10 Temmuz 2025

Siber Güvenlik Bülteni - Haziran 2025

 

Bültenimizin Haziran Ayı konu başlıkları; 
    • Tarihin En Büyük Veri İfşası : 16 Milyar Kullanıcı Bilgisi (Kullanıcı Hesapları)
    • Mirai Botnet Tekrar Sahnede
    • Tedarik Zinciri Zararlı Yazılım
    • Fortinet, Ivanti Yüksek Dereceli Güvenlik Zafiyetleri
    • HPE StoreOnce Sistemlerinde Kritik Güvenlik Açıkları 

    Tarihin En Büyük Veri İfşası : 16 Milyar Kullanıcı Bilgisi (Kullanıcı Hesapları)

    Geçtiğimiz günlerde "tarihin en büyük veri ifşalarından biri" olduğu iddia edilen bir haber yayıldı, bu durum geniş medya kapsamı, uyarılar ve korku yayma ile birlikte geldi. Ancak, bunun sadece daha önce sızdırılmış, bilgi hırsızları tarafından çalınan, veri hırsızlığında ortaya çıkan ve kullanıcı bilgisi doldurma (credential stuffing) saldırılarıyla ele geçirilen kullanıcı bilgilerinin bir derlemesi olduğu anlaşılıyor.

    Açık olmak gerekirse, bu yeni bir veri hırsızlığı ile ilgili web siteleri bu kullanıcı bilgilerini çalmak için yakın zamanda saldırıya uğramadı.

    Bunun yerine, bu çalınan kullanıcı bilgileri muhtemelen bir süredir, hatta yıllardır dolaşımdaydı. Daha sonra bir siber güvenlik firması, araştırmacılar veya saldırganlar tarafından toplandı ve internette açıkta kalan bir veritabanında yeniden paketlendi.

    Kısaca açıkta kalan derlenmiş kullanıcı bilgileri veri kümelerini keşfeden uzmanlar, bunların genellikle bilgi hırsızı zararlı yazılımı ile ilişkilendirilen bir biçimde depolandığını belirtti, ancak örnek paylaşmadılar.

    Bilgi hırsızı (infostealer), enfekte olmuş bir cihazdan kullanıcı bilgilerinikripto para cüzdanlarını ve diğer verileri çalmaya çalışan bir zararlı yazılım türüdür. Yıllar içinde, bilgi hırsızları büyük bir sorun haline gelmiş ve dünya çapında ifşalara yol açmıştır.

    Bu tür zararlı yazılımlar hem Windows hem de Mac'leri etkiler ve çalıştığında, bir cihazda depolanan bulabildiği tüm kullanıcı bilgilerini toplar ve bunları "günlük" adı verilen bir dosyada saklar.

    Bir bilgi hırsızı günlüğü genellikle çok sayıda metin dosyası ve diğer çalınan verileri içeren bir arşivdir. Metin dosyaları, tarayıcılardan, dosyalardan ve diğer uygulamalardan çalınan kullanıcı bilgilerinin listelerini içerir.

    Bir kişi bir bilgi hırsızı ile enfekte olursa ve tarayıcısında binlerce kullanıcı bilgisi kayıtlıysa, bilgi hırsızı bunların hepsini çalar ve günlüğe kaydeder. Bu günlükler daha sonra saldırgana yüklenir, burada kullanıcı bilgileri daha fazla saldırı için kullanılabilir veya siber suç pazarlarında satılabilir. Bilgi hırsızı sorunu o kadar kötü ve yaygın hale geldi ki, ele geçirilmiş kullanıcı bilgilerisaldırganların ağlara sızmasının en yaygın yollarından biri haline geldi.

    Bu sorun ayrıca dünya genelindeki emniyet güçlerini son dönemdeki "Operation Secure" ve LummaStealer'ın çökertilmesi gibi eylemlerde bu siber suç operasyonlarına aktif olarak baskı yapmaya yöneltmiştir. Bilgi hırsızları o kadar bol ve yaygın olarak kullanılıyor ki, saldırganlar siber suç topluluğu arasında itibar kazanmak veya ücretli tekliflerin tanıtımı olarak Telegram, Pastebin ve Discord'da ücretsiz olarak devasa derlemeler yayınlıyor.

    Binlerce, hatta yüz binlerce benzer sızdırılmış arşiv çevrimiçi olarak paylaşılıyor ve bu da milyarlarca kullanıcı bilgisi kaydının ücretsiz olarak yayınlanmasına neden oluyor. Geçmişte benzer kullanıcı bilgisi koleksiyonları yayınlanmıştı; örneğin 9 milyardan fazla kayıt içeren RockYou2024 sızıntısı ve 22 milyondan fazla benzersiz parola içeren "Collection #1". Söylentilere rağmen, bu derlemenin yeni veya daha önce görülmemiş veriler içerdiğine dair hiçbir kanıt yok.

    Ne yapmalısınız?

    En önemli adım, zaten takip ediyor olmanız gereken iyi siber güvenlik alışkanlıklarını benimsemek ve sürdürmektir.

    Bu nedenle, Microsoft Authenticator veya Google Authenticator gibi bir kimlik doğrulama uygulamasıyla birlikte iki faktörlü kimlik doğrulamayı (2FA) kullanmanız çok önemlidir, bu uygulamalar 2FA kodlarınızı yönetmenizi sağlar. Bitwarden ve LastPass gibi bazı parola yöneticileri de kimlik doğrulama işlevi içerir ve her ikisi için de tek bir uygulama kullanmanıza olanak tanır. 2FA etkinleştirildiğinde, bir sitedeki bir parola ele geçirilse bile, saldırganlar 2FA kodunuz olmadan hesaba erişemezler.

    Genel bir kural olarak, 2FA kodlarını SMS metinleri aracılığıyla almaktan kaçınmalısınız, çünkü saldırganlar telefon numaranızı ele geçirmek ve bunları elde etmek için SIM değiştirme saldırıları gerçekleştirebilirler. Bu sızıntıya gelince, bu kadar çok kullanıcı bilgisi sızdırıldığı için, bu makalenin okuyucularından birinin derlemede yer alma ihtimali vardır. Ancak, paniğe kapılmayın ve bu konuda strese girmeyin, tüm parolalarınızı değiştirmek için koşuşturmayın. Bunun yerine, bu fırsatı siber güvenlik alışkanlıklarınızı iyileştirmek için kullanın. Ve eğer birden fazla sitede aynı parolayı kullanıyorsanız, şimdi benzersiz olanlara geçme zamanıdır. Bu şekilde, bu tür sızıntılar sizin için çok daha az tehlikeli hale gelir.

    Bunun yanı sıra doğru parola belirlemekte önemli bir konudur, bu konu ile alakalı blog yazımıza buradan ulaşabilirsiniz. 

    Mirai Botnet Tekrar Sahnede

    Yeni Mirai botnet varyantı, TBK DVR-4104 ve DVR-4216 dijital video kayıt cihazlarındaki bir komut enjeksiyonu güvenlik açığını kullanarak bu cihazları ele geçiriyor.

    CVE-2024-3721 olarak bilinen bu açık, güvenlik araştırmacısı "netsecfish" tarafından Nisan 2024'te açıklanan bir komut enjeksiyonu zafiyetidir. Araştırmacının o dönemde yayımladığı PoC, güvenlik açığı bulunan bir uç noktaya özel olarak hazırlanmış bir POST isteği şeklinde olup, belirli parametrelerin (mdb ve mdc) manipülasyonu yoluyla kabuk komut yürütmesini sağlıyordu.

    Kaspersky şimdi, netsecfish'in PoC'sini kullanan yeni bir Mirai botnet varyantı tarafından Linux honeypot'larında CVE-2024-3721'in aktif olarak istismar edildiğini bildirdi. Saldırganlar, cihazı botnet sürüsüne dahil etmek için komut ve kontrol (C2) sunucusuyla iletişim kuran bir ARM32 kötü amaçlı yazılım binary dosyasını bırakmak için istismardan yararlanıyor. Buradan itibaren, cihazın muhtemelen dağıtılmış hizmet reddi (DDoS) saldırıları yapmak, kötü amaçlı trafiği ve diğer davranışları proxy'lemek için kullanıldığı düşünülüyor.

    Saldırının Etkisi ve Yamalar

    Netsecfish geçen yıl yaklaşık 114.000 internete açık DVR'ın CVE-2024-3721'e karşı savunmasız olduğunu bildirmiştir.

    Rus siber güvenlik firmasının en son Mirai varyantıyla ilişkili gördüğü enfeksiyonların çoğu Çin, Hindistan, Mısır, Ukrayna, Rusya, Türkiye ve Brezilya'yı etkiliyor. 

    TBK Vision'ın CVE-2024-3721 açığını gidermek için güvenlik güncellemeleri yayımlayıp yayımlamadığı veya hala yamalanmamış olup olmadığı belirsizdir.

    DVR-4104 ve DVR-4216'nın Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login ve MDVR markaları altında kapsamlı bir şekilde yeniden markalandığını belirtmekte fayda var, bu nedenle etkilenen cihazlar için yamaların bulunabilirliğini karmaşık hale getirmektedir.

    TBK Vision açığını açıklayan araştırmacı, geçen yıl kullanım ömrü sonu cihazlara yönelik istismarı körükleyen başka açıklar da keşfetti.

    Özellikle, netsecfish 2024 yılında on binlerce EoL D-Link cihazını etkileyen bir arka kapı hesap sorunu ve bir komut enjeksiyonu güvenlik açığını açıkladı.

    Her iki durumda da aktif istismarPoC'nin açıklanmasından sadece birkaç gün sonra tespit edildi. Bu, zararlı yazılım yazarlarının genel kullanıma açık istismarları kendi saldırılarına ne kadar hızlı dahil ettiklerini göstermektedir.

    Tedarik Zinciri Zararlı Yazılım

    Siber güvenlik araştırmacılarıGlueStack ile ilişkili bir düzineden fazla paketi hedef alan ve zararlı yazılım dağıtan bir tedarik zinciri saldırısını tespit etti.

    "lib/commonjs/index.js" dosyasındaki bir değişiklikle tanıtılan zararlı yazılım, bir saldırganın kabuk komutları çalıştırmasınaekran görüntüleri almasına ve enfekte makinelerine dosya yüklemesine olanak tanıyor. Araştırmacılar bu paketlerin haftalık yaklaşık 1 milyon indirmeye sahip olduğunu belirtti.

    Yetkisiz erişim daha sonra kripto para madenciliğihassas bilgi çalma ve hatta hizmetleri kapatma gibi çeşitli takip eylemlerini gerçekleştirmek için kullanılabilir. Araştırmacılar, ilk paket uzlaşmasının 6 Haziran 2025, GMT 21:33'te tespit edildiğini söyledi.

    Etkilenen paketlerin ve sürümlerin listesi aşağıdadır:

    • @gluestack-ui/utils sürüm 0.1.16
    • @gluestack-ui/utils sürüm 0.1.17
    • @react-native-aria/button sürüm 0.2.11
    • @react-native-aria/checkbox sürüm 0.2.11
    • @react-native-aria/combobox sürüm 0.2.8
    • @react-native-aria/disclosure sürüm 0.2.9
    • @react-native-aria/focus sürüm 0.2.10
    • @react-native-aria/interactions sürüm 0.2.17
    • @react-native-aria/listbox sürüm 0.2.10
    • @react-native-aria/menu sürüm 0.2.16
    • @react-native-aria/overlay sürüm 0.3.16
    • @react-native-aria/radio sürüm 0.2.14
    • @react-native-aria/slider sürüm 0.2.13
    • @react-native-aria/switch sürüm 0.2.5
    • @react-native-aria/tabs sürüm 0.2.14
    • @react-native-aria/toggle sürüm 0.2.12
    • @react-native-aria/utils sürüm 0.2.13

    Ayrıca, paketlere enjekte edilen zararlı kod, geçen ay başka bir npm paketi olan "rand-user-agent"ın tehlikeye atılmasının ardından dağıtılan uzaktan erişim Truva atına benzer. Bu da aynı saldırganların bu aktivitenin arkasında olabileceğini gösteriyor.

    Truva atı, sistem bilgilerini ("ss_info") ve ana bilgisayarın genel IP adresini ("ss_ip") toplamak için iki yeni komutu destekleyen güncellenmiş bir sürümdür.

    Proje yöneticileri o zamandan beri erişim jetonunu iptal etti ve etkilenen sürümleri kullanımdan kaldırılmış olarak işaretledi. Zararlı sürümleri indirmiş olabilecek kullanıcıların, olası tehditleri azaltmak için güvenli bir sürüme geri dönmeleri önerilir.

    Şirket yaptığı açıklamada, "Potansiyel etki muazzam boyutta ve zararlı yazılımın kalıcılık mekanizması özellikle endişe verici – saldırganlar, yöneticiler paketleri güncelledikten sonra bile enfekte makinelerde erişimi sürdürüyorlar" dedi.

    Ancak, 9 Haziran 2025'te yayınlanan bir olay raporunda, proje yöneticileri, katkıda bulunanlarından biriyle ilişkili bir genel erişim jetonunun tehlikeye atıldığını ve böylece saldırganların react-native-aria paketlerinin yanı sıra bir @gluestack-ui/utils paketinin npm'ye yayınlamasına izin verdiğini kabul etti.

    Yöneticiler ayrıca, gerekli olmayan tüm katkıda bulunanlar için GitHub depo erişimini iptal ettiklerini ve yayınlama ile GitHub erişimi için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdiklerini söyledi.

    Npm'de Yıkıcı Özelliklere Sahip Kötü Amaçlı Paketler 

    Bu gelişme, Socket'in, meşru yardımcı programlar gibi görünen ancak tüm uygulama dizinlerini silebilen silecekler (wiper) yükleyen iki hileli npm paketi – express-api-sync ve system-health-sync-api – keşfetmesiyle ortaya çıktı.

    "botsailer" hesabı (e-posta: anupm019@gmail[.]com) tarafından yayınlanan paketler, kaldırılmadan önce sırasıyla 112 ve 861 kez indirildi.

    İki paketten ilki olan express-api-sync, iki veritabanı arasında verileri senkronize etmek için bir Express API olduğunu iddia ediyor. Ancak, şüphelenmeyen bir geliştirici tarafından uygulamalarına kurulduktan ve eklendikten sonra, önceden kodlanmış bir anahtar "DEFAULT_123" içeren bir HTTP isteği aldığında zararlı kodun yürütülmesini tetikliyor.

    Anahtarı aldığında, kaynak kodu, yapılandırma dosyaları, varlıklar ve yerel veritabanları dahil olmak üzere mevcut dizinden ve altındaki tüm dosyaları özyinelemeli olarak silmek için Unix komutu "rm -rf *"yi yürütür.

    Diğer paket çok daha karmaşıktır; hem bir bilgi hırsızı hem de bir silici olarak işlev görürken, işletim sisteminin Windows ("rd /s /q .") veya Linux ("rm -rf *") olmasına bağlı olarak silme komutlarını da değiştiriyor.

    npm paketinin dikkate değer bir yönü, gizli bir iletişim kanalı olarak e-postayı kullanması, saldırgan tarafından kontrol edilen posta kutusuna önceden kodlanmış SMTP kimlik bilgileri aracılığıyla bağlanmasıdır. Parola Base64 kodlamasıyla gizlenirken, kullanıcı adı Hindistan merkezli bir emlak ajansıyla ilişkili bir alan adını taşıyan bir e-posta adresini işaret ediyor ("auth@corehomes[.]in").

    Veri sızdırma için SMTP kullanımı sinsidir, çünkü çoğu güvenlik duvarı giden e-posta trafiğini engellemez ve zararlı trafiğin meşru uygulama e-postalarıyla karışmasına olanak tanır.

    Ayrıca, paket "//system/health" ve "//sys/maintenance" uç noktalarını kaydederken, platforma özgü yıkım komutlarını serbest bırakır; ikincisi, ana arka kapı tespit edilirse ve engellenirse bir yedekleme mekanizması olarak işlev görür.

    İki yeni npm paketinin keşfisaldırganların bilgi ve kripto para hırsızlığı için sahte kütüphaneleri kullanmanın ötesine geçerek sistem sabotajına odaklanmaya başladığını gösteriyor – bu, finansal bir fayda sunmadığı için sıra dışı bir gelişmedir.

    PyPI Paketi, Instagram Büyüme Aracı Olarak Kullanıcı Bilgilerini Topluyor

    Bu aynı zamanda, yazılım tedarik zinciri güvenlik firmasınınPyPI (Python Paket Dizini) deposunda Instagram büyüme aracı olduğunu iddia eden yeni bir Python tabanlı kullanıcı bilgisi toplayıcısı imad213'ü keşfetmesiyle ortaya çıktı.

    Araştırmacı, "Zararlı yazılım, gerçek doğasını gizlemek için Base64 kodlaması kullanıyor ve Netlify'de barındırılan bir kontrol dosyası aracılığıyla uzaktan kapatma anahtarı uyguluyor," dedi. "Çalıştırıldığında, kullanıcılardan Instagram kullanıcı bilgilerini istiyor ve takipçi sayılarını artırıyormuş gibi yaparak bunları on farklı üçüncü taraf bot hizmetine yayınlıyor."

    Python kütüphanesi, 21 Mart 2025'te kayda katılan ve Facebook, Gmail, Twitter ve VK kullanıcı bilgilerini toplayabilen (taya, a-b27) veya Apache Bench'i kullanarak dağıtılmış hizmet reddi (DDoS) saldırılarıyla yayın platformlarını ve API'leri hedefleyen (poppo213) üç başka paket yükleyen im_ad__213 (diğer adıyla IMAD-213) adlı bir kullanıcı tarafından yüklendi.

    Hala PyPI'dan indirilebilir olan paketlerin listesi aşağıdadır:

    ·         imad213

    ·         taya

    ·         a-b27 )

    ·         poppo213

    IMAD-213 tarafından "imad213"ün PyPI'ye yüklenmesinden yaklaşık iki gün önce yayınlanan bir GitHub README.md belgesinde, saldırgan, kütüphanenin esas olarak "eğitimsel ve araştırma amaçlı" olduğunu iddia ediyor ve herhangi bir kötüye kullanımdan sorumlu olmadıklarını belirtiyor.

    GitHub açıklaması ayrıca, kullanıcıları ana hesaplarında herhangi bir sorun yaşamamak için sahte veya geçici bir Instagram hesabı kullanmaya teşvik eden "aldatıcı bir güvenlik ipucu" içeriyor.

    Başlatıldığında, zararlı yazılım harici bir sunucuya bağlanır ve bir metin dosyasını ("pass.txt") okur ve yalnızca dosya içeriği "imad213" dizesiyle eşleşirse yürütmeye devam eder. Kapatma anahtarı birden fazla amaca hizmet edebilir; saldırganın kütüphaneyi kimlerin çalıştırma erişimi olduğunu belirlemesine veya kontrol dosyasının bağlamını basitçe değiştirerek indirilen her kopyayı kapatmasına olanak tanır.

    Bir sonraki adımda, kütüphane kullanıcıdan Instagram kullanıcı bilgilerini girmesini ister, bunlar daha sonra "credentials.txt" adlı bir dosyaya yerel olarak kaydedilir ve on farklı şüpheli bot hizmeti web sitesine yayınlanır; bunlardan bazıları muhtemelen aynı kuruluş tarafından işletilen Türk Instagram büyüme araçları ağına bağlanır. Alan adları Haziran 2021'de kaydedilmiştir.

    Fortinet, Ivanti Yüksek Dereceli Güvenlik Zafiyetleri

    Fortinet ve Ivanti Salı günü, ürün portföylerinde birden fazla yüksek ciddiyetli güvenlik açığı da dahil olmak üzere bir düzineden fazla zafiyet için düzeltmeler yayınladığını duyurdu.

    Ivantikimlik bilgisi sızıntılarına yol açabilecek üç yüksek ciddiyetli zafiyeti gidermek için bir Workspace Control (IWC) güncellemesi yayınladı.

    CVE-2025-5353CVE-2025-22463 ve CVE-2025-22455 olarak izlenen bu sorunlar, IWC'nin 10.19.0.0 ve önceki sürümlerindeki sabit kodlanmış anahtarlardan kaynaklanmakta olup, bu durum kimliği doğrulanmış saldırganların depolanan SQL kimlik bilgilerini ve ortam parolalarını çözmesine olanak tanıyabilir.

    Üretici, "Bu güvenlik açıkları kamuya açıklanmadan önce herhangi bir müşterinin istismar edildiğine dair bir bilgimiz yok.” diye belirtiyor.

    Fortinet Salı günü, bir yüksek ve 13 orta ciddiyetli güvenlik kusurunu gidermek için 14 yama yayınladı.

    CVE-2025-31104 olarak izlenen yüksek ciddiyetli sorunFortiADC'deki bir işletim sistemi komut enjeksiyonu hatası olarak tanımlanmakta olup, kimliği doğrulanmış bir saldırganın özel hazırlanmış HTTP istekleri kullanarak rastgele kod yürütmesine olanak tanıyabilir.

    Üretici, FortiOS, FortiClientEMS, FortiClient for Windows, FortiPAM, FortiSRA, FortiSASE, FortiPortal, FortiProxy ve FortiWeb'deki orta ciddiyetli kusurları düzeltti.

    Saldırganlar bu sorunları SSRF saldırıları gerçekleştirmek, yetkisiz oturumları enjekte etmekVPN bağlantılarını yeniden yönlendirmekyetkisiz kaynaklara erişmekSSL-VPN ayarlarına erişmekcihaz bilgilerini görüntülemekSSL-VPN portalına giriş yapmakayrıcalıkları yükseltmek, sisteme SSH anahtar dosyaları eklemek, hedef alınan bir kullanıcı adına işlem yapmak  ve FortiClient üzerinden iptal edilmiş sertifikalarla bağlanmak için istismar edebilirler.

    Fortinet, bu güvenlik açıklarından herhangi birinin sahada istismar edildiğine dair bir bilgi vermemektedir.



    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    HPE StoreOnce Sistemlerinde Kritik Güvenlik Açıkları

    Hewlett Packard Enterprise (HPE), StoreOnce veri yedekleme ve tekilleştirme çözümündeki kimlik doğrulama atlatma ve uzaktan kod yürütme ile sonuçlanabilecek sekiz kadar güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.

    HPE bir danışmanlık belgesinde, "Bu güvenlik açıklarıuzaktan kod yürütmeyebilgi ifşasınasunucu tarafı istek sahteciliğinekimlik doğrulama atlatmayarastgele dosya silmeye ve dizin geçişi güvenlik açıklarına izin vermek üzere uzaktan istismar edilebilir." dedi.

    Bu zafiyet, 4.3.11 öncesi tüm yazılım sürümlerini etkileyen bir kimlik doğrulama atlatma zafiyeti olarak tanımlanmıştır. CVE-2025-37093 olarak izlenen kritik bir güvenlik zafiyetidirGüvenlik açığı, diğerleriyle birlikte, üreticiye 31 Ekim 2024'te bildirilmiştir.

    Araştırmacılara göre, zafiyet machineAccountCheck (bir kimlik doğrulama algoritmasının yanlış uygulanmasından) yönteminin uygulanmasından kaynaklanmaktadır.  "Bir saldırgan, bu güvenlik açığından yararlanarak sistemdeki kimlik doğrulamayı atlayabilir."
    CVE-2025-37093'ün başarılı bir şekilde istismar edilmesi, uzaktan bir saldırganın etkilenen kurulumlarda kimlik doğrulamayı atlamasına izin verebilirGüvenlik açığını daha da ciddi kılan şey, kök bağlamında kod yürütme, bilgi ifşası ve rastgele dosya silme elde etmek için kalan kusurlarla zincirlenebilmesidir.

    • CVE-2025-37089 - Uzaktan Kod Yürütme
    • CVE-2025-37090 - Sunucu Tarafı İstek Sahteciliği
    • CVE-2025-37091 - Uzaktan Kod Yürütme
    • CVE-2025-37092 - Uzaktan Kod Yürütme
    • CVE-2025-37093 - Kimlik Doğrulama Atlatma
    • CVE-2025-37094 - Dizin Geçişi Rastgele Dosya Silme
    • CVE-2025-37095 - Dizin Geçişi Bilgi İfşası
    • CVE-2025-37096 - Uzaktan Kod Yürütme


    Bu açıklama, HPE'nin daha önce açıklanan Apache Tomcat ve Apache HTTP Sunucusu zayıflıklarını gidermek için HPE Telco Hizmet Orkestratörü (CVE-2025-31651, CVSS puanı: 9.8) ve OneView (CVE-2024-38475, CVE-2024-38476, CVSS puanları: 9.8)'daki birden fazla kritik önemdeki kusuru gidermek için yamalar göndermesiyle birlikte geldi.

    Aktif istismar raporları olmasa da, kullanıcıların en uygun koruma için en son güncellemeleri uygulamaları çok önemlidir.
     



    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.


    10 Haziran 2025

    Siber Güvenlik Bülteni - Mayıs 2025

     

    Bültenimizin Mayıs Ayı konu başlıkları; 
      • 184 Milyon Giriş Bilgisi Ortaya Çıktı
      • 2025'te Siber Güvenliğin Geleceği: Tehditler, Trendler ve Stratejik Tepkiler
      • FBI Uyarıyor: Eski Modemler Kötü Amaçlı Yazılım Yaymak İçin Proxy Ağına Dönüştürülüyor
      • Çin Güç İnvertörlerinde İletişim Arka Kapısı
      • Fortinet Sıfırıncı Gün Güvenlik Açığı

      184 Milyon Giriş Bilgisi Ortaya Çıktı

      Devasa bir siber güvenlik ihlalikorunmasız bir veritabanında 184 milyon giriş bilgisini (kullanıcı adı ve şifre) ortaya çıkardı. Bu, son yıllarda keşfedilen en büyük kimlik bilgisi sızıntılarından biri olarak kayıtlara geçti.

      Siber güvenlik araştırmacısı Jeremiah Fowler184.162.718 benzersiz kullanıcı adı ve şifre içeren, şifrelenmemiş bir veritabanını keşfetti. Bu veri tabanı, 47,42 GB ham veri boyutundaydı ve Microsoft, Facebook, Google, Instagram ve dünya çapındaki devlet portallarının kullanıcılarını etkiliyordu.

      Açığa çıkan verilerSnapchat, Discord gibi sosyal medya platformlarından, finansal kurumlara, sağlık hizmetlerine ve 29 farklı ülkedeki hassas devlet hesaplarına kadar uzanan geniş bir hizmet yelpazesine ait kimlik bilgilerini kapsıyordu.

       
      Kullanıcı Hesapları ve Şifreler Ortaya Saçıldı

      Fowler, bu veritabanını rutin bir güvenlik araştırması sırasında keşfetti ve veri sızıntısının ciddiyetini hemen fark etti.

      Veritabanı, hiçbir güvenlik önlemi olmadan (şifre koruması ya da kimlik doğrulama olmadan) yönetilmeyen bir sunucuda barındırılıyordu.

      Her kayıt; hesap türleri, ilgili internet sitelerinin bağlantıları ve düz metin şifreler gibi bilgileri içeriyordu. İlginç bir şekilde, şifreler “senha” (Portekizce’de “şifre”) olarak etiketlenmişti, diğer tüm metinler İngilizce idi.

      Araştırmacı, verilerin gerçekliğini doğrulamak için veritabanındaki e-posta adreslerinin bazılarıyla iletişime geçti ve birçok kişi, şifrelerinin gerçekten doğru olduğunu doğruladı.

      Yapılan 10.000 kayıtlık örnek analizde:
      • 479 Facebook hesabı
      • 240 Google hesabı
      • 209 Discord hesabı
      • ve Microsoft, Netflix, PayPal gibi platformlara ait 100'den fazla hesap tespit edildi.
       
      Bilgiler "Infostealer" Zararlılarla Toplanmış

      Teknik inceleme, bu şifrelerin infostealer kötü amaçlı yazılımları aracılığıyla toplandığını ortaya koydu.

      Infostealer’lar, tarayıcılarda kayıtlı kimlik bilgilerini, oturum çerezlerini ve kimlik doğrulama belirteçlerini hedef alan gelişmiş kötü amaçlı yazılımlardır.

      Bu zararlılar, genellikle Malware-as-a-Service (MaaS) modeliyle çalışır ve çalınan veriler, karanlık ağ pazarlarında ve Telegram kanallarında dağıtılır.

      Veritabanının yapısı, infostealer’ların oluşturduğu tipik veri formatlarıyla uyumluydu. Bu format, web tarayıcıları, e-posta istemcileri ve mesajlaşma uygulamalarından sistematik olarak bilgi çeker.

      Modern infostealer’lar saniyeler içinde çalışıp sistemden silinebilir, bu da geride neredeyse hiç dijital iz bırakmadan büyük miktarda hassas verinin C2 (komuta ve kontrol) sunucularına aktarılmasını sağlar.
       
       
      Uzun Vadeli Güvenlik Riskleri

      Fowler, bu durumu fark eder etmez veritabanını barındıran World Host Group’a sorumlu bir bildirim gönderdi ve sağlayıcı kısa sürede veritabanının kamuya açık erişimini engelledi.

      Ancak, veritabanının sahibi hâlâ tespit edilemedi. Alan adı bilgilerinin gizli olması nedeniyle kimlik belirlenemedi.

      Bu sızıntı, credential stuffing (kimlik bilgisi doldurma) saldırılarına yol açabilir. Bu tür saldırılarda, çalınan kullanıcı adı-şifre kombinasyonları, birçok platformda otomatik olarak test edilir.

      Uzmanlar, bu verilerin hesap ele geçirme, kurumsal casusluk ve hedefli kimlik avı (phishing) saldırılarına neden olabileceği konusunda uyarıyor.

      .gov uzantılı devlet hesaplarının açığa çıkması, ulusal güvenlik açısından ciddi bir tehdit oluşturabilir. Bu hesaplar, devlet ağlarına ve gizli bilgilere erişim sağlayabilir.

      Ne Yapılmalı?

      Bu olay, aşağıdaki güvenlik önlemlerinin ne kadar hayati olduğunu gözler önüne seriyor:
      • Çok faktörlü kimlik doğrulama (MFA) kullanın.
      • Her hizmet için farklı ve güçlü şifreler oluşturun.
      • Infostealer tespiti için uç nokta güvenlik çözümleri (EDR) kullanın.
      • Şirketler, bu tür sızıntıları sistemik bir güvenlik açığı olarak değerlendirip kapsamlı güvenlik denetimleri yapmalı ve şifreleri hemen değiştirmelidir.

      FBI Uyarıyor: Eski Modemler Kötü Amaçlı Yazılım Yaymak İçin Proxy Ağına Dönüştürülüyor

      FBI, tehdit aktörlerinin kullanım ömrü dolmuş (EoL) yönlendiricilere (modem/router) kötü amaçlı yazılım yerleştirdiğini ve bu cihazları 5Socks ile Anyproxy ağlarında satılan proxy’lere dönüştürdüğünü bildirdi.

      Bu cihazlar yıllar önce piyasaya sürüldü ve artık üretici firmalar tarafından güvenlik güncellemesi almıyor. Bu da onları, kamuya açık güvenlik açıklarını kullanan saldırılara karşı savunmasız hale getiriyor. Saldırganlar bu açıklardan yararlanarak kalıcı kötü amaçlı yazılım enjekte ediyor.

      Kompromize edilen cihazlar, kötü amaçlı trafiği yönlendiren ev tipi proxy botnet’lerine dahil ediliyor. Bu proxy’ler, siber suçlular tarafından kimliklerini gizlemek veya siber saldırılar gerçekleştirmek amacıyla kullanılıyor.

      FBI Flash uyarısında şöyle deniyor:

      "5Socks ve Anyproxy ağı aracılığıyla suçlular, ele geçirilmiş yönlendiricilere erişimi, müşterilere satılmak üzere proxy olarak sunuyor."

      "Bu proxy’ler, tehdit aktörlerinin kimliğini veya konumunu gizlemek için kullanılabilir."

       
      Hedef Alınan Cihazlar

      FBI, özellikle şu Linksys ve Cisco marka kullanım ömrü dolmuş modellerin hedef alındığını belirtiyor:
      • Linksys: E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
      • Linksys WRT Serisi: WRT320N, WRT310N, WRT610N
      • Cisco: E1000, M10
       

      Çin Destekli Casusluk Kampanyaları

      FBI, Çin devlet destekli tehdit aktörlerinin, bu tür eski yönlendiricilerdeki bilinen açıkları (n-günü zafiyetleri) kullanarak, ABD'nin kritik altyapılarını hedef alan gizli casusluk kampanyaları yürüttüğünü doğruladı.
       

      TheMoon Zararlı Yazılımı

      Ajans ayrıca, bu cihazların çoğunun “TheMoon” adlı kötü amaçlı yazılımın bir varyantı ile enfekte olduğunu da belirtti. Bu yazılım, tehdit aktörlerinin yönlendiricileri proxy cihazlara dönüştürmesine olanak tanıyor.

      "Kullanım ömrü dolmuş yönlendiriciler, TheMoon kötü amaçlı yazılım botnet’inin varyantlarıyla siber aktörler tarafından ihlal edilmiştir."

      "Son dönemde, uzaktan yönetim özelliği açık olan bazı EoL yönlendiricilerin, TheMoon’un yeni bir versiyonu ile ele geçirildiği tespit edilmiştir. Bu yazılım, saldırganların yönlendiricilere fark edilmeden proxy kurmasına ve siber suçları anonim şekilde işlemesine olanak verir."
       

      Ne Oluyor?

      Kompromize edilen yönlendiricilerkomut ve kontrol (C2) sunucularına bağlanarak, saldırganların talimatlarını alıyor. Bu talimatlar genellikle başka savunmasız cihazları taramak ve ele geçirmek gibi işlemleri içeriyor.

      FBI’a göre bu proxy’ler şu amaçlarla kullanılıyor:
      • Kripto para hırsızlıklarında iz gizleme
      • Kiralanabilir siber suç operasyonları
      • Diğer yasa dışı faaliyetler
       

      Botnet Enfeksiyonu Belirtileri

      Ağınıza bağlı bir cihazın bir botnet’in parçası olup olmadığını aşağıdaki işaretlerden anlayabilirsiniz:
      • Ağ bağlantısında kopmalar veya yavaşlama
      • Aşırı ısınma
      • Performans düşüşü
      • Yapılandırma değişiklikleri
      • Yeni, yetkisiz yönetici hesapları
      • Olağandışı ağ trafiği

      Korunmak İçin Ne Yapmalı?

      Botnet bulaşma riskini azaltmanın en etkili yolu, kullanım ömrü dolmuş yönlendiricileri yeni, üretici desteği devam eden modellerle değiştirmektir.

      Eğer bu mümkün değilse şu adımlar önerilir:
      • Yönlendiriciye ait en güncel üretici yazılımını (firmware) yükleyin. (Resmi sitesinden indirin)
      • Varsayılan yönetici kullanıcı adı ve şifresini değiştirin.
      • Uzaktan yönetim panelini devre dışı bırakın

      Çin Güç İnvertörlerinde İletişim Arka Kapısı

      ABD’li enerji yetkilileri, yenilenebilir enerji altyapısında kullanılan Çin yapımı cihazlarda tespit edilen açıklanamayan iletişim ekipmanları nedeniyle bu cihazlarla ilişkili potansiyel siber güvenlik risklerini yeniden değerlendirmeye aldı. Duruma aşina iki kaynağın verdiği bilgilere göre, bu ekipmanlar bazı güneş enerjisi invertörleri ve bataryalar içerisinde keşfedildi.

      Güç invertörleri, dünya çapında güneş panelleri ve rüzgar türbinlerinin elektrik şebekelerine bağlanmasında kilit rol oynamaktadır. Aynı zamanda bu cihazlar bataryalar, ısı pompaları ve elektrikli araç şarj istasyonları gibi sistemlerde de kullanılmaktadır. Genellikle uzaktan erişime açık şekilde tasarlanan invertörler, üretici güncellemeleri ve bakım işlemleri için bu özelliği barındırırken, kamu hizmeti şirketleri Çin ile doğrudan bağlantıyı engellemek için güvenlik duvarları kullanmaktadır.

      Ancak Reuters’ın aktardığına göre, ABD’li uzmanlar, bazı Çin menşeli inverter ve batarya cihazlarında ürün belgelerinde yer almayan kayıt dışı iletişim cihazları keşfetti. Özellikle son dokuz ay içinde, hücresel radyo modülleri gibi belgelenmemiş iletişim birimlerinin farklı Çinli tedarikçilere ait bataryalarda da yer aldığı tespit edildi. Bu cihazlar, sistemlere dışarıdan müdahaleye açık ek iletişim kanalları oluşturabiliyor ve güvenlik duvarlarını aşma potansiyeli taşıyor.

      Kaç cihazın etkilendiği henüz tam olarak bilinmezken, kaynaklar medya ile paylaşım kısıtlamaları nedeniyle anonim kalmayı tercih etti. Aynı şekilde, söz konusu kayıt dışı iletişim modüllerinin bulunduğu ürünleri tedarik eden Çinli üreticilerin isimleri de gizli tutuldu. ABD hükümeti şu ana kadar bu bulgularla ilgili resmî bir açıklama yapmadı.

      ABD Enerji Bakanlığı (DOE) ise Reuters’a verdiği yanıtta, gelişen teknolojilere dair risklerin sürekli değerlendirildiğini ve üreticilerin cihazların tüm işlevlerini şeffaf biçimde belgelendirme konusunda zorluk yaşadıklarını bildirdi. DOE sözcüsü, “Bu işlevsellik kötü niyetli olmayabilir, ancak ürünleri tedarik edenlerin cihazların tüm özelliklerini bilmesi hayati önemdedir,” açıklamasında bulundu.

      Bakanlık, bu boşlukları kapatmak için Yazılım Malzeme Listesi (SBOM) ve diğer sözleşmesel yükümlülükler üzerinden çalışma yürütüldüğünü belirtti.

      Bu gelişmeler, kritik altyapının giderek artan sayıda sofistike siber tehdide maruz kaldığı bir dönemde yaşandı. Son örneklerden Salt Typhoon ve Volt Typhoon adlı gelişmiş kalıcı tehdit (APT) grupları, bu tehditlerin boyutunu net biçimde ortaya koyuyor.

      Salt Typhoon, araştırmacılar tarafından Çin bağlantılı olduğu değerlendirilen ve ABD’nin geniş bant ağlarını hedef alan bir saldırı dalgasının parçası olarak tanımlandı. Grup, enerji şebekeleri ve su arıtma tesisleri gibi kritik sistemlere yetkisiz erişim sağlayan kötü amaçlı yazılımlar konuşlandırarak veri hırsızlığı ve operasyonel kesintiler yaratabiliyor.

      Volt Typhoon ise hem bilgi teknolojisi (BT) hem de operasyonel teknoloji (OT) ortamlarındaki açıklardan faydalanarak sistemlere sızıyor. Bu grubun en çarpıcı özelliği, ağ içinde yanal hareket ederek dijital ve fiziksel sistem bileşenlerini hedef alabilmesi, bu da özellikle enerji gibi sürekli çalışması gereken altyapılar için büyük tehdit anlamına geliyor.

      Mart ayında ise Forescout Research’ün Vedere Labs ekibi, Huawei, Sungrow, SMA Solar Technology gibi önde gelen altı inverter üreticisini analiz ettiği SUN:DOWN adlı çalışmasını yayımladı. Araştırma sonucunda, Sungrow, SMA ve Growatt’ın cihazlarında toplam 50’ye yakın güvenlik açığı bulundu. Toplamda 93 güvenlik açığı tespit edilirken, bunların %80’i yüksek veya kritik seviye (CVSS skoru 9.8–10) olarak derecelendirildi. Bu açıklar, hem enerji şebekeleri hem de akıllı ev sistemleri için saldırı yüzeyi oluşturmakta ve şebeke kesintilerine kadar varabilecek sonuçlar doğurabilecek riskler barındırmaktadır.

      2025'te Siber Güvenliğin Geleceği: Tehditler, Trendler ve Stratejik Tepkiler

      Dijital dönüşüm tüm sektörlerde hız kazanırken, siber güvenlik alanı da büyük bir değişimden geçiyor. 2025 yılı, dünya genelindeki kuruluşlar için daha sofistike siber tehditlerartan düzenleyici baskılar ve teknolojik kesintilerle kritik bir dönüm noktası olarak öne çıkıyor.

      Aşağıda, siber güvenliğin geleceğini şekillendiren trendler, bu trendlerin getirdiği zorluklar ve sektör liderlerinin yanıt stratejileri ele alınmaktadır.

       
      Yapay Zekâ: Çift Tarafı Keskin Bıçak

      Yapay zekâ (YZ), hem saldırganlar hem de savunucular için güçlü bir araç haline geldi. Siber suçlular, gerçek zamanlı olarak mutasyona uğrayabilen, geleneksel tespit yöntemlerinden kaçabilen ve uç nokta savunmalarına uyum sağlayabilen YZ destekli zararlı yazılımlar kullanıyor.

      Bu dinamik ortam, manuel tehdit avcılığını hızla geçersiz hale getiriyor; yerini ileri düzey anomali tespiti ve YZ tabanlı sızma tekniklerine bırakıyor.

      Savunma tarafında ise YZ, tehdit tespiti, davranış analizi ve öngörücü analizlerde devrim yaratıyor. Güvenlik ekipleri, YZ sayesinde kalıpları tanımlayabiliyor, normal etkinlik düzeylerini belirleyip, saldırı sinyali olabilecek sapmaları tespit edebiliyor.

      Öngörücü modeller, kuruluşların zayıflıkları önceden tahmin etmesini ve yama yönetimini önceliklendirmesini sağlarken; doğal dil işleme araçları, oltalama ve sosyal mühendislik saldırılarını tespit etmede etkinlik sağlıyor.

      Ancak, strateji geliştiren, muhakeme yapabilen ve karmaşık görevleri otomatikleştirebilen YZ ajanlarının yükselişi, hem fırsat hem de risk yaratıyor. Çünkü bu yetenekler kötü niyetli aktörler tarafından da kötüye kullanılabiliyor.
       

      Zero Trust ve Kimlik Güvenliği

      Geleneksel ağ sınırlarının ortadan kalkmasıyla birliktezero trust (sıfır güven) modeli, modern siber güvenliğin temel taşı haline geldi.

      Zero trust mimarileri, her erişim isteği için sürekli kimlik doğrulama ve yetkilendirme gerektirerek, ağ içinde lateral movement (yatay hareket) gibi gelişmiş saldırı taktiklerinin önüne geçiyor.

      Mikro-segmentasyon ve kullanıcı bağlamı kontrolleriyle birleştirilen bu yaklaşım, dağıtık ve hibrit iş gücünü güvence altına almak isteyen kuruluşlar tarafından hızla benimseniyor.
       

      Kuantum Bilgi İşlem: Yeni Cepheye Hazırlık

      Kuantum bilgi işlem henüz yaygın kullanılmasa da, mevcut şifreleme standartlarını kırma potansiyeli taşıdığı için büyük bir tehdit oluşturuyor. Siber suçlular ve devlet destekli aktörler, şimdiden şifrelenmiş verileri biriktiriyor ve gelecekte kuantum bilgisayarlarla bunları çözmeyi hedefliyor.

      Buna karşılık, bazı kuruluşlar kuantuma dayanıklı algoritmaları ve kuantum sonrası kriptografiyi araştırmaya başladı ve uzun vadeli veri güvenliği için adımlar atıyor.
       

      Fidye Yazılımları ve Ransomware-as-a-Service (RaaS)

      Fidye yazılımları, kuruluşlar için en büyük siber risk olmaya devam ediyor ve saldırılar hem sıklık hem de karmaşıklık açısından artıyor.

      RaaS platformları, fidye yazılımını bir hizmet haline getirerek saldırganların giriş bariyerini düşürüyor. Bu da saldırı sayısını artırıyor ve kurtarma maliyetlerini milyonlarca dolara kadar çıkarıyor.

      Çok katmanlı şantaj teknikleri, hem verileri hem de operasyonel sürekliliği hedef alıyor ve kuruluşları çevrimdışı yedekleme, ağ segmentasyonu ve hızlı kurtarma stratejilerine yatırım yapmaya zorluyor.
       

      Tedarik Zinciri ve Bulut Açıkları

      Tedarik zinciri saldırıları, saldırganların yazılım sağlayıcıları veya üçüncü tarafları hedef alarak çok sayıda kuruluşa birden erişmesini sağlıyor.

      Bu saldırılar, tedarikçi güvenliğinin sıkı bir şekilde denetlenmesini, gerçek zamanlı bağlantı izleme ve sürekli uyumluluk sağlamak için sözleşmeye dayalı hükümler gerektiriyor.

      Aynı zamanda, bulut tabanlı mimarilere ve konteynerleştirilmiş uygulamalara geçiş, yanlış yapılandırmalar ve yamalanmamış imajlar nedeniyle yeni güvenlik açıkları yaratıyor.

      Bu nedenle, güvenlik kontrollerinin yazılım geliştirme sürecine (shift-left güvenlik) entegre edilmesi giderek zorunlu hale geliyor.
       

      Sosyal Mühendislik ve Deepfake Tehditleri

      Sosyal mühendislik saldırılarıdeepfake teknolojisi ile daha da tehlikeli hale geldi. Saldırganlar, yöneticileri ya da güvenilir kişileri taklit eden yapay zekâ destekli ses ve video içerikleri kullanarak, çalışanları para transferi yapmaya veya giriş bilgilerini paylaşmaya ikna edebiliyor.

      Uzaktan çalışma ve görüntülü toplantıların yaygınlaşması, kuruluşları bu risklere karşı farkındalık eğitimleri ve ileri düzey kimlik doğrulama protokolleri uygulamaya yöneltiyor.
       

      Düzenleyici Baskılar ve Yetenek Açığı

      Yeni düzenlemeler, sektörler genelinde artan güvenlik gereksinimleri ve olay bildirim yükümlülükleri getiriyor.
      Aynı zamanda, siber güvenlik uzmanı eksikliği devam ediyor. Bu da şirketleri, yönetilen güvenlik hizmetlerine ve otomasyon çözümlerine yönlendiriyor, böylece sınırlı kaynaklarla güçlü savunmalar sağlanabiliyor.
       

      Jeopolitik Gerilimler ve Kritik Altyapılar

      Küresel jeopolitik istikrarsızlık, tehdit ortamını daha da karmaşık hale getiriyor. Devlet destekli saldırganlar, özellikle kritik altyapıları, tedarik zincirlerini ve uzay tabanlı sistemleri hedef alıyor.

      Üretim ve enerji gibi sektörlerde BT (bilgi teknolojisi) ile OT (operasyonel teknoloji) sistemlerinin birleşmesi, yeni saldırı yüzeyleri oluşturuyor. Bu da entegre izleme sistemleri ve uçtan uca güvenlik çözümleri gerektiriyor.

      Geleceğe Bakış: Siber Dayanıklılık İnşa Etmek

      Siber güvenliğin geleceği, sürekli risk yönetimihiper-otomasyon ve statik savunmadan dinamik, yapay zekâ destekli olay yanıtına geçiş ile tanımlanıyor.

      Kuruluşlar artık 7/24 izleme, ölçeklenebilir koruma ve uyumluluk güvencesi için uzman sağlayıcılara güveniyor. Tehditlerin karmaşık ve geniş kapsamlı hale gelmesiyledayanıklılık, hızlı tespit, yanıt ve toparlanma en kritik ayrıştırıcı faktörler olacak.

      Bu yüksek riskli ortamda, siber güvenlik artık sadece teknik bir konu değil; iş sürdürülebilirliği ve inovasyonun da temel itici gücüdür.

      Geleceğin başarılı kuruluşları, gelişmekte olan teknolojileri benimseyen, güvenlik kültürünü teşvik eden ve değişen dijital savaş alanına proaktif olarak uyum sağlayanlar olacaktır.



      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Fortinet’ten Sıfırıncı Gün Zafiyetlere Karşı Yama

      Fortinet, Salı günü yaptığı açıklamada, ürün portföyü genelinde bir düzine güvenlik açığı için yamalar yayınladığını duyurdu. Bu açıklar arasında, FortiVoice telefon sistemi cihazlarına karşı halihazırda istismar edilen kritik bir sıfır gün (zero-day) güvenlik açığı da yer alıyor.

      İstismar edilen açıkCVE-2025-32756 olarak izlenmekte olup, CVSS skoru 9.6 olan bu açık, yığın tabanlı taşma (stack-based overflow) kusuru olarak tanımlanıyor. Bu açık, kimliği doğrulanmamış uzak saldırganların, özel olarak hazırlanmış HTTP istekleri kullanarak keyfi komut veya kod yürütmesine olanak tanıyor.

      Fortinet, bu açığın FortiVoice cihazlarında aktif olarak istismar edildiğini gözlemlediğini danışma notunda belirtiyor.

      Gözlemlenen saldırıların bir parçası olarak tehdit aktörlerinin:

      • Cihaz ağını taradığı,
      • Sistem çökme günlüklerini (crashlogs) sildiği,
      • fcgi hata ayıklamasını etkinleştirerek sistem kimlik bilgileri ile SSH girişlerini kaydettiği bildirildi.
      Fortinet, müşterilerin potansiyel ihlalleri tespit edebilmesi için saldırı göstergeleri (IoC’ler) paylaştı ve geçici çözüm olarak HTTP/HTTPS yönetim arayüzünün devre dışı bırakılmasını önerdi.

      Her ne kadar bu açık yalnızca FortiVoice cihazlarına karşı istismar edilmiş olsa daCVE-2025-32756 aynı zamanda FortiMail, FortiNDR, FortiRecorder ve FortiCamera ürünlerini de etkiliyor. Bu beş ürün için de güvenlik güncellemeleri yayınlandı.

      Salı günü ayrıca Fortinet, FortiOS, FortiProxy ve FortiSwitchManager yazılımlarında bulunan başka bir kritik güvenlik açığı için de yamalar yayımladı. CVE-2025-22252 olarak izlenen ve CVSS skoru 9.0 olan bu açık, kritik bir işlev için kimlik doğrulama eksikliği (missing authentication for critical function) şeklinde tanımlanıyor ve TACACS+ kimlik doğrulamasının atlatılmasına yol açabiliyor.

      Bu açık, yalnızca şu yapılandırmaları etkiliyor:
      • TACACS+ kullanarak uzaktaki bir TACACS+ sunucusu ile kimlik doğrulaması yapan sistemler
      • Bu sunucunun da ASCII kimlik doğrulaması ile yapılandırılmış olması.

      Saldırgan, mevcut bir yönetici hesabını hedef alarak cihaz üzerinde yönetici ayrıcalıkları ile erişim sağlayabilir.

      Fortinet, bu güvenlik açığının yalnızca ASCII kimlik doğrulaması yapılandırmalarını etkilediğiniPAP, MSCHAP ve CHAP yapılandırmalarının etkilenmediğini belirtiyor.

      Şirket ayrıca, FortiClient for macOS yazılımında tespit edilen ve yerel bir saldırganın hazırlanmış XPC mesajları ile ayrıcalıklarını yükseltmesine olanak tanıyan yüksek önem dereceli (high-severity) yetkilendirme hatasını (CVE-2025-25251) da çözüme kavuşturdu.

      Bunun yanında, FortiClient, FortiOS Security Fabric, FortiManager, FortiOS, FortiVoiceUC ve FortiPortal gibi ürünlerdeki orta ve düşük önem derecesine sahip birçok güvenlik açığı için de yamalar yayınlandı.

      Ayrıca Fortinet, daha önce bildirilen dört güvenlik açığına dair danışma notlarını güncelledi ve etkilenen ek ürünleri listeye ekledi. Bu açıklardan üçü OpenSSH’yi etkilerken, ikisi geçen yıl ortaya çıkarılan Terrapin ve regreSSHion saldırıları ile ilgilidir.

      Fortinet müşterilerine, yeni yayınlanan yamaları en kısa sürede uygulamaları tavsiye edilmektedir. Ek bilgilere Fortinet’in PSIRT danışma sayfasından ulaşılabilir.



      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Popüler Yayınlar