Siber güvenlik haberleri bazen sonu olmayan bir korku filmi gibi gelebilir, değil mi? Tam kötü adamların hapsedildiğini düşündüğünüz sırada gölgelerin arasından yeni bir tehdit ortaya çıkıyor.
Bu hafta da istismar edilen kusurlar, uluslararası casusluk ve başınızı döndürebilecek yapay zeka hileleriyle ilgili hikayelerle bir istisna değil. Ancak endişelenmeyin, her şeyi sade bir İngilizceyle özetlemek ve sizi güvende kalmanız için gereken bilgilerle donatmak için buradayız.
Öyleyse patlamış mısırınızı (ve belki bir güvenlik duvarını) alın ve en son siber güvenlik dramasına dalalım!
⚡ Haftanın Tehdidi
Fortinet’in Kritik Kusuru İstismar Altında: Fortinet, FortiManager’ı etkileyen (CVE-2024-47575, CVSS puanı: 9,8) kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığının vahşi ortamda aktif olarak istismar edildiğini ortaya çıkardı. Arkasında tam olarak kimin olduğu şu anda bilinmiyor. Google’ın sahibi olduğu Mandiant, etkinliği UNC5820 adı altında izliyor.
🚢🔐 Yeni Başlayanlar için Kubernetes Güvenliği
Bir konteyner güvenliği çözümünün nasıl uygulanacağı ve Kubernetes Güvenliği en iyi uygulamaları hepsi bir araya getirildi. Bu kılavuz, güçlü bir güvenlik temeli oluşturma ve iyi korunan bir işletim sistemi çalıştırma hakkında bilmeniz gereken her şeyi içerir.
Kılavuzu Alın
️🔥 Trend olan CVE’ler
CVE-2024-41992, CVE-2024-20481, CVE-2024-20412, CVE-2024-20424, CVE-2024-20329, CVE-2024-38094, CVE-2024-8260, CVE-2024-38812, CVE- 2024-9537, CVE-2024-48904
🔔 En Önemli Haberler
- 5 Bulut Depolama Sağlayıcısındaki Ciddi Kriptografik Kusurlar: Siber güvenlik araştırmacıları, uçtan uca şifrelenmiş (E2EE) bulut depolama platformları Sync, pCloud, Icedrive, Seafile ve Tresorit’te, dosyaları enjekte etmek, dosya verilerine müdahale etmek ve hatta düz metne doğrudan erişim sağlamak için kullanılabilecek ciddi şifreleme sorunları keşfettiler . Ancak saldırılar, bir saldırganın bunları başarmak için bir sunucuya erişmesine bağlıdır.
- Lazarus, Chrome Kusurunu İstismar Ediyor: Lazarus Group olarak bilinen Kuzey Koreli tehdit aktörünün, virüslü cihazların kontrolünü ele geçirmek için Google Chrome’daki (CVE-2024-4947) yamalı bir güvenlik açığından sıfır gün yararlanmasıyla ilişkilendirildi. Güvenlik açığı Google tarafından Mayıs 2024 ortasında giderildi. Şubat 2024’te başladığı söylenen kampanya, kullanıcıları çok oyunculu bir çevrimiçi savaş arenası (MOBA) tank oyununun reklamını yapan bir web sitesini ziyaret etmeleri için kandırmayı içeriyordu, ancak tetiklemek için kötü amaçlı JavaScript içeriyordu. istismar edilir ve saldırganlara makinelere uzaktan erişim izni verilir. Web sitesi aynı zamanda tamamen işlevsel bir oyun sunmak için de kullanıldı, ancak ek yükler sağlamak için kodla paketlendi. Mayıs 2024’te Microsoft, etkinliği Aytaşı Karla karışık yağmuru olarak izlediği bir kümeye bağladı.
- AWS Cloud Development Kit (CDK) Hesap Devralma Kusuru Düzeltildi: Amazon Web Services (AWS) Cloud Development Kit’i (CDK) etkileyen, artık yamalanmış bir güvenlik hatası, bir saldırganın hedef AWS hesabına yönetim erişimi elde etmesine olanak tanıyarak tüm hesabın ele geçirilmesine neden olabilirdi. 27 Haziran 2024’teki sorumlu açıklamanın ardından sorun, Amazon tarafından Temmuz 2024’te yayımlanan CDK 2.149.0 sürümünde giderildi.
- SEC, Yanıltıcı SolarWinds Açıklamaları Nedeniyle 4 Şirkete Ceza Verdi: ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), Avaya, Check Point, Mimecast ve Unisys adlı dört halka açık şirketi, 2020 yılında SolarWinds’in hacklenmesinden kaynaklanan büyük ölçekli siber saldırıyla ilgili “maddi olarak yanıltıcı açıklamalar” yapmakla suçladı. Federal kurum, şirketleri kamuya yaptıkları açıklamalarda ihlalin ciddiyetini küçümsemekle suçladı.
- Rusya’da 4 REvil Üyesine Ceza Verildi: Artık sona eren REvil fidye yazılımı operasyonunun dört üyesi Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky ve Ruslan Khansvyarov, Rusya’da birkaç yıl hapis cezasına çarptırıldı. İlk olarak Ocak 2022’de Rus yetkililerin kolluk kuvvetleri tarafından gerçekleştirilen operasyon sonrasında tutuklanmışlardı.
📰 Siber Dünya’da
- Delta Air Lines, Temmuz Kesintisi Nedeniyle CrowdStrike’a Dava Açtı: Delta Hava Yolları dosyalanmış ABD’nin Georgia eyaletinde CrowdStrike aleyhine açılan davada, Temmuz ayında yaşanan büyük bir kesintinin 7.000 uçuşun iptaline, 1,3 milyon müşterinin seyahat planlarının aksamasına ve taşıyıcıya 500 milyon dolardan fazla maliyete yol açmasının ardından siber güvenlik sağlayıcısını sözleşmeyi ihlal etmek ve ihmal etmekle suçladı. “CrowdStrike küresel bir felakete neden oldu çünkü kendi çıkarı ve kârı için işin kolayına kaçıyor, kısayollar kullanıyor ve reklamını yaptığı test ve sertifikasyon süreçlerini atlatıyor” dedi. “CrowdStrike, Hatalı Güncellemeyi dağıtımdan önce tek bir bilgisayarda bile test etmiş olsaydı, bilgisayar çökerdi.” CrowdStrike, “Delta’nın iddiaları, çürütülmüş yanlış bilgilere dayanıyor, modern siber güvenliğin nasıl çalıştığına dair anlayış eksikliğini gösteriyor ve yavaş toparlanmasının suçunu, eski BT altyapısını modernize etmedeki başarısızlığından uzaklaştırmaya yönelik umutsuz bir girişimi yansıtıyor.” dedi.
- Meta, WhatsApp Kişilerini Saklamanın Güvenli Yolunu Duyurdu: Meta var duyuruldu Kimlik Kanıtı Bağlantılı Depolama adı verilen WhatsApp kişileri için yeni bir şifreli depolama sistemi (IPLS), kullanıcıların temel şeffaflıktan ve donanım güvenlik modülünden (HSM) yararlanarak doğrudan mesajlaşma platformunda kullanıcı adlarıyla birlikte kişileri oluşturmasına ve kaydetmesine olanak tanır. Şimdiye kadar WhatsApp, senkronizasyon amacıyla telefonun iletişim defterini kullanıyordu. Yeni çerçevenin güvenlik değerlendirmesini gerçekleştiren ve 13 konuyu ortaya çıkaran NCC Grubu, söz konusu IPLS “bir WhatsApp kullanıcısının uygulama içi kişilerini gizlilik dostu bir şekilde WhatsApp sunucularında saklamayı hedefliyor” ve “WhatsApp sunucuları, kullanıcının iletişim meta verilerinin içeriğini göremiyor.” Tespit edilen tüm eksiklikler Eylül 2024 itibarıyla tamamen giderilmiştir.
- CISA ve FBI Tuz Tayfunu Saldırılarını Araştırıyor: ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) söz konusu ABD hükümeti, Çin bağlantılı tehdit aktörlerinin “ticari telekomünikasyon altyapısına izinsiz erişimini” araştırıyor. Gelişme, Salt Typhoon hack grubunun AT&T, Verizon ve Lumen ağlarına sızdığına dair raporların ortasında geldi. CISA, etkilenen şirketlerin “kötü niyetli faaliyet” tespit edildikten sonra bilgilendirildiğini söyledi. Kampanyanın kapsamı ve ifşa edilen bilgilerin niteliği (eğer varsa) belirsizdir. Birden fazla rapor New York Times, Wall Street Journal, Reuters, Associated PressVe CBS Haberleri Salt Typhoon’un telekomünikasyon devlerine erişimlerini Demokrat ve Cumhuriyetçi başkanlık kampanyaları tarafından kullanılan telefonlara veya ağlara erişmek için kullandığını iddia etti.
- Sahte BT Çalışanı Planı Daha Büyük Bir Sorun Haline Geliyor: Kuzey Kore, son zamanlarda Batılı şirketlerde iş bulma girişimleri ve hatta bazı durumlarda fidye talep etmesi nedeniyle gündeme gelse de, kimlik güvenliği şirketi HYPR’nin yeni bir raporu, çalışan dolandırıcılığı planının sadece ülkeyle sınırlı olmadığını gösteriyor. Şirket yakın zamanda Doğu Avrupalı olduğunu iddia eden bir yazılım mühendisine sözleşme teklif ettiğini söyledi. Ancak daha sonraki katılım ve video doğrulama süreci, gerçek kimlikleri ve konumları hakkında bir takım tehlike işaretlerinin ortaya çıkmasına neden oldu ve bu da isimsiz kişiyi başka bir fırsatın peşine düşmeye sevk etti. Şu anda sahtekarlıkla işe alınan kişiyi Kuzey Kore’ye bağlayan hiçbir kanıt yok ve neyin peşinde oldukları da belli değil. HYPR, “Tedarik süreci sırasında gerçek dünya kimliğini dijital kimliğe bağlamak için çok faktörlü bir doğrulama süreci uygulayın.” söz konusu. “Video tabanlı doğrulama, yalnızca katılım sırasında değil, kritik bir kimlik kontrolüdür.”
- Yapay Zeka Araçlarına Yönelik Yeni Saldırılar: Araştırmacılar var açıkta AWS Bedrock Titan Image Generator tarafından oluşturulan dijital filigranları değiştirmenin bir yolu; bu, tehdit aktörlerinin yalnızca herhangi bir görüntüye filigran uygulamasını değil, aynı zamanda araç tarafından oluşturulan görüntülerden filigranları da kaldırmasını mümkün kılar. Sorun, 13 Eylül 2024 itibarıyla AWS tarafından yamalı hale getirildi. Gelişme şu şekildedir: keşif Google Gemini for Workspace’te yapay zeka asistanının yanıltıcı veya istenmeyen yanıtlar üretmesine ve hatta kullanıcılar e-posta iletileri veya belge özetleriyle ilgili içerik istediğinde hedef hesaplara kötü amaçlı belgeler ve e-postalar dağıtmasına olanak tanıyan hızlı ekleme kusurları. Yeni araştırmalar da var kurmak Tehdit aktörlerinin Bedrock’ta bulunan büyük dil modelleriyle (LLM’ler) etkileşim kurmak için açığa çıkan AWS kimlik bilgilerinden yararlandığı ve bir örnekte bunları kullanarak bir LLM ele geçirme saldırısı biçimi. yakıt AI modelini “normalde engellenecek içeriği kabul etmek ve yanıt vermek” için jailbreak yapan bir Cinsel Rol Yapma sohbet uygulaması. Bu yılın başlarında Sysdig, erişimi diğer tehdit aktörlerine satmak amacıyla LLM hizmetlerini hedef almak için çalınan bulut kimlik bilgilerini kullanan LLMjacking adlı benzer bir kampanyanın ayrıntılarını vermişti. Ama ilginç bir değişiklikle, saldırganlar da şimdi bunu yapmaya çalışıyor Zaten mevcut olanları kötüye kullanmak yerine, modelleri etkinleştirmek için çalınan bulut kimlik bilgilerini kullanmak.
🔥 Kaynaklar ve Analizler
🎥 Infosec Uzman Web Semineri
DSPM ile Bulutta Veri Güvenliğinde Ustalaşın: Bulutta veri güvenliğine ayak uydurmakta zorlanıyor musunuz? Hassas verilerinizin bir sorumluluk haline gelmesine izin vermeyin. Web seminerimize katılın ve önde gelen e-ticaret sağlayıcısı Global-e’nin, DSPM ile veri güvenliği duruşunu nasıl önemli ölçüde iyileştirdiğini öğrenin. CISO Benny Bloch, zorlukları, hataları ve öğrenilen kritik dersleri de içeren yolculuklarını açıklıyor. DSPM’yi uygulamaya koyma, riski azaltma ve bulut maliyetlerini optimize etme konusunda eyleme geçirilebilir bilgiler edinin. Şimdi kaydolun ve günümüzün veri odaklı dünyasında rekabet avantajı elde edin.
🛡️Uzmanına Sorun
Q: Saldırganların istismar etme eğiliminde olduğu, kurumsal sistemlerde en çok gözden kaçan güvenlik açığı nedir?
A: Kurumsal sistemlerde en çok gözden kaçan güvenlik açıkları genellikle aşırı izin verilen hesaplar, gevşek API güvenliği, yönetilmeyen gölge BT ve güvenliği zayıf bulut federasyonları gibi yanlış IAM yapılandırmalarında yatmaktadır. Azure PIM veya SailPoint gibi araçlar, erişim incelemelerini yöneterek en az ayrıcalığın uygulanmasına yardımcı olurken Kong veya Auth0, belirteç rotasyonu ve WAF izleme yoluyla API’lerin güvenliğini sağlar. Gölge BT riskleri, uygulama keşfi için Cisco Umbrella ve erişim kontrolünü güçlendirmek için Netskope CASB ile azaltılabilir. Federasyonların güvenliğini sağlamak amacıyla ayarları taramak ve yapılandırmaları sıkılaştırmak için Prisma Cloud veya Orca’yı kullanın; Cisco Duo ise daha güçlü kimlik doğrulama için uyarlanabilir MFA’yı etkinleştirir. Son olarak, HashiCorp Vault veya AWS Secrets Manager aracılığıyla otomatik kimlik bilgileri yönetimiyle hizmet hesaplarını koruyun ve güvenli, tam zamanında erişim sağlayın.
🔒 Haftanın İpucu
DNS Güvenliğinizi Yükseltin: Çoğu kişi cihazlarını ve ağlarını korumaya odaklanırken, insanlar tarafından okunabilen alan adlarını (ör. example.com) makine tarafından okunabilen IP adreslerine dönüştürülmesi genellikle gözden kaçırılır. İnterneti geniş bir kütüphane, DNS’yi de onun kart kataloğu olarak hayal edin; İstediğiniz kitabı (web sitesini) bulmak için doğru karta (adrese) ihtiyacınız vardır. Ancak birisi kataloğu kurcalarsa bilgilerinizi çalmak için sahte web sitelerine yönlendirilebilirsiniz. DNS güvenliğini artırmak için, aramalarınızı izlemeyen gizlilik odaklı bir çözümleyici kullanın (özel bir katalog), bir “ana bilgisayar” dosyası kullanarak kötü amaçlı siteleri engelleyin (tehlikeli kitapların kartlarını çıkarın) ve DNS’li bir tarayıcı uzantısı kullanın filtreleme (gözetlemesi için bir kütüphaneci kiralayın). Ayrıca, DNS kayıtlarının orijinalliğini doğrulamak (kartın orijinalliğini doğrulamak) ve DNS isteklerinizi DoH veya DoT kullanarak şifrelemek (başka kimsenin duyamayacağı şekilde isteklerinizi fısıldamak) için DNSSEC’yi etkinleştirin.
Çözüm
İşte karşınızda bir hafta daha düşünmeniz gereken siber güvenlik zorlukları. Unutmayın, bu dijital çağda dikkatli olmak çok önemlidir. Sürekli gelişen siber dünyada bilgi sahibi olun, tetikte olun ve güvende kalın. Dijital ortamda gezinmenize yardımcı olacak daha fazla haber ve bilgiyle önümüzdeki Pazartesi tekrar karşınızda olacağız.