güvenlik Zafiyeti
Google Project Zero ekibinden Travis Ormandy tarafından keşfedilip topluca yayınlanan zafiyetler aşağıdaki güvenlik ürünlerini etkilemektedir;

  • Norton Security, Norton 360, and other legacy Norton products (All Platforms)
  • Symantec Endpoint Protection (Tüm Sürümler ve Tüm Platformlar)
  • Symantec Email Security (Tüm Platformlar)
  • Symantec Protection Engine (Tüm Platformlar)
  • Symantec Protection for SharePoint Servers

Zafiyetin Detayı
Symantec ürün ailesinin tamamında çekirdek seviyesinde filtreleme için kullandığı sürücü (Kernel Filter Driver) aynı olması sebebiyle, bu sürücünün kullanıldığı tüm ürünler etkilenmektedir.

Zafiyetin kaynağı, sıkıştırılmış dosyaların incelenmek üzere açılması işleminin gerçekleştirildiği rutinlerdir. Sıkıştırılmış dosyaların açılması (unpack) işlemi yine aynı çekirdek seviyesinde çalışan sürücü tarafından gerçekleştirilmesi sebebiyle, zafiyetin suistimali saldırgana çekirdek seviyesinde kod çalıştırma veya bellek bozma imkanı tanımaktadır.

Zafiyet sebebi olan sıkıştırılmış dosya açma kütüphanelerinin açık kaynak kodlu projelerden alındığı (libmspack ve unrarsrc) ve güncellenmediği belirtilmektedir.

Zafiyet, herhangi bir kullanıcı etkileşimi gerektirmemektedir. E-posta ile gönderilen bir dosyanın henüz kullanıcı görüntülemese dahi anti-virüs tarafından incelenmesi sebebiyle, zafiyeti suistimal etmeyi amaçlayan özel bir e-posta eklentisi sayesinde sistem saldırıya uğrayabilmektedir.

Zafiyetin kullanıcı etkileşimi gerektirmemesi sebebiyle solucan (worm) için kullanılma riski bulunmaktadır. Bu sebeple tüm Symantec ürünlerinizin yama seviyelerini kontrol ederek mutlaka güncellemelerinizi yaptığınızdan emin olmanızı tavsiye ederiz.
Çözüm
Symantec zafiyetlere karşı koruma imzalarını yayınlamıştır. Uygulamalarınızın imzalarını güncelleyerek çekirdek filtresi için yapılacak sürüm güncellemesini takip etmeleri tavsiye edilmektedir.
Referans Bağlantılar

  • Symantec: https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
  • Google Project Zero : https://googleprojectzero.blogspot.com.tr/2016/06/how-to-compromise-enterprise-endpoint.html
İLETİŞİM

BİZE ULAŞIN

TEL: +90-312-2403236
FAKS: +90-312-2403237

Ankara : Hacettepe Teknokent, Üniversiteler Mh., 1596. Cad., 5. ARGE Binası No: 6/7 Beytepe – Çankaya/ANKARA

Istanbul : Çolakoğlu Plaza, Saniye Armutlu Sk., No:12 K:3 Kozyatağı – Kadıköy/İSTANBUL