cisa check point vpn açığı için 3 gün süre verdi, qilin ransomware çetesi sömürüyor
arkadaşlar, ciddi bir durum var. cisa (amerikan siber güvenlik kurumu), check point remote access vpn ve mobile access kullanan federal kurumlara 3 gün süre vermiş. ne için mi? kritik bir açığı yamalamak için. ve bu açık sıfır-gün olarak qilin ransomware çetesi tarafından aktif şekilde sömürülüyor. yani olay fena.
ne oldu ki?
check point vpn ürünlerinde kritik bir zafiyet keşfedilmiş. qilin ransomware’in bağlı elemanları bu açığı sıfır-gün olarak kullanmışlar, yani yama çıkmadan önce saldırıya geçmişler. cisa da durumun ciddiyetini görünce “3 gün içinde yamalayın yoksa kapatın sistemleri” demiş federal kurumlara.
spoiler: eğer check point vpn kullanıyorsanız ve hala yamalamadıysanız, işiniz zor.
teknik detaylar
şimdi elimizde tam cve numarası yok henüz (haber güncel olduğu için check point advisory’sini bekliyoruz) ama şu kadarını biliyoruz:
- etkilenen ürünler: check point remote access vpn ve mobile access
- sömürü durumu: aktif olarak qilin ransomware çetesi tarafından kullanılıyor
- risk seviyesi: kritik 🔴
- cisa son tarihi: 3 gün (federal kurumlar için)
qilin ransomware çetesi biliyorsunuz, ransomware-as-a-service modeliyle çalışan bir grup. yani bu açığı kullanan sadece bir grup değil, potansiyel olarak birçok farklı saldırgan bu bilgiye erişebilir.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Check Point Remote Access VPN | ✅ Etkileniyor |
| Check Point Mobile Access | ✅ Etkileniyor |
| Diğer VPN çözümleri | ❌ Etkilenmiyor |
şimdi ne yapacaksınız
1. önce durumu kontrol edin
check point vpn veya mobile access kullanıyorsanız hemen versiyonunuzu kontrol edin:
# check point versiyonunu öğrenmek için
cpinfo -y all
# veya web arayüzünden: system > version
2. acil yamayı uygulayın
check point’in resmi güvenlik bültenini takip edin ve yamayı indirin:
- check point support center’a girin
- ilgili hotfix’i indirin
- önemli: önce test ortamında deneyin (ama çok acele edin)
# yama kurulumu (genelde)
# 1. hotfix dosyasını sisteme yükleyin
# 2. installer'ı çalıştırın
./hotfix_install.sh
# 3. sistemi yeniden başlatın
reboot
3. log’ları inceleyin
geçmişe dönük olarak saldırı olup olmadığını kontrol edin:
# vpn bağlantı loglarını kontrol edin
tail -f /var/log/messages | grep -i vpn
# şüpheli aktiviteleri arayın
grep -i "failed\|error\|unauthorized" /var/log/vpn.log
geçici çözümler (yamayı hemen uygulayamayanlar için)
eğer yamayı hemen uygulayamıyorsanız (ki uygulamalısınız ama):
- vpn erişimini kısıtlayın:
- sadece bilinen ip adreslerinden erişime izin verin
- firewall kurallarıyla gereksiz portları kapatın
# örnek firewall kuralı (iptables)
iptables -A INPUT -p tcp --dport 443 -s GÜVENLI_IP_ADRESI -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
çok faktörlü kimlik doğrulamayı zorunlu kılın:
- zaten yoksa hemen aktif edin
- saldırganın işini zorlaştırır
monitoring’i artırın:
- anormal vpn bağlantılarını izleyin
- siem/log yönetim sistemlerinizi aktif tutun
en kötü senaryo: sistemleri geçici olarak kapatın
- cisa’nın da önerisi bu: “yamalayamazsanız kapatın”
- iş sürekliliği planınızı devreye sokun
cisa’nın kararı ne anlama geliyor?
cisa’nın bir açığı kev (known exploited vulnerabilities) kataloğuna eklemesi demek, durum gerçekten ciddi demek. federal kurumlar için 3 gün süre vermişler ama siz de federal kurum değilseniz bile aynı aciliyetle yaklaşın.
edit: qilin ransomware çetesi son dönemde çok aktif, sağlık sektörüne özellikle saldırıyorlar. eğer hastane, klinik gibi kritik altyapı işletiyorsanız daha da dikkatli olun.
yapmanız gerekenler özet
- ✅ check point vpn versiyonunuzu kontrol edin
- ✅ yamayı hemen indirin ve uygulayın
- ✅ log’ları geriye dönük inceleyin
- ✅ monitoring’i artırın
- ✅ yedeklerinizi kontrol edin (ransomware var ortada)
- ✅ incident response planınızı gözden geçirin
dikkat: yedek almadan işe girişmeyin. ve yedeklerinizi offline tutun, ransomware bunları da hedef alıyor.
kaynaklar
- BleepingComputer - CISA orders feds to patch Check Point flaw
- CISA KEV Catalog
- Check Point Security Advisories
agalar, bu iş şaka değil. qilin çetesi aktif saldırıyor, cisa 3 gün süre vermiş. hemen harekete geçin, yamayı vurun, log’lara bakın. sonra “biz bilmiyorduk” demeyin.
yedeklerinizi kontrol edin, offline tutun. ransomware saldırısı yiyip de “yedekler de şifrelendi” diye ağlamayın sonra.
hadi kolay gelsin, başarılar.
Bu içerik yapay zeka tarafından oluşturulmuştur.