SIEMENS Tıbbi Cihazları Etkileyen (BLUEKEEP) RDP Zafiyeti

Microsoft kullanıcılarının yakın zamanda yeni uzak masaüstü güvenlik açığı açıklamasından sonra  Windows sistemlerinin yamalı ve güncel olmasını sağlamalarını tavsiye ediyor.

 

'BlueKeep' olarak da bilinen CVE-2019-0708, kullanıcıları Windows işletim sisteminin eski sürümlerinde Uzak Masaüstü Hizmetleri (RDS) ile bir güvenlik açığından yararlanan kötü niyetli oyunculara saldırmaya açık bırakır. Kötü niyetli aktörler bu güvenlik açığından korunmasız sistemlerde hizmet reddi saldırıları yapmak, sistemlere erişmek veya bilgileri görüntülemek, değiştirmek ve silmek için kullanabilirler.

 

Mevcut güvenlik açıklıkları nedeniyle etkilenen sistemlerin siber saldırganlar tarafından zararlı yazılımlar kullanılarak kontrol altına alınması öngörülmektedir. Güncellemelerle ilgili CVE Zafiyet kodu CVE-2019-0708 olarak bildirilmiştir. Güvenlik açığı, RDP hizmetinin gelen istekleri işleme biçimindeki hatadan kaynaklanmaktadır. Saldırgan, RDP hizmetine zararlı bir istek göndererek sistemi tetikler. Sonrasında zararlı istek hatalı şekilde işlendiğinden dolayı, istekle gönderilen zararlı kod sistem tarafından çalıştırmaktadır. CVE-2019-0708, kullanıcı etkileşimi gerektirmeyen bir güvenlik açığıdır. Bundan dolayı güvenlik zafiyetini başarıyla istismar eden bir saldırgan, hedef sistemde rastgele kod çalıştırabilmektedir. Bu çalıştırılan kodlar sayesinde de sisteme program yükleme, veri görüntüleme, değiştirme veya silme gibi sistem üzerinde değişiklikler yapabilmektedir.

 

Güvenlik açığı, Windows 7, Windows XP, Server 2003 ve 2008'de bulunmaktadır. Microsoft bu sistemler için bir düzeltme eki yayımlamıştır, ancak milyonlarca makine hala savunmasızdır. Kötü niyetli oyuncular her zaman hemen harekete geçmediklerinden, rahatlama büyük bir risk faktörüdür.

 

12 Mayıs 2017 hafta sonlarında, EternalBlue güvenlik açığını kullanan WannaCry olarak bilinen siber saldırı, 150 ülkede 200.000'den fazla mağduru tehlikeye attı. Güvenlik açığı, kullanıcıların dosyalarını kilitlemek için Microsoft Windows'un eski sürümlerini ve bu dosyaları serbest bırakmak için fidye talep etmelerini kullandı.

Endişe verici bir şekilde, mağdurlar, EternalBlue güvenlik açığı için iki aydan fazla bir süredir serbest bir şekilde mevcut olduğu için bir düzeltme eki olarak tamamen uzlaşmayı önleyebilirlerdi.

 

Aynı zamanda bu güvenlik zafiyetinden yararlanan herhangi bir zararlı yazılım, 2017’deki dünya genelinde 150 ülkede yaklaşık 200.000 bilgisayara yayılan WannaCry zararlı yazılımına benzer bir şekilde bütün savunmasız bilgisayarlara yayılabilecektir. Bu güvenlik zafiyeti, saldırganlara, internet’e bakan birçok Windows öğesinin çalışmasının muhtemel olduğu ortak bir saldırı vektörü sağlamaktadır. Shodan ve Binary Edge gibi platformlar sayesinde saldırganlar bu sistemleri kolaylıkla tespit edebilmektedir.

 

 

CVE-2019-0708 için Microsoft, Windows 7, Windows Server 2008 ve Windows Server 2008 R2 için güncellemeler yayımlanmıştır. Ek olarak, Microsoft, Windows XP, Windows XP Professional, Windows XP Gömülü ve Windows Server 2003 dahil olmak üzere desteklenmeyen sistemler için de yamalar yayımlanmıştır. Bu güncellemeleri ivedilikle yüklemenizi veya RDP servisini dış erişimlere kapatılması gereklidir.

 

Bilgisayarlardaki RDP servisini etkileyen CVE-2019-0708 zafiyeti aşağıdaki tıbbı cihazları da etkilemektedir. Tıbbi cihazlarda yer alan bu zafiyetin çözümü için RDP servisi internete kapatılmalıdır. RDP zafiyetinin Microsoft tarafından yayınlanan güncellemeleri yapılmalıdır. Zafiyetlerle ilgili olarak ayrıntılı bilgi için Zafiyet Linkleri kısmında yer alan dokümanlar incelenebilir.                                                 

 

ID

Zafiyet Derecesi

Zafiyet Adı

Zafiyet Güncelleme

Zafiyet Linkleri

SSA-166360

9.8

Vulnerability in Advanced Therapy Products from Siemens Healthineers

24.05.2019

https://cert-portal.siemens.com/productcert/pdf/ssa-166360.pdf

SSA-406175

9.8

Vulnerability in Siemens Healthineers Software Products

24.05.2019

https://cert-portal.siemens.com/productcert/pdf/ssa-406175.pdf

SSA-433987

9.8

Vulnerability in Radiation Oncology Products from Siemens Healthineers

24.05.2019

https://cert-portal.siemens.com/productcert/pdf/ssa-433987.pdf

SSA-832947

9.8

Vulnerability in Laboratory Diagnostics Products from Siemens Healthineers

24.05.2019

https://cert-portal.siemens.com/productcert/pdf/ssa-832947.pdf

SSA-932041

9.8

Vulnerability in Radiography and Mobile X-ray Products from Siemens Healthineers

24.05.2019

https://cert-portal.siemens.com/productcert/pdf/ssa-932041.pdf

SSA-616199

9.8

Vulnerability in Point of Care Diagnostics Products from Siemens Healthineers - Blood Gas

24.05.2019

https://cert-portal.siemens.com/productcert/pdf/ssa-616199.pdf

 

İLGİLİ GÜNCELLEŞTİRME:

Çözüm

Microsoft'un Tech Blog da yayınlanan makaleleri incelemelerini ve gerekli güncellemeleri yapılması gereklidir. CVE-2019-0708 kodlu BlueKeep zafiyetin konu ile ilgili olarak aşağıdaki adreste yer alan işletim sistemine göre sistem güncellemeleri ivedilikle yapılmalıdır. Bu güncellemeler yapıldıktan sonra RDP internet ortamına açılmamalıdır. RDP bağlantısı SSLVPN üzerinden sağlanmalıdır.

Kaynaklar

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/ 

Windows 7 ve Server 2008-R2

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows XP

https://support.microsoft.com/tr-tr/help/4500705/customer-guidance-for-cve-2019-0708

 

Ek Önlemler;

Yukarıda yer alan RDP zafiyetine ek olarak aşağıda  RDP bağlantısıyla ilgili olarak aşağıdaki güvenlik önlemleri uygulanmalıdır.

Sunucuların hiçbir kontrol olmadan internete açılmaları güvenlik açısından büyük sıkıntı oluşturmaktadır. Kullanıcılara direk RDP üzerinden bağlantı yerine VPN üzerinden bağlantı verilmesi gereklidir. Güvenlik duvarından dışarıdan ve içeriden erişim için sadece 80 ve 443 portlarına izin verilmelidir. Özellikle sunucuların 21, 22, 23, 135, 139, 445, 3389 portlarının dışarıya açılmamalıdır. RDP ve SSH(Linux Bilgisayarlar) servislerine bağlanmak için kullanıcılar SSL VPN üzerinden erişmelidir. Ayrıca RDP bağlantıları için kullanıcılar basit parola oluşturamayacakları şekilde Group Policy’den parola politikası oluşturulmalıdır.

Zafiyet ile ilgili olarak usom.gov.tr adresinde yayınlanan link aşağıdaki gibidir.

 

https://www.usom.gov.tr/tehdit/543.html