SİBER

GÜVENLİK
BÜLTENİ
MAYIS 2020

SİBER GÜVENLİK DİREKTÖRLÜĞÜ

www.havelsan.com.tr
 COVID-19
Döneminde Siber Farkındalık

Abdullah Alphan ERTEN

KALKAN ÜRÜN YÖNETİCİSİ
SİBER GÜVENLİK DİREKTÖRLÜĞÜ

www.havelsan.com.tr
COVID-19 Döneminde Siber Farkındalık

Siber suçlular, paniğin hüküm sürdüğü ve Internet kullanıcılarının COVID-19 hakkında bilgi
alma ihtiyacı içerisinde olduğu dünya düzeninin masumlara saldırmak için ideal olduğunu
düşünüyor.

Siber Suçlular…
…verilerin gerçek sahiplerine belirli bir ücret karşılığı geri verildiği fidye yazılım saldırıları gibi
saldırılar ile büyük hasarlara yol açan veri hırsızlığı yapmayı amaçlayacaklar.

…çevrim içi sosyal etkileşim teknikleri ve iyi kurgulanmış güvenlik zafiyeti oluşturma senaryoları
ile kullanıcıların giriş kimlik bilgilerini paylaşmalarına ikna edecek ve bu kimlik bilgileri ile
yasadışı birtakım faaliyetlerde bulunacaklar.

…Dünya Sağlık Örgütü gibi önemli kuruluşların web sitelerini taklit ederek kullanıcı bilgileri
hırsızlığı yapacak ve dahası sözde aşı kampanyası gibi süreçlere kripto para ile bağış toplayacak.

…insanlara sevdikleri ve aile bireyleri hakkında bir takım kurgusal mesajlar atacak ve onların
iyi niyetlerini suiistimal ederek kötü emellerine alet edecekler. Bu kurgudaki en etkili silahları
olan yarattıkları korku ve endişe duygusu insanların isteklerini yerine getirmesini sağlayacak.

Güvende olmak ve durum hakkında

farkındalık yaratmak için bazı ipuçları:
• Internet kullanıcılarını ilk bakışta zararsız ve güvenilir kaynaklarca gönderilmiş izlenimi
yaratan ancak temelde zararlı olan e-postalara karşı dikkatli olmalı hususunda uyarınız. Bu
e-postalarda sıklıkla kullanılan bir yöntem olan mesaj konusu olarak COVID-19 kullanımı ile
kullanıcılardan bilgilerini paylaşmaları veya kötücül yazılım içeren web sayfalarına ziyaret
etmeleri sağlanmaktadır.

• Kullanıcıları genellikle COVID-19 ile ilgili gibi görünen e-posta konu başlıkları içerisinde
yer alan ekli dosyalar ve linkleri tıklamamaları konusunda uyarınız. Zira bu ekli dosyalar ve
zararlı linkler kullanıcıların bilgisayarlarına düzenlenmiş kimlik bilgisi ve bilgi hırsızlığı saldırıları
kurgularının bir parçasıdır.

• Şüpheli görünen e-posta alan bir kişi, göndereni telefon, SMS vb. gibi alternatif iletişim
kanalları ile teyit etmeli ve e-postada yer alan iletişim bilgilerini kesinlikle kullanmamalıdır.

• Yaratılan korku ortamı ve salgın sebebiyle Internet kullanıcılarının içinde bulundukları
manipüle edilmeye müsait olma duygu durumunun alacakları kararlarda mantıklarının
önüne geçmesine engel olunuz.

• .iso, .arj gibi alışagelmedik dosya tipleri içeren COVID-19 temalı e-postaları almanız
üzerine bunun büyük olasılıkla bir siber saldırı olabileceği hususunda alarma geçiniz.

• COVID-19 ile ilişkili görünen, Cloudflare, GoDaddy, OVH gibi sıklıkla kötüye kullanılan
hosting sitelerinden, NameCheap gibi alan adı sağlayıcılarından ve .tk, .pw gibi pek de
alışılageldik olmayan uzantılı alan adlarını görünce lütfen alarm durumuna geçiniz.

• Ağ üzerinde oluşabilecek saldırıların tespiti ve önlenmesi için IDS/IPS yazılımları
kurulumu yapınız.

• Windows Kayıt Defteri üzerinden komut istemlerini kayıtlarını tutulmasını sağlayın ve
Windows Denetim İlkelerini aktif hale getirin, ihtiyacınız doğrultusunda ayarlayınız.

• Fidye yazılımlarla mücadele kapsamında, düzenli çevrim dışı yedeklemelerin
yapıldığından ve yedeklenen dosyaların güvenlik taramasından geçirildiğinden emin olunuz.

• Fidye yazılım saldırısına maruz kalınması durumunda saldırganın talep ettiği ücreti
ödemeyiniz. Zira ödediğiniz durumda bile verinizin elinize sağlam bir şekilde geçeceğinin
garantisi yoktur.

• Dosyaların otomatik olarak kullanıcı için tanımlanmış “İndirilenler” klasörüne

kaydedilmesi özelliğini devre dışı bırakınız. Ayrıca bu dizinde yer alan dosyaların açılmasına ve
uygulamaların çalıştırılmasına verilmiş olan izinleri kaldırınız.

• Aktif Dizin’lerde Grup Politika (GP) düzenlemesi ile kullanıcıların Microsoft Office
uygulamalarında yer alan makroları çalıştırma yetkilerini kaldırınız.

• Oluşabilecek saldırılarda, saldırgan hareketlerinin incelenebilmesi ve metodolojisinin
anlaşılması için kullanıcı aktivitelerinin yeterli seviyede kayıt altına alındığından emin olunuz.

• Uzaktan çalışan personelin bağlantısını çok faktörlü doğrulama metotları ile güvenliği
artırılmış bir VPN üzerinden yaptığından emin olunuz. yöntemdir. VPN bağlantısının kullanıcı
ucunda bulunan kullanıcı bilgisayarının kontrolsüz olması da ayrı bir sorun olarak karşımıza
çıkmaktadır. Bunun için VPN uygulamaları mobil cihaz yönetimi (MDM) çözümlerini de
barındırmaya başlamıştır.
 COVID-19
Temalı Saldırılar

Kamil Olcay ÖZKAYA

SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
COVID-19 Temalı Saldırılar

Zafiyet Genel Bilgi

Kimlik bilgisi toplama veya fidye amaçlı Covid temalı spam / phishing kampanyalarının son
zamanlarda etkinliğini artırdığı görülmektedir. COVID-19 teması, e-posta spam’ı, kötü amaçlı
yazılım ve fidye yazılımı dahil olmak üzere çeşitli kampanyalarda kullanılmaktadır. Saldırı
stratejilerinde mevcut olaylardan bahsetmek, sosyal olarak sıcak konuların veya popüler
kişilikleri tekrar tekrar kullanmak tehdit aktörleri için yeni bir şey değildir. APT grupları da,
ulusal önceliklere uygun toplu kişisel bilgi, fikri mülkiyet ve istihbarat toplamak için bu tarz
saldırıları kullanabilmektedirler.

“Güncellenmiş COVID İzleme Ayrıntıları”, “COVID-19 için Güncellenmiş DSÖ Önerileri” vb.
konular başta olmak üzere kurbanları COVID tabanlı ayrıntılara yönlendiren e-posta’lar
aracılığı ile uzaktan çalışmaya geçiş süreci ve bunun sonucunda ortaya çıkan yeni güvenlik
açıklarını kullanan saldırganların kötü amaçlı yazılım kampanyalarında kullandıkları yazılım
ve tekniklerden bazıları şu şekildedir:

• Lokibot
• Ajan Tesla (MITRE S0331)
• AZORult (MITRE S0344)
• Adwind
• CVE-2017-11882

COVID-19 Cyber Threat Coalition adındaki gönüllü bir grubun güncellediği listede, sağlık
hizmetleri, hükümet ve kurumsal kuruluşlara yönelik saldırılarla ilişkili olduğu veya Coronavirus
“temalı” dolandırıcılık, kimlik avı saldırıları ve kötü amaçlı yazılımlarla ilişkili olduğu bilinen
URL’leri veya alan adlarını içeren iki blok listesi oluşturdu. Coronavirus temalı dolandırıcılık,
kimlik avı saldırıları ve kötü amaçlı yazılım tehditleriyle ilişkili bilinen URL’lerin sayısının şu
an için 13,863 ve bu saldırılarda kullanılan alan adlarının ise 12,258 olduğu görülmüştür. Bu
listelere birinci ve ikinci referans aracılığı ile ulaşılabilmektedir.

Etki Alanı

APT aktörleri, hem ulusal hem de uluslararası COVID-19 yanıtlarında yer alan kuruluşları
aktif olarak hedef almaktadır. Bu kuruluşlar arasında sağlık kurumları, ilaç şirketleri,
akademi, tıbbi araştırma kuruluşları ve yerel yönetimler bulunmaktadır.
Önerilen Güvenlik Önlemleri

Sistemlerinde Anti malware özelliği olan Endpoint Detection and Response (EDR)
vb. gibi son kullanıcının korunması için çeşitli güvenlik sistemlerin kullanılması
önerilmektedir.

Kurum çalışanlarının bilgi güvenliği farkındalığını arttırmak amacıyla çeşitli eğitimler

sürekli olarak verilmesi önerilmektedir.

Zararlı yazılımların olası etkilerinden korunmak için kurumlarda sistemlerin düzenli

yedeklerinin alınması önem arz etmektedir.

Referanslarda belirtilen URL ve Domain listesinin en kısa sürede kurum güvenlik

cihazlarından engellenmesi ve yayınlanan güvenlik güncelleştirmelerinin yapılması
önem arz etmektedir.

Referanslar

https://blocklist.cyberthreatcoalition.org/vetted/url.txt

https://blocklist.cyberthreatcoalition.org/vetted/domain.txt

https://www.bleepingcomputer.com/news/security/cyber-volunteers-release-
blocklists-for-26-000-covid-19-threats/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/covid-19-malware-makes-
hay-during-a-pandemic/

https://labs.sentinelone.com/threat-intel-update-cyber-attacks-leveraging-the-covid-
19-coronavirus-pandemic/
 PAN-OS’u Etkileyen
Açıklık

Kamil Olcay ÖZKAYA

SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
PAN-OS’u Etkileyen Açıklık

Zafiyet Genel Bilgi

PAN‑OS, tüm Palo Alto Networks’ün yeni nesil güvenlik duvarlarını çalıştıran yazılımıdır.
Panorama context switching özelliğinde kimlik doğrulama bypass’ına yol açan güvenlik açıklığı,
Panorama’nın yönetim ara yüzüne ağ erişimi olan bir saldırganın yönetilen güvenlik duvarlarına
ayrıcalıklı erişim elde etmesini sağlar. Saldırgan, özel hazırlanmış bir istek göndererek, CVE-
2020-2018 olarak kodlanan bu güvenlik açıklığından yararlanabilmektedir. Saldırgana,
bu açıklıktan yararlanmak için bazı yönetilen güvenlik duvarları bilgisi gerekmektedir. Bu
açıklık, Panorama ve yönetilen cihazlar arasındaki iletişim için özelleştirilmiş sertifika kimlik
doğrulamasıyla yapılandırılmış Panorama’yı etkilememektedir.

Etki Alanı

CVE-2020-2018 açıklığı PAN-OS: 7.1.26’dan önceki PAN-OS 7.1 sürümlerini; 8.1.12’den

önceki PAN-OS 8.1 sürümlerini; 9.0.6’dan önceki PAN-OS 9.0 sürümlerini ve tüm PAN-
OS 8.0 sürümlerini kullanan kuruluşları etkileyebilmektedir.

Ayrıca söz konusu açıklık, Panorama ve yönetilen cihazlar arasındaki iletişim için
özelleştirilmiş sertifika ile kimlik doğrulamasıyla yapılandırılmamış olan Panorama’ları
etkileyebilmektedir.

Önerilen Güvenlik Önlemleri

Açıklığın giderilmesi amacıyla yayımlanan PAN-OS 7.1.26, PAN-OS 8.1.12, PAN-OS 9.0.6
ve sonraki tüm PAN-OS sürümlerine yazılımın güncellenmesi önerilmektedir.

Ayrıca Panorama ve yönetilen güvenlik duvarları arasında özelleştirilmiş sertifika ile

kimlik doğrulaması etkinleştirilerek bu açılığın etkileri giderilmektedir.

Ayrıca, açıklığın bulunduğu PAN-OS 8.0 versiyonunun 31 Ekim 2019 itibarıyla kullanım
ömrünün sonuna geldiği ve artık Ürün Güvenliği Güvencesi’nin sona erdiğinden
gerekli yükseltmelerin bir an önce yapılması gerekmektedir.

Referanslar

https://security.paloaltonetworks.com/CVE-2020-2018

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2018
VMware vROps Yazılımında
Bulunan Kritik Açıklıklar

Kamil Olcay ÖZKAYA

SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
VMware vROps Yazılımında Bulunan Kritik Açıklıklar

Zafiyet Genel Bilgi

VMware vRealize Operations (vROps), verimli kapasite yönetimi, proaktif planlama ve akıllı
iyileştirme temelli sürekli performans optimizasyonu sunan ve cluster kurulumu ve yönetimi
gibi işlemlerin gerçekleştirilebildiği bir yazılımdır. Bu yazılımda konfigürasyon yönetimi
ve düzenleme sistemi olarak kullanılan ve açık kaynaklı “SaltStack” projesinden geliştirilen
“Salt” uygulamasında, kimlik doğrulama bypass (CVE-2020-11651) ve directory traversal (CVE-
2020-11652) için kullanılabilecek 2 adet kritik güvenlik açıkllığı tespit edilmiştir. Bu açıklıklar
kullanılarak LineageOS, Ghost, DigiCert ve Algolia vb. kuruluşlarda gerçekleştirilen ve veri
ihlallerine yol açan saldırılar tespit edilmiştir.

Yapılan incelemelerde, bu açıklıkların vROps 7.5 ile sunulan Application Remote Collector
(ARC) özelliğinde kullanılan “Salt” uygulamasında olduğu tespit edilmiştir. Bu açıklıklardan,
kimlik doğrulama bypass’a yol açan açıklığın CVSSv3 derecelendirilmesine göre en yüksek
değerlendirme olan 10 ile derecelendirildiği, directory traversal’a yol açan açıklığın ise 7,5 ile
derecelendirildiği görülmektedir.

Saldırganların, CVE-2020-11651 (Kimlik Doğrulama Bypass) ile ARC üzerindeki 4505 veya 4506
numaralı portlar kullanılarak ARC ve ARC’nin bir ajanının kurulu olduğu sanal makinelerin
kontrolünü ele geçirebilecekleri değerlendirilmektedir. Ayrıca, CVE-2020-11652 (Directory
Traversal) açıklığı ile de saldırganlar, ARC’deki 4505 veya 4506 numaralı portları kullanarak
ARC dosya sisteminin tümüne erişim sağlayabildikleri görülmektedir.

Etki Alanı

Güvenlik açıklarının vROps’da bulunan Application Remote Collector 7.5, 8.0, 8.0.1, 8.1
versiyonlarını kullanan kurumları etkilediği görülmektedir.

Önerilen Güvenlik Önlemleri

Bu açıklıklar için VMware’ın yayımladığı bir güvenlik güncelleştirmesi şimdilik

bulunmamaktadır. Ancak, geçici olarak tüm ARC’lerde 4505 ve 4506 portlarını
engellemek için iptables kurallarının eklenmesi ve VMware güncelleştirmelerinin
takip edilmesi önerilmektedir.

Referanslar
https://www.vmware.com/security/advisories/VMSA-2020-0009.html
https://www.securityweek.com/vmware-patch-recent-salt-vulnerabilities-vrops
https://kb.vmware.com/s/article/79031
Citrix Yazılımında Bulunan
Kritik Açıklıklar

Kamil Olcay ÖZKAYA

SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Citrix Yazılımında Bulunan Kritik Açıklıklar

Zafiyet Genel Bilgi

Bir veri depolama çözümü Citrix ShareFile‘ın birden çok sürümünde özel veri alanlarına
erişim için kimlik doğrulaması yapılmadan erişime izin veren üç güvenlik açığını tespit edildi.
Açıklıklar, Citrix ShareFile yazılım paketlerinde, özellikle “AjaxControlToolkit” bileşeninde tespit
edilen bir bağımlılığın varlığından kaynaklanmaktadır. Bu açıklık, kimlik doğrulaması olmayan
bir uzak saldırganın hedef sistemdeki belgelere erişmesini mümkün hale getirmektedir.

ShareFile, içerik iş birliği, dosya paylaşımı ve senkronizasyon için bir sisteme ihtiyaç duyan
işletmelere yönelik bir hizmettir. Veriler şirket içi veya bulut depolama bölgelerinden
edinilebilir ve bir StorageZones Controller aracılığıyla kullanıcıya güvenli bir şekilde aktarılır.

Bu sistemde tespit edilen üç güvenlik açıklığı CVE-2020-7473, CVE-2020-8982 ve CVE-2020-

8983 olarak tanımlanmıştır. ShareFile StorageZones Controller’ın 5.9.0., 5.8.0., 5.7.0., 5.6.0.
ve 5.5.0. ana versiyonlarını etkileyen bu açıklıkların 5.9.1., 5.8.1., 5.7.1., 5.6.1., 5.5.1. ve üstü ara
versiyonları etkilenmediği görülmektedir.

Shodan’da Citrix ShareFile depolama sunucuları için yapılan aramada 2.800’e yakın zafiyet
içeren versiyona sahip sunucu olduğu görülmektedir.
Etki Alanı

ShareFile StorageZones Controller 5.9.0, 5.8.0, 5.7.0, 5.6.0 ve 5.5.0. ana versiyonlarını
kullanan kurumları etkilemektedir.

Önerilen Güvenlik Önlemleri

Etkilenen sistemlerin için Citrix tarafından sağlanan güvenlik yamalarının ve CTX269341

aracının kullanılarak gerekli iyileştirmelerin ivedilikle yapılması önerilmektedir. Bunun
yanı sıra, açıklık bulunan sunucuda “UploadTest.aspx” ve “XmlFeed.aspx” erişiminin
engellenmesi de önerilmektedir.

Referans

https://www.bleepingcomputer.com/news/security/critical-citrix-sharefile-bugs-could-give-
access-to-private-files/
 Eleethub Bitcoin
Madenciliği Botnet’i

Kamil Olcay ÖZKAYA

SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Eleethub Bitcoin Madenciliği Botnet’i

Zafiyet Genel Bilgi

Eleethub özel hazırlanmış ve bir rootkit’e gömülü bir Bitcoin (BTC) madencisidir. Kullanılan
Perl Shellbot, kripto para birimi madenciliği yazılımının en sonuncu varyantıdır. Yazılım henüz
geliştirilme aşamasındayken tespit edilmiştir.

Zararlı yazılım, kurban cihaza indirilen komut dosyalarını çalıştırdıktan sonra Komuta
ve Kontrol (C2) sunucusundan komut beklemeye başlar. Perl programlama dili, geniş
uyumluluğu nedeniyle kötü amaçlı yazılımlarda popüler olması sebebiyle, bu botnet sadece
Unix tabanlı sistemleri değil, aynı zamanda Linux alt sistemi kullanan Windows 10 sistemlerini
de etkileyebilmektedir.

Saldırganlar, virüslü cihazdaki madencilik işlemlerini gizlemek için “libprocesshider.so” adlı bir
kütüphane ve algılanmayı önlemek için özel hazırlanmış bir rootkit kullanır. Ayrıca Eleethub
botnet’inin, en büyük Internet Relay Chat(IRC) ağlarından biri olan UnderNet ile bağlantılara
sahip olduğu tespit edilmiştir. Madencilik operasyonu bir rootkit ile gizlenmektedir. Yapılan
incelemelerde, zararlı yazılımın, /bin/ps’i hazırlanmış yeni bir sürümle değiştirdiği ayrıca; “xmrig”
ve “emech” adı verilen diğer bitcoin madenciliği yazılımlarının sistemde halihazırda bulunup
bulunmadığını da denetlediği görülmüştür. Rootkit, tüm ilgili dosyaları C2 sunucusundan
hedef sisteme indirip, yüklendikten sonra, kötü amaçlı script’leri çalıştırmakta ve bir IRC
sunucusuna bağlantı isteği yollamaktadır.

IoC:

• eleethub[.]com
• irc.eleethub[.]com
• ghost.eleethub[.]com
• 62.210.119[.]142
• 82.76.255[.]62
• 7ed8fc4ad8014da327278b6afc26a2b4d4c8326a681be2d2b33fb2386eade3c6
• dbef55cc0e62e690f9afedfdbcfebd04c31c1dcc456f89a44acd516e187e8ef6
• d9001aa2d7456db3e77b676f5d265b4300aaef2d34c47399975a4f1a8f0412e4
• 14c351d76c4e1866bca30d65e0538d94df19b0b3927437bda653b7a73bd36358
• 6d1fe6ab3cd04ca5d1ab790339ee2b6577553bc042af3b7587ece0c195267c9b

Etki Alanı

Eleethub zararlı yazılımı sadece Unix tabanlı sistemleri değil, aynı zamanda Linux alt
sistemi kullanan Windows 10 sistemlerini de etkileyebilmektedir.
Önerilen Güvenlik Önlemleri

Sistemlerinde Anti malware özelliği olan Endpoint Detection and Response (EDR)
vb. gibi son kullanıcının korunması için çeşitli güvenlik sistemlerin kullanılması
önerilmektedir.

Kurum çalışanlarının bilgi güvenliği farkındalığını arttırmak amacıyla çeşitli eğitimler

sürekli olarak verilmesi önerilmektedir.

Zararlı yazılımların olası etkilerinden korunmak için kurumlarda sistemlerin düzenli

yedeklerinin alınması önem arz etmektedir.
Belirtilen URL ve Domain listesinin en kısa sürede kurum güvenlik cihazlarından
engellenmesi ve yayınlanan güvenlik güncelleştirmelerinin yapılması önem arz
etmektedir.

Referans

https://unit42.paloaltonetworks.com/los-zetas-from-eleethub-botnet/
SAP Yazılımlarında Bulunan
Kritik Açıklıklar

Kamil Olcay ÖZKAYA

SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
SAP Yazılımlarında Bulunan Kritik Açıklıklar

Zafiyet Genel Bilgi

SAP firmasının yazılım çözümlerinde, birkaç ürününde çok yüksek ve yüksek kritiklik
derecelerine sahip toplam 24 güvenlik açıklığı tespit edilmiştir.

Çok yüksek olarak değerlendirilen açıklıklardan bir tanesi dışındaki tümü uzaktan
çalıştırılabilen, kullanıcı etkileşimi gerektirmeyen açıklıklar olduğu değerlendirilmektedir.
Tespit edilen kritik açıklıkların en önemlisi CVE-2020-6262 kodlu ve 10 üzerinden 9,9’luk
derecelendirmeye sahip olan Service Data Download’da tespit edilen bir kod enjeksiyon
güvenlik açığıdır. Bu açıklığın SAP Application Server ABAP’ın birden fazla sürümünü etkilediği
görülmektedir.

Listedeki ikinci en ciddi güvenlik açıklığı, 9,8 olarak derecelendirilen CVE-2020-6242

kodlu açıklıktır. Bu açıklığın sebebi SAP Business Objects Business Intelligence Platform
(Live Data Connect)’in ilgili sürümlerinde kimlik doğrulama denetiminin olmamasından
kaynaklanmaktadır.

SAP Business istemcisi ile birlikte gelen Chromium tarayıcısı için de 9,8 derecelendirilmesi ile
bir güvenlik açıklığı tespit edilmiştir.

SAP Adaptive Server Enterprise’ın (ASE) yedekleme sunucusunda CVE-2020-6248 olarak

tanımlanan ve 9,1 olarak derecelendirilen başka bir kod enjeksiyonu tespit edilmiştir.

Bunun yanında, SAP Business Objects Business Intelligence Platform’da ise (CR .Net SDK
WebForm Viewer) CVE-2020-6219 olarak tanımlanan ve 9,1 kritiklik derecesine sahip bir
güvenlik güncelleştirmesi de tespit edilmiştir.
Çok yüksek olarak derecelendirilen kritik açıklıklardan sonuncusu ise, SAP ASE’nin grafik
yönetim aracı Cockpit’te CVE-2020-6252 olarak kodlanan ve bilgi ifşasına sebep olabilecek
9,0 kritiklik derecesine sahip güvenlik açıklığı olduğu görülmektedir.

Etki Alanı

SAP Application Server ABAP’ın 2008_1_46C, 2008_1_620, 2008_1_640, 2008_1_700,

2008_1_710, 740 versiyonları, Business Objects Business Intelligence Platformu’nda 1.0,
2.0, 2.X versiyonları ve Adaptive Server Enterprise 16.0 versiyonunu kullanan kuruluşlar
bu açıklıklardan etkilenmektedir.

Önerilen Güvenlik Önlemleri

SAP müşterilerinin, şirketin destek portalı aracılığıyla yamaları uygulamaya öncelik

vermeleri önemle tavsiye edilmektedir.

Referans

https://www.bleepingcomputer.com/news/security/sap-may-2020-security-patch-day-
delivers-critical-updates/
Cisco Güvenlik Cihazlarında
Bulunan Kritik Açıklıklar

Kamil Olcay ÖZKAYA

SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Cisco Güvenlik Cihazlarında Bulunan Kritik Açıklıklar

Zafiyet Genel Bilgi

Cisco, Adaptive Security Appliance (ASA) yazılımını ve Firepower Threat Defense (FTD)
yazılımını etkileyen bir düzine yüksek yoğunluklu açıklık tespit edilmiştir. Kritik olarak bildirilen
12 güvenlik açıklığının yanı sıra Cisco, ASA, FTD ve diğer Cisco ürünlerini etkileyen 22 orta
dereceli güvenlik açıklığı da yayımlamıştır.

ASA ve FTD yazılımlarını kapsayan güvenlik açıklıklarından en yüksek CVSS puanı 9,1 olan hata,
CVE-2020-3187 olarak koduna sahip güvenlik açığıdır. Saldırgan, directory traversal karakter
dizilerini içeren hazırlanmış bir HTTP isteği göndererek, saldırganın sistemdeki dosyaları
görüntülemesine veya silmesine izin vererek bu açıklıktan yararlanabilir.

CVE-2020-3125 kodlu kimlik doğrulama bypass açıklığı, VPN veya yerel aygıt erişimi için
yapılandırılmış Kerberos kimlik doğrulaması aktif olan ASA cihazlarını etkiler.

CVE-2020-3195 kodlu izlenen bellek sızıntısı açıklığı, ASA ve FTD’nin, bir saldırganın etkilenen
bir aygıta özel hazırlanmış bazı Open Shortest Path First (OSPF) paketlerini yanlış işlemesi
nedeniyle ortaya çıkar. Saldırgan daha sonra yeniden başlatılıncaya kadar bir cihazın belleğini
kullanabilir ve hizmet reddi saldırısını tetikleyebilir.

Etki Alanı

Cisco güvenlik cihazlarının açıklık içeren versiyonlarını kullanan kişi ve kurumlar bu

saldırılardan etkilenebilmektedir.

Önerilen Güvenlik Önlemleri

Cisco, kullanıcıların en kısa sürede kurmaları gereken güvenlik açıklarını gidermek

için yayımlanan güncelleştirmelerin ivedi olarak kurulması gerekmektedir.
Güncelleştirmeler, güvenlik yazılımını etkileyen sekiz hizmet reddi sorununu, bilgi
ifşasına neden olabilecek açıklığı, bellek sızıntısı açıklığını, file traversal bypass ve
kimlik doğrulama açıklığını gidermektedir.

Referans
https://tools.cisco.com/security/center/
mpublicationListingDetails.x?docType=CiscoSecurityAdvisory
 Kuzey Kore Menşeli
Hidden Cobra
Zararlı Yazılımı
Kamil Olcay ÖZKAYA
SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Kuzey Kore Menşeli Hidden Cobra Zararlı Yazılımı

Zafiyet Genel Bilgi

Kuzey Kore menşeli APT grubu Hidden Cobra tarafından casusluk faaliyetleri gerçekleştirmek,
sistemleri uzaktan ele geçirmek, bilgileri çalmak ve hedeflenen sistemlere casus yazılım
yüklemek gibi amaçlarla kullanılan bir zararlı yazılım tespit edilmiştir. Zararlı yazılımın,
enfekte edilmiş belgeler aracılığı ile dağıtıldığı görülmektedir. Tespit edilen örneklerde zararlı
yazılımın Copperhedge, Taintedscribe ve Pebbledash zararlı yazılım ailelerine ait olduğu
değerlendirilmektedir.

Copperhedge, saldırganların rastgele komutlar çalıştırmasına, sistem keşfi gerçekleştirmesine

ve verileri dışarı atmasına izin veren bir uzaktan erişim trojanı olduğu görülmektedir.
Copperhedge zararlı yazılımının, kripto para birimi borsalarına saldırılarda kullanıldığı
görülmüştür. Zararlı yazılımın altı farklı varyantının olduğu tespit edilmiştir. Her varyantın
ortak kod ve ortak sınıf yapısına göre kategorize edildiğini görülmektedir.

Taintedscribe, güvenliği ihlal edilmiş bir sistemde saldırganın komutlarını çalıştırabilen bir
zararlı yazılımdır. Yapılan incelemelerde, oturum kimlik doğrulaması ve ağ şifrelemesi için
FakeTLS’in Linear Feedback Shift Register algoritmasını kullandığı görülmektedir.

Pebbledash ise, dosyaları indirme, yükleme, silme ve yürütme yeteneğine sahip bir zararlı
yazılımdır. Zararlı yazılımın, Windows CLI erişimini sağladığı, süreçler oluşturduğu ve
sonlandırdığı görülmektedir. Zararlı yazılımın, oturum kimlik doğrulaması için FakeTLS ve ağ
şifrelemesi için RC4 kullandığı değerlendirilmektedir.

IoC:

• D8AF45210BF931BC5B03215ED30FB731E067E91F25EDA02A404BD55169E3E3C3
• 7985AF0A87780D27DC52C4F73C38DE44E5AD477CB78B2E8E89708168FBC4A882
• E98991CDD9DDD30ADF490673C67A4F8241993F26810DA09B52D8748C6160A292
• 4838F85499E3C68415010D4F19E83E2C9E3F2302290138ABE79C380754F97324
• E76B3FD3E906AC23218B1FBD66FD29C3945EE209A29E9462BBC46B07D1645DE2
• 1FAAA939087C3479441D9F9C83A80AC7EC9B929E626CB34A7417BE9FF0316FF7
• 3FF4EBAE6C255D4AE6B747A77F2821F2B619825C7789C7EE5338DA5ECB375395
• C2F150DBE9A8EFB72DC46416CA29ACDBAE6FD4A2AF16B27F153EAABD4772A2A1
• 1678327C5F36074CF5F18D1A92C2D9FEA9BFAE6C245EAAD01640FD75AF4D6C11
• C0EE19D7545F98FCD15725A3D9F0DBD0F35B2091E1C5B9CF4744F16E81A030C5
• 9E4BD9676BB3460BE68BA4559A824940A393BDE7613850EDA9196259E453B9F3
• EEE38C632C62CA95B5C66F8D39A18E23B9175845560AF84B6A2F69B7F9B6EC1C
• F6E1A146543D2903146698DA5698B2A214201720C0BE756C6E8D2A2F27DCFAFF
• 37BB27F4EB40B8947E184AFDDBA019001C12F97588E7F596AB6BC07F7C152602
• E6FC788B5FF7436DA4450191A003966A68E2A1913C83F1D3AEC78C65F3BA85CA
 • 284BC471647F951C79E3E333B2B19AA37F84CC39B55441A82E2A5F7319131FAC
• A1CDB784100906D0AC895297C5A0959AB21A9FB39C687BAF176324EE84095472
• B4BF6322C67A23553D5A9AF6FCD9510EB613FFAC963A21E32A9CED83132A09BA
• 134B082B418129FFA390FBEE1568BD9510C54BFDD0E6B1F36BC7B8F867E56283
• 0A763DA26A67CB2B09A3AE6E1AC07828065EB980E452CE7D3354347976038E7E

Etki Alanı

Tüm kişi ve kurumlar bu saldırıdan etkilenebilmektedir.

Önerilen Güvenlik Önlemleri

Aşağıdaki Snort kurallarının uygulanması ve IoC listesinin güvenlik cihazlarında

engellenmesi önem arz etmektedir.

• alert tcp any any -> any 80 (msg:”handshake detected”; content:”*dJU!*JE&!M@

UNQ@”; sid:5; rev:1;)
• alert tcp any any -> any 80 (msg:”handshake detected”; content:”t34kjfdla45l”;
sid:6; rev:1;)
• alert tcp any any -> any 80 (msg:”malware traffic detected”; content: “_
webident_f”; http_client_body; content: “_webident_s “; http_client_body; sid:33; rev:1;)
• alert tcp any any -> any 80 (msg:”malware traffic detected”; content: “_
webident_f”; http_client_body; content: “_webident_s”; http_client_body; sid:1; rev:1;)
• alert tcp any any -> any any (msg:”Malware Detected”; pcre:” /\x17\x03\x01\x00\
x18.\x26\xa5\xbb\xf1\x4f\x33\xcb/”; rev:1; sid:99999999;)
• alert tcp any any -> any any (msg:”Malware Detected”; pcre:” /\x17\x03\x01\x00\
x08.\x20\x59\x2c/”; rev:1; sid:99999999;)

Referanslar
https://threatpost.com/feds-publish-malware-analysis-of-hidden-cobra/155686/
https://securityaffairs.co/wordpress/103127/apt/uscybercom-north-korea-malware-samples.html
https://www.us-cert.gov/ncas/analysis-reports/ar20-133a
https://www.us-cert.gov/ncas/analysis-reports/ar20-133b
https://www.us-cert.gov/ncas/analysis-reports/ar20-133c
 Siber Güvenlik Alanında
Yeni Teknolojiler ve Ürünler

Cemal Kaan CÖMERT

İLETİ ÜRÜN YÖNETİCİSİ
SİBER GÜVENLİK DİREKTÖRLÜĞÜ

Abdullah Alphan ERTEN

KALKAN ÜRÜN YÖNETİCİSİ
SİBER GÜVENLİK DİREKTÖRLÜĞÜ

www.havelsan.com.tr
Siber Güvenlik Alanında Yeni Teknolojiler ve Ürünler

Her sene düzenlenen ve siber güvenlik alanındaki en son ürün ve teknolojilerin tanıtıldığı
RSA konferansı 24-28 Şubat tarihleri arasında Amerika Birleşik Devletleri’nin San Francisco
şehrinde gerçekleştirildi. Siber güvenlik alanında dünya pazarında önemli ölçüde pay sahibi
olan firmaların lansmanını gerçekleştirdiği yeni teknolojiler arasında, API güvenliği platformları,
yapay zekâ temelli, kullanıcı ve varlık davranışı analizi yapabilen uç nokta güvenlik çözümleri,
bulut bilişim teknolojileri üzerine odaklanmış veri kaybı önleme araçları, tamamen yönetimli
hizmetin sağlandığı güvenlik çözüm paketleri, IoT cihazları ve endüstriyel kontrol sistemleri
güvenliği çözümleri ve mobil iletişim güvenliği çözümleri dikkat çekmektedir. Öne çıkan bir
diğer gelişme ise, güvenlik düzenleme, otomasyon ve yanıt (SOAR) araçları sağlayan firma
sayısındaki artış. Bunda en çok payı olan faktörün siber güvenlik bilgi ve yetkinliğine sahip
personel ve/veya bu alana ayrılmış bütçesi kısıtlı firmaların süreçlerini mümkün olduğunca
personelden bağımsız ve düşük maliyetlerle yürütme istekleri olduğunu düşünüyoruz. Ayrıca
bu faktörden bağımsız olarak, genel manada hali hazırda kurulu sistemlere SOAR çözümleri
entegrasyonu yapılmasının fiziksel ve dijital güvenlik süreçlerinin verimliliğini artırdığı gerçeği
de yadsınamaz. Ancak kullanıcıların belirledikleri hedeflere ulaşmak için doğru çözümü
seçmeleri de bu hususta büyük önem taşımaktadır. Konuya dair Gartner’da verilen genel
tavsiyelere bakıldığında alarm yığını sebebiyle oluşan gürültüyü minimize edebilen, üretilen
alarmlar arasında bir korelasyon bularak bağlam oluşturabilen ve hızlı aksiyonların alınmasını
sağlayan çözümlerin seçilmesinin esas olduğunu görüyoruz.
www.havelsan.com.tr