Haberler

Siber Güvenlik Kuruluşu CISA, SolarWinds Rehberini Güncelledi

CISA (Siber Güvenlik ve Altyapı Güvenliği Kuruluşu) SolarWinds hack olayı ile ilgili yeni bir güncelleme yayınladı. Güncellenen rehbere göre, ABD federal kurumları yıl sonuna kadar güncelleme yapmalı veya tüm SolarWinds Orion uygulamalarını çevrimdışına almalı.

ABD Siber Güvenlik ve Altyapı Güvenliği Kuruluşu, SolarWinds saldırısının sonuçlarıyla başa çıkmak için yayınladığı resmi rehberini güncelledi.

Dün gece geç saatlerde yayınlanan bir güncellemede CISA, SolarWinds Orion platformlarını çalıştıran tüm ABD devlet kurumlarının yıl sonuna kadar 2020.2.1HF2 sürümüne güncelleme yapması gerektiğini söyledi.

Bu son tarihe kadar güncelleme yapamayan kurumların, CISA’nın ilk olarak 18 Aralık’ta yayınlanan ilk rehberine göre tüm Orion sistemlerini çevrimdışı duruma getirmesi gerekiyor.

Rehber güncellemesi, güvenlik araştırmacılarının Noel tatili sırasında SolarWinds Orion uygulamasında yeni ve büyük bir güvenlik açığını ortaya çıkardıktan sonra geldi.

CVE-2020-10148 olarak isimlendirilen bu güvenlik açığı ile, saldırganlar Orion kurulumlarında uzaktan kod çalıştırmasına olanak tanıyan bir kimlik doğrulamayı pas geçebiliyorlar.

Bu güvenlik açığı, son zamanlarda yaşanan SolarWinds’e yapılan saldırıdan farklı bir şekilde kullanılabiliyor. Bu açık ile saldırganlar, Orion platformunun kurulu olduğu sunuculara Supernova kötü amaçlı yazılımı kurabiliyorlar.

Orion güncellemesi NSA (Ulusal Güvenlik Ajansı) tarafından onaylandı

Son zamanlarda yaşanan SolarWinds saldırısında, bilgisayar korsanları SolarWinds’in dahili ağına girmiş ve kötü amaçlı yazılım eklemek için Orion uygulamasının birkaç sürümünü değiştirmişti.

Mart 2020 ile Haziran 2020 arasında yayınlanan tüm Orion uygulama güncellemelerinin (2019.4 – 2020.2.1 sürümleri), Sunburst (veya Solorigate) adlı kötü amaçlı yazılımdan etkilendiği belirlendi.

SolarWinds, bu kötü amaçlı yazılımın en az 18.000 şirket tarafından yüklendiğini tahmin ediyor. Saldırılarda kullanılan Sunburst, birinci aşama keşif modülü olarak mağdur sunuculara kuruluyordu. Saldırganlar ikinci aşamaya geçmeyi başardığında ise asıl zararı verecek olan Teardrop kötü amaçlı yazılım sunuculara yerleştiriliyordu.

SolarWinds, saldırıyı engellemek 15 Aralık’ta 2020.2.1HF2 sürümünü yayınladı. Bu güncelleme ile Sunburst ile ilgili kodun izleri, mağdur olanların sistemlerinden kaldırılması amaçlanıyordu.

CISA bu güncellemeyi inceledikten sonra Salı günü bir açıklama yayınladı: “Ulusal Güvenlik Ajansı (NSA) bu sürümü [2020.2.1HF2] incelemiş ve önceden tanımlanan kötü amaçlı kodu ortadan kaldırdığını doğrulamıştır.”

Ancak CISA, Sunburst ile ilgili kötü amaçlı yazılım kodunu virüslü ana bilgisayarlardan kaldırmanın yanı sıra, tehdit aktörlerinin CVE-2020-10148 güvenlik açığı gibi Orion ile ilgili diğer açıklardan yararlanmalarını engellemek için hükümet kurumlarından 2020.2.1HF2 güncellemesini yapmalarını istiyor.

Siber güvenlik uzmanlarına yeni savunma araçları sunuldu

Bu rehber güncellemesini yayınlamadan önce CISA, BT ve güvenlik uzmanları için SolarWinds saldırısında olay müdahalesi (IR) üzerinde çalışanlar için ücretsiz bir araç da yayınladı.

Bir PowerShell betiği (script) olan araç, Azure veya Microsoft 365 ortamlarında olası tehlikeye atılmış hesapların ve uygulamaların algılanmasına yardımcı oluyor.

Dün yayınlanan bir raporda Microsoft, SolarWinds bilgisayar korsanlarının amacının bozuk Orion uygulama güncellemesi aracılığıyla ilk olarak şirketlerin ağlarına girmek olduğunu açıkladı. Rapora göre saldırganlar, şirket ağına girdikten sonra kurbanlarının yerel ağlarındaki ve son olarak bulut tabanlı ortamlarına erişmeye çalışıyor.

Geçen hafta SolarWinds hackerları tarafından hedef alındığını ancak saldırının başarısız olduğunu söyleyen CrowdStrike da ücretsiz bir araç yayınladı. CRT olarak adlandırılan araç, Azure AD ve Office 365 kurumsal ağı içinde kapsamlı erişim izinlerine sahip hesapları tanımlamaya yardımcı oluyor.

Hem CISA hem de CrowdStrike’ın araçları, bir yöneticinin kontrolü altında olmayan kapsamlı izinlere sahip hesapları tespit etmek için kullanışlı olabilir.

Kaynak: zdnet.com

Siber Güvenlik Nedir?

Bunlar da İlginizi Çekebilir

Windows 7 Kullanıcıları Sistemlerini Güncellemiyor
Kaspersky COVID-19 Aşılarıyla İlgili 2 Yeni Tehdit Buldu
Exxen Platformunun Aylık Ücreti Açıklandı

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu