TR-15-045 (AlertTA15-119A : Hedef Alınan Yüksek Riskli 30 Açıklık)

Etkilenen Sistemler

Yamasız Adobe, Microsoft, Oracle, ya da OpenSSL yazılımlarını çalıştıran sistemler.

Genel Bakış

Siber tehdit unsurları kritik altyapı kuruluşlarına yönelik yürüttükleri saldırılarında yamasız yazılımları sömürmeye devam etmektedirler. Hedefli saldırıların yüzde 85’e yakın oranda önlenebilir durumdadır[1].

Bu uyarı, bahse konu saldırılarda en sık istismar edilen 30 açıklık hakkında önleme ve azaltma önerileri dahil bilgi vermek amaçlı hazırlanmıştır.

Kanada Siber Olay Müdahale Merkezi (CCIRC) tarafından Kanada, Yeni Zelanda, İngiltere ve Avustralya Siber Güvenlik Merkezi ortaklığında yapılan işbirliği çerçevesinde tamamlanan analize dayanmaktadır.

Tanım

Yamasız güvenlik açıkları kötü niyetli aktörlerin ağ içine giriş yapmasına olanak sağlar. Saldırılarda bir dizi güvenlik açığının sürekli hedeflendiği gözlemlenmiştir.

Etki

Başarılı bir ağ saldırısının, özellikle hassas bilgilerin ele geçirilmesi ve bunların kamuoyu tarafından bilinmesi durumunda, ağır etkileri olabilir. Olası etkiler şunlardır:

●Hassas veya özel bilgilerin geçici ya da kalıcı kaybı,

●Düzenli iş akışının bozulması,

●Sistemleri ve dosyaları geri getirmenin finansal zararları,

●Bir kuruluşun itibarına dönük potansiyel zarar.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM) kullanıcı ve sistem yöneticilerine aşağıda belirtilen önlemleri incelemelerini ve gerekli tedbirleri almalarını tavsiye etmektedir.

Yazılımları Güncel tutunuz

Kötü niyetli aktörler tarafından kullanılan e-posta ekleri, ele geçirilmiş siteler benzeri saldırı vektörleri genellikle yaygın olarak kullanılan yazılım uygulamalarında bulunan yamasız açıklardan faydalanmaktadır. Yamama, bu yazılım bileşenlerinde bulunan açıklıkları düzetme işlemidir.

Tüm kuruluşların olası tehditlere karşı uygun önleyici tedbirlerin alınmasını temin etmek amacıyla güçlü ve sürekli bir yama yönetimi sürecini oluşturulması gereklidir.

Bir sistem ne kadar uzun süre yamasız kalırsa, o kadar uzun süre ele geçirilmeye karşı savunmasız kalır. Bir yama açıklandıktan sonra, altta yatan güvenlik açığı kötü niyetli aktörler tarafından istismar yaratmak amacıyla tersine mühendislik için kullanılabilir. Bu sürecin her yerde 24 saat ile dört gün arasında gerçekleştiği belgelenmiştir. Zamanında yama yapmak, ağının tehditlere maruz kalmaması için bir kuruluşun atabileceği en etkili ve düşük maliyetli adımlardan biridir.

Yaygın sömürülen açıklarını yama yapınız

Yöneticiler, kurumlarının bilgi güvenliği uzmanları tarafından aşağıdaki program açıklarını yama yaptıklarını teyit etmelidir. Lütfen yama bilgilerine sürüm ayrıntılarını göze alarak bakınız.

Microsoft

CVE

Etkilenen Ürünler

Yama Bilgisi

CVE-2006-3227

​Internet Explorer

Microsoft Malware Önleme Ansiklopedisi Kaydı

CVE-2008-2244

Office Word

Microsoft Güvenlik Bülteni MS08-042

CVE-2009-3129

Office

Office for Mac

Open XML File Format Converter for Mac

Office Excel Viewer

Excel

Office Compatibility Pack for Word, Excel, and PowerPoint

Microsoft Güvenlik Bülteni MS09-067

​CVE-2009-3674

​Internet Explorer

​Microsoft Güvenlik Bülteni MS09-072

CVE-2010-0806​

​Internet Explorer

Microsoft Güvenlik Bülteni MS10-018

CVE-2010-3333

Office

Office for Mac

Open XML File Format Converter for Mac

Microsoft Güvenlik Bülteni MS10-087

CVE-2011-0101

Excel

 

Microsoft Güvenlik Bülteni MS11-021

CVE-2012-0158

Office

SQL Server

BizTalk Server

Commerce Server

Visual FoxPro

Visual Basic

Microsoft Güvenlik Bülteni MS12-027

CVE-2012-1856

Office

SQL Server

Commerce Server

Host Integration Server

Visual FoxPro Visual Basic

Microsoft Güvenlik Bülteni MS12-060

​CVE-2012-4792

​Internet Explorer

​Microsoft Güvenlik Bülteni MS13-008

CVE-2013-0074

​Silverlight and Developer Runtime

Microsoft Güvenlik Bülteni MS13-022

CVE-2013-1347

​Internet Explorer

Microsoft Güvenlik Bülteni MS13-038

CVE-2014-0322​

​​Internet Explorer

Microsoft Güvenlik Bülteni MS14-012

CVE-2014-1761

Microsoft Word

Office Word Viewer

Office Compatibility Pack

Office for Mac

Word Automation Services on SharePoint Server

Office Web Apps

Office Web Apps Server

Microsoft Güvenlik Bülteni MS14-017

​CVE-2014-1776

​Internet Explorer

Microsoft Güvenlik Bülteni MS14-021

CVE-2014-4114

​Windows

Microsoft Güvenlik Bülteni MS14-060

 

 Oracle

CVE

Etkilenen Ürünler

Yama Bilgisi

CVE-2012-1723

Java Development Kit, SDK, and JRE

Oracle Java SE Critical Patch Update Advisory - June 2012

CVE-2013-2465

Java Development Kit and JRE

Oracle Java SE Critical Patch Update Advisory - June 2013

 

 Adobe

CVE

Etkilenen Ürünler

Yama Bilgisi

​CVE-2009-3953

Reader

Acrobat ​

Adobe Güvenlik Bülteni APSB10-02​

​CVE-2010-0188

​Reader

Acrobat

Adobe Güvenlik Bülteni APSB10-07

CVE-2010-2883

Reader

Acrobat ​

Adobe Güvenlik Bülteni APSB10-21

CVE-2011-0611

​Flash Player

AIR

Reader

Acrobat

Adobe Güvenlik Bülteni APSB11-07

Adobe Güvenlik Bülteni APSB11-08​

​CVE-2011-2462

Reader

Acrobat ​

Adobe Güvenlik Bülteni APSB11-30

​CVE-2013-0625

ColdFusion​

Adobe Güvenlik Bülteni APSB13-03

CVE-2013-0632

​ColdFusion

Adobe Güvenlik Bülteni APSB13-03

​CVE-2013-2729

​Reader

Acrobat

Adobe Güvenlik Bülteni APSB13-15

​CVE-2013-3336

​ColdFusion

Adobe Güvenlik Bülteni APSB13-13

CVE-2013-5326

 

​ColdFusion

Adobe Güvenlik Bülteni APSB13-27

CVE-2014-0564

Flash Player

AIR

AIR SDK & Compiler

Adobe Güvenlik Bülteni APSB14-22

 

OpenSSL

CVE

Etkilenen Ürünler

Yama Bilgisi

CVE-2014-0160

OpenSSL

CERT Vulnerability Note VU#720951

 

Aşağıdaki dört iyileştirme stratejisini uygulayın

Hedef gözeten siber saldırıları önlemeye yardımcı olması yönüyle kapsamlı güvenlik stratejisinin bir parçası olarak, ağ yöneticileri aşağıdaki dört iyileştirme stratejisini uygulayın.

Sıralama

İyileştirme Stratejisi

Gerekçe

1

Kötü niyetli yazılım ve onaylanmamış programları çalışmasını önlemek amaçlı uygulama beyaz-listesi (application whitelisting) kullanın.

 

Beyaz-liste kullanımı sadece belirli programların çalışmasına izin verirken, Kötü niyetli yazılım da dâhil olmak üzere diğer tüm programları bloke ettiğinden en iyi güvenlik stratejilerinden biridir.

 

2

Java, PDF görüntüleyici, Flash, web tarayıcıları ve Microsoft Office gibi uygulamaların yamalarını yükleyin.

Savunmasız uygulamalar ve işletim sistemleri çoğu saldırının hedefi durumundadır. Bu yamaların yüklendiğinden emin olunarak saldırganların sisteme  girmek için kullanabileceği giriş noktalarını azaltır.

3

İşletim sistemi yamalarını yükleyin.

 

4

İşletim sistemleri ve uygulamalarda yönetici haklarını kullanıcı sorumluluklarına göre kısıtlayın.

 

Bu hakları kısıtlama kötü amaçlı yazılımların çalışmasını önleyebilir veya ağ üzerinden yayılma yeteneğini sınırlandırabilir.

 

 

Kaynaklar

[1] Kanada Siber Olay Müdahale Merkezi, Hedef gözeten Siber Saldırıları azaltmak için en iyi 4 Strateji http://www.publicsafety.gc.ca/cnt/ntnl-scrt/cbr-scrt/tp-strtgs-eng.aspx

[2] Kanada Siber Olay Müdahale Merkezi, TR11-002 Gelişmiş Kalıcı Tehditlere karşı Mücadele  Rehberi http://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-002-eng.aspx

[3] US-CERT Güvenlik İpucu (ST13-003): Yıkıcı Malware ile Mücadele https://www.us-cert.gov/ncas/tips/ST13-003

[4] Hadef Alınan Yüksek Riski Üst 30 Açıklık https://www.us-cert.gov/ncas/alerts/TA15-119A

 

2015-05-07