Siber Güvenlik Bülteni - Eylül 2025

Bültenimizin Eylül Ayı konu başlıkları;  SAP NetWeaver ve S/4HANA’da Kritik Güvenlik Zafiyetleri  Fortinet FortiDDoS-F Ürünlerinde Komut Enjeksiyonu Zafiyeti GoAnywhere MFT’te Kritik Güvenlik Zafiyeti Jaguar Land Rover, Siber Saldırı Sonrası Üretimi Askıya Aldı

SAP NetWeaver ve S/4HANA’da Kritik Güvenlik Zafiyetleri

SAP, kod yürütülmesine ve rastgele dosya yüklemeye yol açabilecek birden fazla güvenlik açığı için güvenlik güncellemeleri yayımladı; bunların arasında SAP NetWeaver’daki üç kritik zafiyet bulunuyor. Zafiyetler aşağıda listelenmiştir CVE-2025-42944 (CVSS skoru: 10.0) — SAP NetWeaver’daki bir deserialization açığı; kimliği doğrulanmamış bir saldırganın RMI-P4 modülü aracılığıyla açık bir porta kötü niyetli bir yük göndererek işletim sistemi komutlarını çalıştırmasına izin verebilir. CVE-2025-42922 (CVSS skoru: 9.9) — SAP NetWeaver AS Java’daki güvensiz dosya işlemleri açığı; yönetici olmayan bir kullanıcının rastgele bir dosya yüklemesine izin verebilir. CVE-2025-42958 (CVSS skoru: 9.1) — IBM i-series üzerindeki SAP NetWeaver uygulamasında kimlik doğrulama denetimi eksikliği; yüksek ayrıcalıklı ancak yetkisiz kullanıcıların hassas bilgileri okumasına, değiştirmesine veya silmesine ve ayrıca yönetici ya da ayrıcalıklı işlevlere erişmesine izin verebilir. CVE-2025-42944 kimliği doğrulanmamış bir saldırganın RMI-P4 modülü aracılığıyla açık bir porta kötü niyetli bir yük göndererek rastgele işletim sistemi komutları çalıştırmasına izin veriyor. Başarılı bir kötüye kullanım uygulamanın tam olarak ele geçirilmesine yol açabilir. Geçici bir çözüm olarak müşteriler bilinmeyen ana makinelerin P4 portuna bağlanmasını önlemek için ICM seviyesinde P4 portu filtrelemesi eklemelidir. SAP tarafından ayrıca, yüksek önem derecesine sahip bir girdi doğrulama hatası olan ve SAP S/4HANA’da (CVE-2025-42916, CVSS skoru: 8.1) düzeltilen bir zafiyet ele alındı; yüksek ayrıcalıklı ABAP raporlarına erişimi olan bir saldırganın, eğer tablolar bir yetkilendirme grubu ile korunmuyorsa, rastgele veritabanı tablolarının içeriğini silmesine izin verebilir. Yeni zafiyetlerin saldırganlar tarafından istismar edildiğine dair bir kanıt olmamasına rağmen, optimal koruma için kullanıcıların gerekli güncellemeleri mümkün olan en kısa sürede uygulaması hayati önem taşımaktadır.

Fortinet FortiDDoS-F Ürünlerinde Komut Enjeksiyonu Zafiyeti

Fortinet, ayrıcalıklı bir saldırganın yetkisiz komutlar çalıştırmasına olanak tanıyabilecek orta düzey bir güvenlik açığını FortiDDoS-F ürün serisinde açıkladı. CVE-2024-45325 olarak takip edilen bu zafiyet, ürünün komut satırı arayüzünde (CLI) bulunan bir işletim sistemi (OS) komut enjeksiyonu zafiyetidir. Bu zafiyet, CWE-78 olarak tanımlanmıştır ve işletim sistemi komutlarında kullanılan özel öğelerin yetersiz şekilde temizlenmesinden (improper neutralization) kaynaklanmaktadır. Yüksek ayrıcalıklara ve sistemde yerel erişime sahip bir saldırgan, CLI’ye özel olarak hazırlanmış istekler göndererek bu zayıflığı istismar edebilir. Başarılı bir istismar, saldırgana uygulamanın izinleriyle rastgele kod veya komut çalıştırma yetkisi verir; bu da sistemin tamamen ele geçirilmesiyle sonuçlanabilir. Bu güvenlik açığına CVSSv3 puanı 6.5 verilmiş olup, orta düzey önem kategorisindedir. CVSS vektörü: AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H Bu vektör, saldırganın yerel erişime ve yüksek düzey ayrıcalıklara ihtiyaç duyduğunu, kullanıcı etkileşiminin gerekmediğini belirtmektedir. Yüksek ayrıcalık gereksinimine rağmen, gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) üzerindeki potansiyel etki yüksektir.. Etkilenen Sürümler ve Önlemler Fortinet, FortiDDoS-F’in birden fazla sürümünün bu zafiyetten etkilendiğini doğrulamıştır. FG-IR-24-344 danışmanlığı, 9 Eylül 2025’te yayımlanmış olup, etkilenen sürümler ve yöneticiler için önerilen adımlar detaylı şekilde açıklanmıştır.   FortiDDoS-F 7.2 Etkilenmez -- FortiDDoS-F 7.0 7.0.0 - 7.0.2 7.0.3 veya daha üst versiyona yükseltin FortiDDoS-F 6.6 Tüm versiyonlar   Sabit bir versiyona geçin FortiDDoS-F 6.5 Tüm versiyonlar   Sabit bir versiyona geçin FortiDDoS-F 6.4 Tüm versiyonlar   Sabit bir versiyona geçin FortiDDoS-F 6.3 Tüm versiyonlar   Sabit bir versiyona geçin FortiDDoS-F 6.2 Tüm versiyonlar   Sabit bir versiyona geçin FortiDDoS-F 6.1 Tüm versiyonlar   Sabit bir versiyona geçin Etkilenen sürümleri çalıştıran yöneticilerin, önerilen yamaları hemen uygulamaları veya güvenli sürüme geçiş yapmaları şiddetle tavsiye edilmektedir. FortiDDoS-F 7.0 kullanan kurumların derhal 7.0.3 sürümüne yükseltmeleri gerekmektedir. 6.1 ile 6.6 arasındaki eski sürümleri kullananların ise güvenli bir sürüme geçiş planı yapmaları önerilmektedir.

GoAnywhere MFT’te Kritik Güvenlik Zafiyeti

Fortra, GoAnywhere güvenli yönetilen dosya aktarım (MFT) yazılımında bulunan ve komut enjeksiyonu için istismar edilebilecek kritik bir güvenlik zafiyeti için yamalar yayımladı. GoAnywhere MFT, kuruluşların iş ortaklarıyla veri alışverişini otomatikleştirmesine ve güvence altına almasına olanak tanıyan kurumsal bir uygulamadır. Bu zafiyet, CVE-2025-10035 olarak takip ediliyor ve CVSS skoru 10 olan kritik bir hata olarak tanımlanıyor. Zafiyet, uygulamanın lisans servlet’ini etkileyen, güvenilmeyen verilerin ayrıştırılması (deserialization of untrusted data) sorunundan kaynaklanıyor. Fortra’nın güvenlik duyurusuna göre, bu hata, “geçerli şekilde sahte bir lisans yanıt imzası oluşturan bir saldırganın, keyfi olarak kendi kontrolündeki bir nesneyi ayrıştırmasına (deserialize etmesine) ve bu sayede komut enjeksiyonu gerçekleştirmesine” olanak tanıyor. Bu zafiyetin başarılı bir şekilde istismar edilmesi, kimliği doğrulanmamış saldırganların savunmasız GoAnywhere MFT örneklerinde uzaktan kod yürütme (RCE) elde etmelerini sağlayabilir. Fortra, güvenlik zafiyeti için yamaları GoAnywhere MFT 7.8.4 sürümüne ve GoAnywhere MFT Sustain 7.6.3 sürümüne ekledi ve müşterilerini, GoAnywhere Yönetim Konsolu’nun (Admin Console) kamuya (internete) açık olmamasını sağlamaları konusunda uyardı. Bu güvenlik açığının istismarı, sistemlerin internete dışa açık olmasına büyük ölçüde bağlıdır.   Fortra, müşterilere ayrıca Admin Audit loglarını şüpheli etkinlikler için izlemelerini ve log dosyalarında “SignedObject.getObject:” dizesini içeren hata kayıtlarını kontrol etmelerini tavsiye ediyor; bu ifade, sistemin zafiyetten etkilendiğini gösterebilir.   Ancak Fortra, bu zafiyetin hali hazırda istismar edildiğine dair herhangi bir bulgu olmadığını belirtiyor; Rapid7 de henüz kamuya açık bir istismar kodu görmediklerini ifade etti. Bununla birlikte, ürünün doğası ve geçmişi göz önünde bulundurulduğunda, bu yeni güvenlik açığı önemli bir tehdit olarak değerlendirilmelidir. 2023 yılında, kötü şöhretli Cl0p fidye yazılımı operasyonuyla bağlantılı bilgisayar korsanları, Fortra’nın dosya aktarım ürünündeki sıfırıncı gün (zero-day) bir açığı (CVE-2023-0669) istismar ederek müşteri ortamlarında yetkisiz hesaplar oluşturmuş ve çok sayıda kuruluştan veri çalmıştı.

Jaguar Land Rover, Siber Saldırı Sonrası Üretimi Askıya Aldı

Jaguar Land Rover (JLR), yakın zamanda yaşanan bir siber saldırının ardından üretim faaliyetlerini üçüncü haftaya kadar askıya alacağını ve en az 24 Eylül’e kadar operasyonların durdurulacağını açıkladı fakat henüz tam anlamıyla üretim faaliyetleri devreye giremedi. Jaguar Land Rover (JLR), İngiltere’nin Coventry kentindeki Whitley bölgesinde merkezi bulunan lüks araç üreticisidir. Şirket, Jaguar ve Land Rover markalarını birleştirmektedir. 2008 yılından bu yana Hindistan merkezli Tata Motors’a ait olan JLR, daha önce Ford’un mülkiyetindeydi. JLR, 120’den fazla ülkede araç satmakta olup en büyük pazarları Avrupa, Kuzey Amerika ve Çin’dir. Eylül ayının başında Jaguar Land Rover, üretim ve perakende operasyonlarını aksatan bir siber saldırıyı önlemek amacıyla sistemlerini kapattı. Saldırı, Solihull üretim tesisindeki sistemleri de etkiledi. İngiltere’deki bayiler, saldırının araç tescil işlemleri ve yedek parça tedarikini engellediğini bildirdi. Şirket ilk açıklamasında, müşteri verilerinin ihlal edilmediğini belirtti: “JLR bir siber olaydan etkilendi. Etkisinin azaltılması için sistemlerimizi proaktif olarak kapatarak hemen önlem aldık. Şu anda küresel uygulamalarımızı kontrollü bir şekilde yeniden başlatmak için yoğun bir şekilde çalışıyoruz. Bu aşamada müşteri verilerinin çalındığına dair bir kanıt yok, ancak perakende ve üretim faaliyetlerimiz ciddi şekilde aksadı.” Otomobil üreticisi olayla ilgili teknik detayları açıklamadı, ancak yakın zamanda Birleşik Krallık’taki perakende firmalarına saldıran “Scattered Lapsus$ Hunters” grubu, JLR saldırısının sorumluluğunu üstlendi. Geçtiğimiz hafta JLR, siber saldırının aynı zamanda bir veri ihlaline yol açtığını doğruladı, ancak hangi tür verilerin sızdırıldığına dair detay paylaşmadı: Bu hafta otomobil üreticisi, üretim durdurmasının dördüncü haftaya uzatıldığını duyurdu. JLR, küresel operasyonların kontrollü şekilde yeniden başlatılmasının ek süre gerektirdiğini belirtti: Jaguar Land Rover’ın kapanması, haftalık en az 50 milyon sterlin üretim kaybına neden oluyor; bu da haftada yaklaşık 1.000 aracın üretilememesi anlamına geliyor. Jaguar Land Rover (JLR), tedarikçilerine, ciddi bir siber saldırının ardından fabrikalardaki üretimin en erken 24 Eylül’e kadar yeniden başlamayacağını bildirdi, ancak sektör kaynakları bu aksaklığın Kasım ayına kadar sürebileceği konusunda uyarıyor.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.