Privia Security Whatsapp’daki Casus Yazılım Riski Konusunda Uyarıyor

Privia Security, WhatsApp'ta bulunan casus yazılım riski konusunda uyarırken, Apache Solr güncellemesi, Cisco’nun Voip adaptörlerindeki kritik zafiyetlere ve sıra dışı Ransomware: Antefrigus’a dikkat çekiyor.

WhatsApp'ta Casus Yazılım Riski

Dünyanın en fazla kullanıcı sayısına sahip olan uygulamalardan birisi WhatsApp'ta kritik bir güvenlik açığı tespit edildi. CVE-2019-11931 kodlu güvenlik açığı, saldırgan kişinin özel olarak hazırlanmış olan bir MP4 dosyasını hedeflediği kişiye WhatsApp üzerinden göndermesi sonucunda aktif hale geliyor. WhatsApp'ın MP4 dosyasının temel akış meta verilerini ayrıştırma biçiminde bulunan zafiyet sonucu, gönderilen MP4 dosyası yığın tabanlı ara bellek taşmasına (stack-basedbuffer overflow) sebep olmaktadır. Bu zafiyetten faydalanmak isteyen saldırgan kişiler, hedeflenen kurban kişinin telefonunda uzaktan kod çalıştırabilir veyahut DoS saldırısı gerçekleştirebilir. 

Siber güvenlik sektörüne büyük destek

Saldırgan kişinin bu güvenlik açığını kullanabilmesi için ihtiyacı olan tek hedeflenen kişinin telefon numarasıdır. Saldırgan kişi, hedefindeki kişinin telefon numarasını bilmesi takdirde gönderdiği MP4 dosyası ile kolayca casus yazılımı yükleyebilir. Ve ne yazık ki hedeflenen kişi bu yazılımdan haberdar olamaz. 

Bu güvenlik zafiyeti, 2.19.274’ten önceki Android sürümlerini, 2.19.100’den önceki IOS sürümlerini, 2.25.3’ten önceki Enterprise Client sürümlerini, 2.19.104’ten önceki Business for Android sürümlerini ve 2.19.100’den önceki Business for IOS sürümlerini etkilemektedir. Güvenlik zafiyetinden ve casus yazılımdan korunmak için WhatsApp uygulamasının güncelleştirilmesi gerekmektedir. 

 Konu hakkında açıklama yapan Privia Security’in Kurucu Ortağı Nisan Betül Erdem, “Privia Security olarak siber güvenlik sektörüne her anlamda farklılık getirmek istiyoruz. Bu doğrultuda sunduğumuz hizmetler,verdiğimiz eğitimler, geliştirdiğimiz siber güvenlik ürünlerinin yanında hazırladığımız siber güvenlik bültenleri ile de hem sektörümüzü hem de vatandaşları bilgilendirmeyi şirketimiz için bir görev olarak belirledik.” dedi. 

Cısco VoIP Adaptörlerinde Kritik Zafiyetler

Tenable Research siber güvenlik araştırmacıları, Cisco’nun SPA100 serisi VoIP adaptörlerinde tespit edilen güvenlik açıklarının 19 adet olduğunu belirttiler. Zafiyetler saldırgan kişilere şu imkanları sağlıyor; telefon konuşmalarını dinleme, sahte telefon araması yapma ve hatta iç ağa dahil olabilmek gibi fırsatları veriyor. 

Araştırmacıların elde ettiği verilere göre bu zafiyetlerden faydalanan kişiler, yalnızca adaptörlerin web arayüzlerine yönelik olmadığı aynı zamanda işletim sistemlerine yönelik de saldırı gerçekleştirebiliyor. Bu duruma ek olarak saldırganlar kullanıcılarla ilgili şu bilgilere de erişebiliyor; kullanıcı bilgilerini çalma, tam yetkili kullanıcı hesabı oluşturma ve sistem üzerinde rastgele komut çalıştırmak gibi eylemler de gerçekleştirebiliyor.

Sıradışı Ransomware: AnteFrigus

Siber güvenlik araştırmacıları, farklı özellikleri olan AnteFrigus adlı yepyeni bir fidye yazılımı tespit ettiklerini açıkladılar. Fidye yazılımlarının birçoğu Windows işletim sistemli bilgisayarlardaki C: diskini hedef alırken, AnteFrigus adlı fidye yazılımı bunun yerine çıkarılabilir diskleri ve bağlanmış ağ sürücülerini hedef almaktadır. Zararlı yazılım C: diski içerisinde yer alan dosyaları şifrelemiyor fakat C: diski dışındaki bütün çıkarılabilir içerisinde yer alan bütün dosyaları şifreleyebiliyor. 

Araştırmacılar bu durumun bir hata olabileceğini ve yazılımın amaçladığı davranışın bu olmadığını veyahut zararlı yazılımın geliştirilmeye devam edildiğini ve bununla birlikte fidye yazılımın test aşamasında olabileceğini belirtti. 

Apache Solr Güncelleme Yayınladı

Popüler arama motorları arasında yerini almış olan Apache Solr, uzaktan komut çalıştırma açığı için yeni bir güncelleme yayınladı. CVE-2019-12409 koduyla yayınlanan bu açık, Apache Solr'un kurulumu ile birlikte varsayılan olarak gelen bir konfigürasyondan kaynaklanıyor.  Apache Solr’ın 8.1.1 ve 8.2.0 sürümlerinin bu zafiyetten etkilendiği ve zafiyete "solr.in.sh” dosyası içerisinde yer alan ENABLE_REMOTE_JMX_OPTS="true" varsayılan parametresinin sebep olduğu belirtildi. Bu özellik ile herhangi bir kimlik doğrulamasına ihtiyaç duyulmadan, varsayılan Java RMI portu üzerinde yer alan (varsayılan port=18983) JMX monitoring özelliği aktif hale getirilebilir. Ve bu özellik ile yüklenecek zararlı kodlar ile Apache Solr sunucusunda uzaktan komut çalıştırabilir. 

Zafiyet kullanılarak sunucudan meterpreter oturumu almayı sağlan PoC kodu github üzerinden paylaşıldı. PoC koduna internetten erişim sağlanabilir.

Zafiyetin Apache Solr 8.3 sürümü ile beraber giderildiği açıklandı. Bununla beraber hala zafiyetli sürüm kullanılıyorsa, ENABLE_REMOTE_JMX_OPTS parametresinin değeri “false” yapılarak da zafiyetin çözülebileceği belirtildi.