Siber Güvenlik Bülteni - Mayıs 2025

 

Bültenimizin Mayıs Ayı konu başlıkları;  184 Milyon Giriş Bilgisi Ortaya Çıktı 2025'te Siber Güvenliğin Geleceği: Tehditler, Trendler ve Stratejik Tepkiler FBI Uyarıyor: Eski Modemler Kötü Amaçlı Yazılım Yaymak İçin Proxy Ağına Dönüştürülüyor Çin Güç İnvertörlerinde İletişim Arka Kapısı Fortinet Sıfırıncı Gün Güvenlik Açığı

184 Milyon Giriş Bilgisi Ortaya Çıktı

Devasa bir siber güvenlik ihlali, korunmasız bir veritabanında 184 milyon giriş bilgisini (kullanıcı adı ve şifre) ortaya çıkardı. Bu, son yıllarda keşfedilen en büyük kimlik bilgisi sızıntılarından biri olarak kayıtlara geçti. Siber güvenlik araştırmacısı Jeremiah Fowler, 184.162.718 benzersiz kullanıcı adı ve şifre içeren, şifrelenmemiş bir veritabanını keşfetti. Bu veri tabanı, 47,42 GB ham veri boyutundaydı ve Microsoft, Facebook, Google, Instagram ve dünya çapındaki devlet portallarının kullanıcılarını etkiliyordu. Açığa çıkan veriler, Snapchat, Discord gibi sosyal medya platformlarından, finansal kurumlara, sağlık hizmetlerine ve 29 farklı ülkedeki hassas devlet hesaplarına kadar uzanan geniş bir hizmet yelpazesine ait kimlik bilgilerini kapsıyordu.   Kullanıcı Hesapları ve Şifreler Ortaya Saçıldı Fowler, bu veritabanını rutin bir güvenlik araştırması sırasında keşfetti ve veri sızıntısının ciddiyetini hemen fark etti. Veritabanı, hiçbir güvenlik önlemi olmadan (şifre koruması ya da kimlik doğrulama olmadan) yönetilmeyen bir sunucuda barındırılıyordu. Her kayıt; hesap türleri, ilgili internet sitelerinin bağlantıları ve düz metin şifreler gibi bilgileri içeriyordu. İlginç bir şekilde, şifreler “senha” (Portekizce’de “şifre”) olarak etiketlenmişti, diğer tüm metinler İngilizce idi. Araştırmacı, verilerin gerçekliğini doğrulamak için veritabanındaki e-posta adreslerinin bazılarıyla iletişime geçti ve birçok kişi, şifrelerinin gerçekten doğru olduğunu doğruladı. Yapılan 10.000 kayıtlık örnek analizde: 479 Facebook hesabı 240 Google hesabı 209 Discord hesabı ve Microsoft, Netflix, PayPal gibi platformlara ait 100'den fazla hesap tespit edildi.   Bilgiler "Infostealer" Zararlılarla Toplanmış Teknik inceleme, bu şifrelerin infostealer kötü amaçlı yazılımları aracılığıyla toplandığını ortaya koydu. Infostealer’lar, tarayıcılarda kayıtlı kimlik bilgilerini, oturum çerezlerini ve kimlik doğrulama belirteçlerini hedef alan gelişmiş kötü amaçlı yazılımlardır. Bu zararlılar, genellikle Malware-as-a-Service (MaaS) modeliyle çalışır ve çalınan veriler, karanlık ağ pazarlarında ve Telegram kanallarında dağıtılır. Veritabanının yapısı, infostealer’ların oluşturduğu tipik veri formatlarıyla uyumluydu. Bu format, web tarayıcıları, e-posta istemcileri ve mesajlaşma uygulamalarından sistematik olarak bilgi çeker. Modern infostealer’lar saniyeler içinde çalışıp sistemden silinebilir, bu da geride neredeyse hiç dijital iz bırakmadan büyük miktarda hassas verinin C2 (komuta ve kontrol) sunucularına aktarılmasını sağlar.     Uzun Vadeli Güvenlik Riskleri Fowler, bu durumu fark eder etmez veritabanını barındıran World Host Group’a sorumlu bir bildirim gönderdi ve sağlayıcı kısa sürede veritabanının kamuya açık erişimini engelledi. Ancak, veritabanının sahibi hâlâ tespit edilemedi. Alan adı bilgilerinin gizli olması nedeniyle kimlik belirlenemedi. Bu sızıntı, credential stuffing (kimlik bilgisi doldurma) saldırılarına yol açabilir. Bu tür saldırılarda, çalınan kullanıcı adı-şifre kombinasyonları, birçok platformda otomatik olarak test edilir. Uzmanlar, bu verilerin hesap ele geçirme, kurumsal casusluk ve hedefli kimlik avı (phishing) saldırılarına neden olabileceği konusunda uyarıyor. .gov uzantılı devlet hesaplarının açığa çıkması, ulusal güvenlik açısından ciddi bir tehdit oluşturabilir. Bu hesaplar, devlet ağlarına ve gizli bilgilere erişim sağlayabilir. Ne Yapılmalı? Bu olay, aşağıdaki güvenlik önlemlerinin ne kadar hayati olduğunu gözler önüne seriyor: Çok faktörlü kimlik doğrulama (MFA) kullanın. Her hizmet için farklı ve güçlü şifreler oluşturun. Infostealer tespiti için uç nokta güvenlik çözümleri (EDR) kullanın. Şirketler, bu tür sızıntıları sistemik bir güvenlik açığı olarak değerlendirip kapsamlı güvenlik denetimleri yapmalı ve şifreleri hemen değiştirmelidir.

FBI Uyarıyor: Eski Modemler Kötü Amaçlı Yazılım Yaymak İçin Proxy Ağına Dönüştürülüyor

FBI, tehdit aktörlerinin kullanım ömrü dolmuş (EoL) yönlendiricilere (modem/router) kötü amaçlı yazılım yerleştirdiğini ve bu cihazları 5Socks ile Anyproxy ağlarında satılan proxy’lere dönüştürdüğünü bildirdi. Bu cihazlar yıllar önce piyasaya sürüldü ve artık üretici firmalar tarafından güvenlik güncellemesi almıyor. Bu da onları, kamuya açık güvenlik açıklarını kullanan saldırılara karşı savunmasız hale getiriyor. Saldırganlar bu açıklardan yararlanarak kalıcı kötü amaçlı yazılım enjekte ediyor. Kompromize edilen cihazlar, kötü amaçlı trafiği yönlendiren ev tipi proxy botnet’lerine dahil ediliyor. Bu proxy’ler, siber suçlular tarafından kimliklerini gizlemek veya siber saldırılar gerçekleştirmek amacıyla kullanılıyor. FBI Flash uyarısında şöyle deniyor: "5Socks ve Anyproxy ağı aracılığıyla suçlular, ele geçirilmiş yönlendiricilere erişimi, müşterilere satılmak üzere proxy olarak sunuyor." "Bu proxy’ler, tehdit aktörlerinin kimliğini veya konumunu gizlemek için kullanılabilir."   Hedef Alınan Cihazlar FBI, özellikle şu Linksys ve Cisco marka kullanım ömrü dolmuş modellerin hedef alındığını belirtiyor: Linksys: E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550 Linksys WRT Serisi: WRT320N, WRT310N, WRT610N Cisco: E1000, M10   Çin Destekli Casusluk Kampanyaları FBI, Çin devlet destekli tehdit aktörlerinin, bu tür eski yönlendiricilerdeki bilinen açıkları (n-günü zafiyetleri) kullanarak, ABD'nin kritik altyapılarını hedef alan gizli casusluk kampanyaları yürüttüğünü doğruladı.   TheMoon Zararlı Yazılımı Ajans ayrıca, bu cihazların çoğunun “TheMoon” adlı kötü amaçlı yazılımın bir varyantı ile enfekte olduğunu da belirtti. Bu yazılım, tehdit aktörlerinin yönlendiricileri proxy cihazlara dönüştürmesine olanak tanıyor. "Kullanım ömrü dolmuş yönlendiriciler, TheMoon kötü amaçlı yazılım botnet’inin varyantlarıyla siber aktörler tarafından ihlal edilmiştir." "Son dönemde, uzaktan yönetim özelliği açık olan bazı EoL yönlendiricilerin, TheMoon’un yeni bir versiyonu ile ele geçirildiği tespit edilmiştir. Bu yazılım, saldırganların yönlendiricilere fark edilmeden proxy kurmasına ve siber suçları anonim şekilde işlemesine olanak verir."   Ne Oluyor? Kompromize edilen yönlendiriciler, komut ve kontrol (C2) sunucularına bağlanarak, saldırganların talimatlarını alıyor. Bu talimatlar genellikle başka savunmasız cihazları taramak ve ele geçirmek gibi işlemleri içeriyor. FBI’a göre bu proxy’ler şu amaçlarla kullanılıyor: Kripto para hırsızlıklarında iz gizleme Kiralanabilir siber suç operasyonları Diğer yasa dışı faaliyetler   Botnet Enfeksiyonu Belirtileri Ağınıza bağlı bir cihazın bir botnet’in parçası olup olmadığını aşağıdaki işaretlerden anlayabilirsiniz: Ağ bağlantısında kopmalar veya yavaşlama Aşırı ısınma Performans düşüşü Yapılandırma değişiklikleri Yeni, yetkisiz yönetici hesapları Olağandışı ağ trafiği Korunmak İçin Ne Yapmalı? Botnet bulaşma riskini azaltmanın en etkili yolu, kullanım ömrü dolmuş yönlendiricileri yeni, üretici desteği devam eden modellerle değiştirmektir. Eğer bu mümkün değilse şu adımlar önerilir: Yönlendiriciye ait en güncel üretici yazılımını (firmware) yükleyin. (Resmi sitesinden indirin) Varsayılan yönetici kullanıcı adı ve şifresini değiştirin. Uzaktan yönetim panelini devre dışı bırakın

Çin Güç İnvertörlerinde İletişim Arka Kapısı

ABD’li enerji yetkilileri, yenilenebilir enerji altyapısında kullanılan Çin yapımı cihazlarda tespit edilen açıklanamayan iletişim ekipmanları nedeniyle bu cihazlarla ilişkili potansiyel siber güvenlik risklerini yeniden değerlendirmeye aldı. Duruma aşina iki kaynağın verdiği bilgilere göre, bu ekipmanlar bazı güneş enerjisi invertörleri ve bataryalar içerisinde keşfedildi. Güç invertörleri, dünya çapında güneş panelleri ve rüzgar türbinlerinin elektrik şebekelerine bağlanmasında kilit rol oynamaktadır. Aynı zamanda bu cihazlar bataryalar, ısı pompaları ve elektrikli araç şarj istasyonları gibi sistemlerde de kullanılmaktadır. Genellikle uzaktan erişime açık şekilde tasarlanan invertörler, üretici güncellemeleri ve bakım işlemleri için bu özelliği barındırırken, kamu hizmeti şirketleri Çin ile doğrudan bağlantıyı engellemek için güvenlik duvarları kullanmaktadır. Ancak Reuters’ın aktardığına göre, ABD’li uzmanlar, bazı Çin menşeli inverter ve batarya cihazlarında ürün belgelerinde yer almayan kayıt dışı iletişim cihazları keşfetti. Özellikle son dokuz ay içinde, hücresel radyo modülleri gibi belgelenmemiş iletişim birimlerinin farklı Çinli tedarikçilere ait bataryalarda da yer aldığı tespit edildi. Bu cihazlar, sistemlere dışarıdan müdahaleye açık ek iletişim kanalları oluşturabiliyor ve güvenlik duvarlarını aşma potansiyeli taşıyor. Kaç cihazın etkilendiği henüz tam olarak bilinmezken, kaynaklar medya ile paylaşım kısıtlamaları nedeniyle anonim kalmayı tercih etti. Aynı şekilde, söz konusu kayıt dışı iletişim modüllerinin bulunduğu ürünleri tedarik eden Çinli üreticilerin isimleri de gizli tutuldu. ABD hükümeti şu ana kadar bu bulgularla ilgili resmî bir açıklama yapmadı. ABD Enerji Bakanlığı (DOE) ise Reuters’a verdiği yanıtta, gelişen teknolojilere dair risklerin sürekli değerlendirildiğini ve üreticilerin cihazların tüm işlevlerini şeffaf biçimde belgelendirme konusunda zorluk yaşadıklarını bildirdi. DOE sözcüsü, “Bu işlevsellik kötü niyetli olmayabilir, ancak ürünleri tedarik edenlerin cihazların tüm özelliklerini bilmesi hayati önemdedir,” açıklamasında bulundu. Bakanlık, bu boşlukları kapatmak için Yazılım Malzeme Listesi (SBOM) ve diğer sözleşmesel yükümlülükler üzerinden çalışma yürütüldüğünü belirtti. Bu gelişmeler, kritik altyapının giderek artan sayıda sofistike siber tehdide maruz kaldığı bir dönemde yaşandı. Son örneklerden Salt Typhoon ve Volt Typhoon adlı gelişmiş kalıcı tehdit (APT) grupları, bu tehditlerin boyutunu net biçimde ortaya koyuyor. Salt Typhoon, araştırmacılar tarafından Çin bağlantılı olduğu değerlendirilen ve ABD’nin geniş bant ağlarını hedef alan bir saldırı dalgasının parçası olarak tanımlandı. Grup, enerji şebekeleri ve su arıtma tesisleri gibi kritik sistemlere yetkisiz erişim sağlayan kötü amaçlı yazılımlar konuşlandırarak veri hırsızlığı ve operasyonel kesintiler yaratabiliyor. Volt Typhoon ise hem bilgi teknolojisi (BT) hem de operasyonel teknoloji (OT) ortamlarındaki açıklardan faydalanarak sistemlere sızıyor. Bu grubun en çarpıcı özelliği, ağ içinde yanal hareket ederek dijital ve fiziksel sistem bileşenlerini hedef alabilmesi, bu da özellikle enerji gibi sürekli çalışması gereken altyapılar için büyük tehdit anlamına geliyor. Mart ayında ise Forescout Research’ün Vedere Labs ekibi, Huawei, Sungrow, SMA Solar Technology gibi önde gelen altı inverter üreticisini analiz ettiği SUN:DOWN adlı çalışmasını yayımladı. Araştırma sonucunda, Sungrow, SMA ve Growatt’ın cihazlarında toplam 50’ye yakın güvenlik açığı bulundu. Toplamda 93 güvenlik açığı tespit edilirken, bunların %80’i yüksek veya kritik seviye (CVSS skoru 9.8–10) olarak derecelendirildi. Bu açıklar, hem enerji şebekeleri hem de akıllı ev sistemleri için saldırı yüzeyi oluşturmakta ve şebeke kesintilerine kadar varabilecek sonuçlar doğurabilecek riskler barındırmaktadır.

2025'te Siber Güvenliğin Geleceği: Tehditler, Trendler ve Stratejik Tepkiler

Dijital dönüşüm tüm sektörlerde hız kazanırken, siber güvenlik alanı da büyük bir değişimden geçiyor. 2025 yılı, dünya genelindeki kuruluşlar için daha sofistike siber tehditler, artan düzenleyici baskılar ve teknolojik kesintilerle kritik bir dönüm noktası olarak öne çıkıyor. Aşağıda, siber güvenliğin geleceğini şekillendiren trendler, bu trendlerin getirdiği zorluklar ve sektör liderlerinin yanıt stratejileri ele alınmaktadır.   Yapay Zekâ: Çift Tarafı Keskin Bıçak Yapay zekâ (YZ), hem saldırganlar hem de savunucular için güçlü bir araç haline geldi. Siber suçlular, gerçek zamanlı olarak mutasyona uğrayabilen, geleneksel tespit yöntemlerinden kaçabilen ve uç nokta savunmalarına uyum sağlayabilen YZ destekli zararlı yazılımlar kullanıyor. Bu dinamik ortam, manuel tehdit avcılığını hızla geçersiz hale getiriyor; yerini ileri düzey anomali tespiti ve YZ tabanlı sızma tekniklerine bırakıyor. Savunma tarafında ise YZ, tehdit tespiti, davranış analizi ve öngörücü analizlerde devrim yaratıyor. Güvenlik ekipleri, YZ sayesinde kalıpları tanımlayabiliyor, normal etkinlik düzeylerini belirleyip, saldırı sinyali olabilecek sapmaları tespit edebiliyor. Öngörücü modeller, kuruluşların zayıflıkları önceden tahmin etmesini ve yama yönetimini önceliklendirmesini sağlarken; doğal dil işleme araçları, oltalama ve sosyal mühendislik saldırılarını tespit etmede etkinlik sağlıyor. Ancak, strateji geliştiren, muhakeme yapabilen ve karmaşık görevleri otomatikleştirebilen YZ ajanlarının yükselişi, hem fırsat hem de risk yaratıyor. Çünkü bu yetenekler kötü niyetli aktörler tarafından da kötüye kullanılabiliyor.   Zero Trust ve Kimlik Güvenliği Geleneksel ağ sınırlarının ortadan kalkmasıyla birlikte, zero trust (sıfır güven) modeli, modern siber güvenliğin temel taşı haline geldi. Zero trust mimarileri, her erişim isteği için sürekli kimlik doğrulama ve yetkilendirme gerektirerek, ağ içinde lateral movement (yatay hareket) gibi gelişmiş saldırı taktiklerinin önüne geçiyor. Mikro-segmentasyon ve kullanıcı bağlamı kontrolleriyle birleştirilen bu yaklaşım, dağıtık ve hibrit iş gücünü güvence altına almak isteyen kuruluşlar tarafından hızla benimseniyor.   Kuantum Bilgi İşlem: Yeni Cepheye Hazırlık Kuantum bilgi işlem henüz yaygın kullanılmasa da, mevcut şifreleme standartlarını kırma potansiyeli taşıdığı için büyük bir tehdit oluşturuyor. Siber suçlular ve devlet destekli aktörler, şimdiden şifrelenmiş verileri biriktiriyor ve gelecekte kuantum bilgisayarlarla bunları çözmeyi hedefliyor. Buna karşılık, bazı kuruluşlar kuantuma dayanıklı algoritmaları ve kuantum sonrası kriptografiyi araştırmaya başladı ve uzun vadeli veri güvenliği için adımlar atıyor.   Fidye Yazılımları ve Ransomware-as-a-Service (RaaS) Fidye yazılımları, kuruluşlar için en büyük siber risk olmaya devam ediyor ve saldırılar hem sıklık hem de karmaşıklık açısından artıyor. RaaS platformları, fidye yazılımını bir hizmet haline getirerek saldırganların giriş bariyerini düşürüyor. Bu da saldırı sayısını artırıyor ve kurtarma maliyetlerini milyonlarca dolara kadar çıkarıyor. Çok katmanlı şantaj teknikleri, hem verileri hem de operasyonel sürekliliği hedef alıyor ve kuruluşları çevrimdışı yedekleme, ağ segmentasyonu ve hızlı kurtarma stratejilerine yatırım yapmaya zorluyor.   Tedarik Zinciri ve Bulut Açıkları Tedarik zinciri saldırıları, saldırganların yazılım sağlayıcıları veya üçüncü tarafları hedef alarak çok sayıda kuruluşa birden erişmesini sağlıyor. Bu saldırılar, tedarikçi güvenliğinin sıkı bir şekilde denetlenmesini, gerçek zamanlı bağlantı izleme ve sürekli uyumluluk sağlamak için sözleşmeye dayalı hükümler gerektiriyor. Aynı zamanda, bulut tabanlı mimarilere ve konteynerleştirilmiş uygulamalara geçiş, yanlış yapılandırmalar ve yamalanmamış imajlar nedeniyle yeni güvenlik açıkları yaratıyor. Bu nedenle, güvenlik kontrollerinin yazılım geliştirme sürecine (shift-left güvenlik) entegre edilmesi giderek zorunlu hale geliyor.   Sosyal Mühendislik ve Deepfake Tehditleri Sosyal mühendislik saldırıları, deepfake teknolojisi ile daha da tehlikeli hale geldi. Saldırganlar, yöneticileri ya da güvenilir kişileri taklit eden yapay zekâ destekli ses ve video içerikleri kullanarak, çalışanları para transferi yapmaya veya giriş bilgilerini paylaşmaya ikna edebiliyor. Uzaktan çalışma ve görüntülü toplantıların yaygınlaşması, kuruluşları bu risklere karşı farkındalık eğitimleri ve ileri düzey kimlik doğrulama protokolleri uygulamaya yöneltiyor.   Düzenleyici Baskılar ve Yetenek Açığı Yeni düzenlemeler, sektörler genelinde artan güvenlik gereksinimleri ve olay bildirim yükümlülükleri getiriyor. Aynı zamanda, siber güvenlik uzmanı eksikliği devam ediyor. Bu da şirketleri, yönetilen güvenlik hizmetlerine ve otomasyon çözümlerine yönlendiriyor, böylece sınırlı kaynaklarla güçlü savunmalar sağlanabiliyor.   Jeopolitik Gerilimler ve Kritik Altyapılar Küresel jeopolitik istikrarsızlık, tehdit ortamını daha da karmaşık hale getiriyor. Devlet destekli saldırganlar, özellikle kritik altyapıları, tedarik zincirlerini ve uzay tabanlı sistemleri hedef alıyor. Üretim ve enerji gibi sektörlerde BT (bilgi teknolojisi) ile OT (operasyonel teknoloji) sistemlerinin birleşmesi, yeni saldırı yüzeyleri oluşturuyor. Bu da entegre izleme sistemleri ve uçtan uca güvenlik çözümleri gerektiriyor. Geleceğe Bakış: Siber Dayanıklılık İnşa Etmek Siber güvenliğin geleceği, sürekli risk yönetimi, hiper-otomasyon ve statik savunmadan dinamik, yapay zekâ destekli olay yanıtına geçiş ile tanımlanıyor. Kuruluşlar artık 7/24 izleme, ölçeklenebilir koruma ve uyumluluk güvencesi için uzman sağlayıcılara güveniyor. Tehditlerin karmaşık ve geniş kapsamlı hale gelmesiyle, dayanıklılık, hızlı tespit, yanıt ve toparlanma en kritik ayrıştırıcı faktörler olacak. Bu yüksek riskli ortamda, siber güvenlik artık sadece teknik bir konu değil; iş sürdürülebilirliği ve inovasyonun da temel itici gücüdür. Geleceğin başarılı kuruluşları, gelişmekte olan teknolojileri benimseyen, güvenlik kültürünü teşvik eden ve değişen dijital savaş alanına proaktif olarak uyum sağlayanlar olacaktır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Fortinet’ten Sıfırıncı Gün Zafiyetlere Karşı Yama

Fortinet, Salı günü yaptığı açıklamada, ürün portföyü genelinde bir düzine güvenlik açığı için yamalar yayınladığını duyurdu. Bu açıklar arasında, FortiVoice telefon sistemi cihazlarına karşı halihazırda istismar edilen kritik bir sıfır gün (zero-day) güvenlik açığı da yer alıyor. İstismar edilen açık, CVE-2025-32756 olarak izlenmekte olup, CVSS skoru 9.6 olan bu açık, yığın tabanlı taşma (stack-based overflow) kusuru olarak tanımlanıyor. Bu açık, kimliği doğrulanmamış uzak saldırganların, özel olarak hazırlanmış HTTP istekleri kullanarak keyfi komut veya kod yürütmesine olanak tanıyor. Fortinet, bu açığın FortiVoice cihazlarında aktif olarak istismar edildiğini gözlemlediğini danışma notunda belirtiyor. Gözlemlenen saldırıların bir parçası olarak tehdit aktörlerinin: Cihaz ağını taradığı, Sistem çökme günlüklerini (crashlogs) sildiği, fcgi hata ayıklamasını etkinleştirerek sistem kimlik bilgileri ile SSH girişlerini kaydettiği bildirildi. Fortinet, müşterilerin potansiyel ihlalleri tespit edebilmesi için saldırı göstergeleri (IoC’ler) paylaştı ve geçici çözüm olarak HTTP/HTTPS yönetim arayüzünün devre dışı bırakılmasını önerdi. Her ne kadar bu açık yalnızca FortiVoice cihazlarına karşı istismar edilmiş olsa da, CVE-2025-32756 aynı zamanda FortiMail, FortiNDR, FortiRecorder ve FortiCamera ürünlerini de etkiliyor. Bu beş ürün için de güvenlik güncellemeleri yayınlandı. Salı günü ayrıca Fortinet, FortiOS, FortiProxy ve FortiSwitchManager yazılımlarında bulunan başka bir kritik güvenlik açığı için de yamalar yayımladı. CVE-2025-22252 olarak izlenen ve CVSS skoru 9.0 olan bu açık, kritik bir işlev için kimlik doğrulama eksikliği (missing authentication for critical function) şeklinde tanımlanıyor ve TACACS+ kimlik doğrulamasının atlatılmasına yol açabiliyor. Bu açık, yalnızca şu yapılandırmaları etkiliyor: TACACS+ kullanarak uzaktaki bir TACACS+ sunucusu ile kimlik doğrulaması yapan sistemler Bu sunucunun da ASCII kimlik doğrulaması ile yapılandırılmış olması. Saldırgan, mevcut bir yönetici hesabını hedef alarak cihaz üzerinde yönetici ayrıcalıkları ile erişim sağlayabilir. Fortinet, bu güvenlik açığının yalnızca ASCII kimlik doğrulaması yapılandırmalarını etkilediğini, PAP, MSCHAP ve CHAP yapılandırmalarının etkilenmediğini belirtiyor. Şirket ayrıca, FortiClient for macOS yazılımında tespit edilen ve yerel bir saldırganın hazırlanmış XPC mesajları ile ayrıcalıklarını yükseltmesine olanak tanıyan yüksek önem dereceli (high-severity) yetkilendirme hatasını (CVE-2025-25251) da çözüme kavuşturdu. Bunun yanında, FortiClient, FortiOS Security Fabric, FortiManager, FortiOS, FortiVoiceUC ve FortiPortal gibi ürünlerdeki orta ve düşük önem derecesine sahip birçok güvenlik açığı için de yamalar yayınlandı. Ayrıca Fortinet, daha önce bildirilen dört güvenlik açığına dair danışma notlarını güncelledi ve etkilenen ek ürünleri listeye ekledi. Bu açıklardan üçü OpenSSH’yi etkilerken, ikisi geçen yıl ortaya çıkarılan Terrapin ve regreSSHion saldırıları ile ilgilidir. Fortinet müşterilerine, yeni yayınlanan yamaları en kısa sürede uygulamaları tavsiye edilmektedir. Ek bilgilere Fortinet’in PSIRT danışma sayfasından ulaşılabilir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Mart 2025

 

Bültenimizin Mart Ayı konu başlıkları;  2024 Veri İhlallerinin %95’i İnsan Hatasından Kaynaklandı Parola Yeniden Kullanımı 2025’te de En Büyük Siber Güvenlik Riski Olmayı Sürdürüyor Mobil Bankacılık Kötü Amaçlı Yazılımlarında Endişe Verici Artış Broadcom’dan Kritik Güvenlik Güncellemesi: VMware Tools ve ESX Mirai Botnetleri, Edimax IP Kameralardaki Kritik Zafiyeti Hedef Alıyor

2024 Veri İhlallerinin %95’i İnsan Hatasından Kaynaklandı

Mimecast tarafından yayımlanan yeni bir rapor, 2024 yılında gerçekleşen veri ihlallerinin %95’inin doğrudan insan hatasından kaynaklandığını ortaya koydu. Bu dikkat çekici bulgu, siber güvenlikte insan faktörünün hâlâ en zayıf halka olduğunu gösteriyor. İçeriden Gelen Tehditler Yükselişte Rapor, insan hatasının başlıca sebepleri olarak: İçeriden gelen tehditler Kimlik bilgisi kötüye kullanımı Kullanıcı kaynaklı hatalar gibi unsurları sıralıyor. Özellikle dikkat çeken bir veri: Personelin yalnızca %8’i, yaşanan güvenlik olaylarının %80’inden sorumlu tutuldu. Bu da az sayıda çalışanın ciddi ölçüde güvenlik riski oluşturduğunu gösteriyor. Yüksek Profilli Olaylar ve Maliyetler Raporda yer alan önemli örneklerden biri, Change Healthcare şirketine yönelik fidye yazılımı saldırısı. Bu olayda, bir çalışanın oltalama (phishing) e-postasına düşmesi sonucunda, tehdit aktörleri kurumsal ağa sızmayı başardı. Katılımcıların %43’ü, son 12 ayda içeriden gelen tehditlerde veya çalışan kaynaklı veri sızıntılarında artış yaşandığını belirtti. %66’sı, bu eğilimin önümüzdeki yıl daha da kötüleşeceğini öngörüyor. İçeriden gelen veri ifşalarının kurumlara ortalama maliyeti: 13,9 milyon dolar. Kurumlar Eğitim Veriyor Ama Endişeler Sürüyor Kurumların %87’si, çalışanlarına en az üç ayda bir siber farkındalık eğitimi veriyor. Ancak yöneticilerin %33’ü, çalışanların özellikle e-posta tehditlerine karşı hata yapmasından endişeli. %27’si ise, çalışan yorgunluğunun farkındalığı düşürerek güvenlik açıklarına yol açtığını düşünüyor. Yapay Zeka Hem Çözüm Hem Tehdit Kurumların %95’i, siber saldırılar ve içeriden gelen tehditlere karşı yapay zekâ kullanıyor. Ancak %55’i, yapay zekâ kaynaklı tehditlerle mücadelede yetersiz stratejilere sahip olduklarını itiraf ediyor. %81’lik kesim, üretken yapay zekâ (GenAI) araçları ile hassas verilerin sızdırılmasından endişe ediyor. Bu veriler, modern siber güvenlik stratejilerinde insan faktörünü göz ardı etmenin mümkün olmadığını bir kez daha gösteriyor. Kurumlar: Düzenli eğitimlerle farkındalık artırmalı Yorgunluk gibi psikolojik etkenleri göz önünde bulundurmalı Yapay zekâyı hem saldırı hem de savunma aracı olarak dikkatle analiz etmeli Siber güvenlikte sürdürülebilir başarı, sadece teknolojiye değil, aynı zamanda insana yatırım yapmakla da mümkündür.

Parola Yeniden Kullanımı 2025’te de En Büyük Siber Güvenlik Riski Olmayı Sürdürüyor

2025 yılı itibarıyla, parola yeniden kullanımı hâlâ en yaygın ve tehlikeli siber güvenlik açıklarından biri olmaya devam ediyor. Yeni paylaşılan veriler, çevrim içi güvenlik farkındalığının artmasına rağmen kullanıcıların aynı parolaları farklı hizmetlerde kullanma alışkanlığını terk etmediğini ortaya koyuyor. Sızdırılmış Parolalarla Gerçekleşen Girişler Endişe Veriyor Cloudflare tarafından Eylül – Kasım 2024 tarihleri arasında toplanan verilere göre: Şirketin koruma sağladığı web sitelerinde gerçekleşen başarılı girişlerin %41’i, daha önce veri sızıntılarında ifşa edilmiş parolalarla yapıldı. Kullanıcıların ortalama olarak aynı parolayı en az dört farklı hesapta kullandığı belirlendi. Tüm kimlik doğrulama isteklerinin %52’sinde daha önce sızdırılmış parolalar yer aldı (örnek olarak Have I Been Pwned - HIBP veritabanı üzerinden yapılan kontrollerle). En çarpıcı bulgu ise, bu tür giriş denemelerinin %95’inin botlar tarafından otomatik şekilde gerçekleştirilmesi oldu. Bu, yaygın bir kimlik bilgisi doldurma (credential stuffing) saldırı stratejisinin varlığına işaret ediyor. Otomasyon Sistemleri ve Zincirleme Etkiler Bu otomatik saldırılar, saniyede binlerce kullanıcı adı ve parola kombinasyonunu test ederek insanların parola tekrar kullanma alışkanlığını hedef alıyor. Sonuç olarak: Yetkisiz erişimler gerçekleşiyor, Veri hırsızlığı yaygınlaşıyor, Daha ileri düzey hesap ele geçirme ve kurumsal ihlaller meydana geliyor. WordPress Siteleri Özellikle Hedefte İçerik Yönetim Sistemleri (CMS) arasında en yaygın kullanılanlardan biri olan WordPress, bu saldırılardan orantısız şekilde etkileniyor. Giriş sayfasının kolay tanınabilir olması ve yaygın kullanım oranı, WordPress’i saldırganlar için cazip kılıyor. Analizler, sızdırılmış parola ile yapılan giriş denemelerinin %76’sının başarılı olduğunu gösteriyor. Bu başarılı girişlerin yaklaşık %48’i botlar tarafından gerçekleştiriliyor. Bu da, WordPress sitelerinin genellikle daha karmaşık hesap ele geçirme saldırılarının ilk adımı olarak kullanıldığını ortaya koyuyor. Web Sitesi Yöneticilerine Öneriler Web uygulaması ve site yöneticileri, sistemlerini aşağıdaki yöntemlerle güçlendirebilir: Sızdırılmış kimlik bilgilerini algılayan kontroller entegre edin İstek sınırlandırma (rate limiting) uygulayarak yoğun denemeleri engelleyin Bot yönetim araçları ile otomatik saldırıların etkisini en aza indirin Parola güvenliği, hem bireysel hem de kurumsal düzeyde siber güvenlik dayanıklılığı için temel bir unsurdur. Basit gibi görünen bu alışkanlık, ciddi sonuçlara yol açabilir. Bu nedenle, hem kullanıcıların hem de sistem yöneticilerinin aktif önlemler alması her zamankinden daha kritik rol oynamaktadır.

Mobil Bankacılık Kötü Amaçlı Yazılımlarında Endişe Verici Artış

2024 yılı, mobil bankacılık kötü amaçlı yazılımlarında rekor bir artışa sahne oldu. Yıl boyunca yaklaşık 248.000 kullanıcı, bu tehditlerle karşı karşıya kaldı. Bu sayı, 2023'teki 69.000 kullanıcıya kıyasla 3,6 katlık bir artışa işaret ediyor. Özellikle yılın ikinci yarısında belirginleşen bu yükseliş, siber suçluların finansal kazanç amacıyla mobil platformlara yöneldiğini gösteriyor. Finansal siber tehdit ortamı, bu eğilimle birlikte daha da karmaşık ve tehlikeli hâle geliyor. En Yaygın Tehdit: Mamont Araştırmalara göre, Mamont kötü amaçlı yazılım ailesi, tüm mobil bankacılık truva atı saldırılarının %36,7’sini oluşturuyor. İlk olarak 2023 sonunda ortaya çıkan Mamont, özellikle Rusya ve Bağımsız Devletler Topluluğu (BDT) ülkelerinde aktif. Bu zararlı yazılım, sofistike sosyal mühendislik taktikleriyle kullanıcıları hedef alıyor. Diğer öne çıkan tehditler arasında: Agent.rj varyantı (%11,14) UdangaSteal.b (%3,17) yer alıyor. Sosyal Mühendislik Taktikleri Securelist araştırmacıları, bu kötü amaçlı yazılımların kullanıcıları kandırmak için çeşitli aldatma teknikleri kullandığını belirtiyor. Bunlar arasında: “Bu fotoğraftaki sen misin?” gibi basit sosyal medya mesajları Sahte çevrimiçi mağazalar Sahte kargo takip uygulamaları gibi daha karmaşık senaryolar bulunuyor. Ne Yapabiliyorlar? Bu zararlı yazılımlar bir kez yüklendikten sonra: Kimlik bilgilerini çalabiliyor Kimlik doğrulama kodlarını yakalayabiliyor Yetkisiz finansal işlemler gerçekleştirebiliyor Yani, bir kullanıcının tüm dijital finansal varlıklarına erişim sağlanabiliyor. Türkiye: Önemli Hedeflerden Biri Türkiye, %5,68 oranıyla mobil bankacılık tehditlerinden en çok etkilenen ülkelerden biri. Bu oran, geçen yıla göre 2,7 puanlık bir artış anlamına geliyor. Diğer dikkat çeken ülkeler arasında: Endonezya (%2,71) Hindistan (%2,42) Azerbaycan (%0,88) yer alıyor. Bu ülkeler, küresel tehdit kampanyalarının hedefi hâline gelmiş durumda. Bulaşma Mekanizmaları Bulaşma süreci çoğunlukla sosyal mühendislik ile başlıyor. Kullanıcılar: Sahte uygulama mağazaları Kimlik avı (phishing) siteleri aracılığıyla kötü amaçlı yazılım içeren uygulamaları indiriyor. Yüklendikten sonra bu uygulamalar: SMS erişimi Bildirimlere erişim Erişilebilirlik hizmetleri gibi kapsamlı izinler talep ediyor. Bu izinler sayesinde, zararlı yazılım meşru bankacılık uygulamaları üzerine kimlik avı ekranları yerleştirebiliyor. Korunma Önerileri Uzmanlar, bu tehditlere karşı şu önlemleri tavsiye ediyor: Sadece resmi uygulama mağazalarından uygulama indirin Uygulama izin taleplerini dikkatlice inceleyin Güvenilir mobil güvenlik çözümleri kullanın Finansal hesaplar için çok faktörlü kimlik doğrulama (MFA) etkinleştirin Mobil cihazlar artık sadece iletişim araçları değil, aynı zamanda cüzdanlarımız, bankamız ve özel bilgilerimizin merkezi. Bu nedenle, mobil güvenlik her zamankinden daha kritik olduğunu unutmamak gerekiyor!

Broadcom’dan Kritik Güvenlik Güncellemesi: VMware Tools ve ESX

Broadcom, CVSS skoru 9.8 olan ve CVE-2025-22230 olarak izlenen yüksek dereceli bir kimlik doğrulama atlatma zafiyetini ele alan önemli bir güvenlik güncellemesi yayınladı. Bu zafiyet, özellikle VMware Tools for Windows kullanıcılarını ilgilendiriyor.   VMware Tools for Windows Nedir? VMware Tools for Windows, VMware Workstation, Fusion ve vSphere (ESXi) gibi VMware hipervizörleri üzerinde çalışan sanal makinelerin (VM) performansını ve kullanılabilirliğini artırmak amacıyla kullanılan yardımcı programlar paketidir.   CVE-2025-22230 Zafiyeti Bu kritik zafiyet, hatalı erişim kontrolü nedeniyle oluşuyor. Düşük ayrıcalıklı yerel saldırganlar, bu açığı kullanıcı etkileşimi olmadan basit saldırılarla istismar ederek savunmasız VM'lerde ayrıcalık yükseltmesi gerçekleştirebiliyorlar. Zafiyetin Etkilediği Sürümler: VMware Tools 12.x.x ve 11.x.x (Windows, Linux ve macOS) Güncellenmiş Sürüm: VMware Tools 12.5.1, bu güvenlik açığını gidermektedir. Şirket, bu açığın şu an aktif olarak istismar edilip edilmediğine dair herhangi bir bilgi paylaşmamıştır.   Mart Ayında Üç Yeni Zero-Day Zafiyeti Giderildi Mart ayının başlarında Broadcom, VMware’in çeşitli ürünlerinde yer alan ve aktif olarak istismar edilen üç sıfır gün (zero-day) zafiyetini daha güvenlik güncellemeleri ile kapattı. Söz konusu zafiyetler: CVE-2025-22224 CVE-2025-22225 CVE-2025-22226 Etkilenen Ürünler: VMware ESXi vSphere Workstation Fusion Cloud Foundation Telco Cloud Platform Broadcom, bu açıkların gerçek dünyada istismar edildiğine dair somut bilgiye sahip olduğunu da doğruladı.   VMSA-2025-0004 Güvenlik Danışma Dokümanı 4 Mart 2025’te, Broadcom tarafından yayınlanan kritik güvenlik danışma dokümanı (VMSA-2025-0004), bu zafiyetlerin detaylarını ve çözüm yollarını içeriyor. Açıklamada şu ifadelere yer veriliyor: “Bu zafiyetler, tehdit aktörlerinin çalışan bir sanal makine üzerinden hipervizöre erişebileceği bir mekanizmayı kapsamaktadır.” Bu durum, güvenlik açısından "VM Escape" (Sanal Makineden Kaçış) olarak bilinen son derece tehlikeli bir senaryoya işaret ediyor. Broadcom’un yayınladığı bu güncellemeler, sanallaştırma ortamlarında çalışan sistem yöneticileri ve güvenlik ekipleri için oldukça kritik önem taşıyor. Tüm kullanıcıların güncellemeleri acilen uygulaması ve ortamlarını bu yüksek riskli açıklardan koruması şiddetle tavsiye edilir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Mirai Botnetleri, Edimax IP Kameralardaki Kritik Zafiyeti Hedef Alıyor

Mirai tabanlı botnetler, yakın zamanda keşfedilen CVE-2025-1316 sıfır gün zafiyetini kullanarak Edimax IP kameralarında uzaktan komut çalıştırma gerçekleştirmektedir. Bu durum, ev ve küçük ofis ağlarında yaygın olarak kullanılan bu cihazları büyük bir siber tehdit haline getirmiştir. CISA'dan Kritik Uyarı ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Edimax IC-7100 model IP kameraları etkileyen bu zafiyetle ilgili resmi bir güvenlik uyarısı yayınladı. Zafiyet ID’si: CVE-2025-1316 Zafiyet Türü: İşletim Sistemi Komutu Enjeksiyonu (OS Command Injection) CVSS Skoru: 9.8 (Kritik) Zafiyet, cihazların gelen istekleri düzgün bir şekilde filtreleyememesi nedeniyle ortaya çıkmakta. Bir saldırgan, özel olarak hazırlanmış HTTP istekleri göndererek, cihaz üzerinde uzaktan kod çalıştırma (Remote Code Execution - RCE) yapabiliyor. Mirai Tabanlı Botnetlerin Yeni Hedefi Akamai araştırmacıları, bu zafiyetin aktif olarak istismar edildiğini doğruladı. Gözlemlerine göre, birden fazla Mirai tabanlı botnet, bu açıklığı kullanarak: Uzaktaki bir sunucudan zararlı bir kabuk betiği (shell script) indiriyor, Edimax IC-7100 IP kameralarına bu zararlı yazılımı yüklüyor, Cihazları botnet ağına dahil ederek DDoS gibi büyük çaplı saldırılarda kullanıyor. Güncelleme Mevcut Değil Bu zafiyet, tüm Edimax IC-7100 IP kamera sürümlerini etkilemekte ve ne yazık ki cihazlar kullanım ömrü sonlanmış (end-of-life) kategorisinde yer alıyor. Henüz bir güvenlik güncellemesi yayınlanmadı. Üretici firma, Ekim 2024’te bilgilendirilmesine rağmen CISA ve Akamai’ye geri dönüş yapmadı. Ayrıca, Akamai, bu zafiyetin yalnızca IC-7100 modeliyle sınırlı kalmayıp diğer Edimax cihazlarını da etkileyebileceği konusunda uyarıda bulunuyor. Ne Yapmalı? Kullanıcıların ve kurumların şu önlemleri alması önerilmektedir: Edimax IC-7100 kameralarını ağdan izole etmek veya devre dışı bırakmak, Cihaz üzerinde dışa açık portlar varsa erişimi kısıtlamak, Ağ trafiğini izleyerek şüpheli dış bağlantıları engellemek, Mümkünse cihazı daha güncel ve desteklenen modellerle değiştirmek. CVE-2025-1316, internet bağlantılı cihazlar üzerinden gelen tehditlerin ne kadar hızlı ve agresif şekilde evrim geçirdiğini bir kez daha gözler önüne seriyor. Destek süresi dolmuş cihazların hâlâ kritik altyapılarda kullanılıyor olması, siber güvenlik açısından ciddi riskler barındırıyor.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.