30 Aralık 2025

Siber Güvenlik Bülteni - Aralık 2025

 

Bültenimizin Aralık Ayı konu başlıkları; 
    • 5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama 
    • GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası
    • Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor
    • 16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu
    • 2025 Ransomware Saldırıları Özeti

    5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama

    Fortinet, FortiOS SSL VPN’de beş yıllık bir güvenlik zafiyetinin belirli yapılandırmalar altında sahada  aktif olarak kötüye kullanıldığını gözlemlediğini açıkladı.

    Söz konusu zafiyet CVE-2020-12812, FortiOS SSL VPN’de yer alan hatalı kimlik doğrulama zafiyetidir. Bu zafiyet, kullanıcı adının büyük/küçük harf yapısı değiştirilerek, kullanıcının ikinci faktörlü kimlik doğrulama (2FA) istenmeden başarılı şekilde giriş yapmasına olanak tanıyabilir.

    Fortinet, Temmuz 2020’de yaptığı açıklamada durumu şöyle özetlemişti:

    “Bu durum, iki faktörlü kimlik doğrulama ‘user local’ ayarında etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü uzak bir kimlik doğrulama yöntemi (örneğin LDAP) olarak ayarlandığında ortaya çıkar. Sorun, yerel ve uzak kimlik doğrulama mekanizmaları arasındaki tutarsız büyük/küçük harf duyarlılığından kaynaklanmaktadır.”

    Bu zafiyet, o tarihten bu yana birden fazla tehdit aktörü tarafından aktif olarak istismar edilmektedir. Ayrıca ABD hükümeti, 2021 yılında çevre cihazlarını hedef alan saldırılarda silah haline getirilen zafiyetler arasında bunu da listelemiştir.

    Fortinet, 24 Aralık 2025 tarihinde yayımladığı yeni bir güvenlik duyurusunda, CVE-2020-12812’nin başarıyla tetiklenebilmesi için aşağıdaki yapılandırmaların mevcut olması gerektiğini belirtti:

    • FortiGate üzerinde, LDAP’e referans veren ve 2FA etkin olan yerel kullanıcı kayıtları
    • Bu kullanıcıların LDAP sunucusunda bir grubun üyesi olması
    • Kullanıcının üyesi olduğu en az bir LDAP grubunun FortiGate üzerinde tanımlı olması ve bu grubun bir kimlik doğrulama politikasında kullanılması (örneğin yönetici erişimiSSL VPN veya IPSEC VPN)
    Bu ön koşullar sağlandığında, zafiyet şu sonuca yol açar:
    2FA yapılandırılmış LDAP kullanıcıları güvenlik katmanını atlayarak doğrudan LDAP üzerinden doğrulanır. Bunun temel nedeni, FortiGate’in kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alması, LDAP dizininin ise duyarlı olmamasıdır.

    Fortinet durumu şöyle açıklıyor:

    “Kullanıcı ‘jsmith’ yerine ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ gibi birebir aynı olmayan bir büyük/küçük harf kombinasyonu ile giriş yaparsa, FortiGate bu girişi yerel kullanıcı ile eşleştiremez.”

    Bu durumda FortiGate, alternatif kimlik doğrulama seçeneklerini değerlendirmeye başlar:

    Yerel kullanıcıyla eşleşme başarısız olduktan sonra, ikincil yapılandırılmış ‘Auth-Group’ grubunu ve buradaki LDAP sunucusunu bulur. Kimlik bilgileri doğruysa, yerel kullanıcı politikalarındaki ayarlardan (2FA veya hesap devre dışı olsa bile) bağımsız olarak kimlik doğrulama başarılı olur.

    Bu zafiyet, yönetici veya VPN kullanıcılarının 2FA olmadan doğrulanabilmesine neden olabilir.

    Fortinet, bu davranışı düzeltmek için Temmuz 2020’de şu sürümleri yayımlamıştır:
    • FortiOS 6.0.10
    • FortiOS 6.2.4
    • FortiOS 6.4.1

    Bu sürümleri henüz kullanmayan kurumlar, tüm yerel hesaplar için aşağıdaki komutu çalıştırarak kimlik doğrulama atlatma riskini azaltabilir:

    set username-case-sensitivity disable

    FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya daha yeni sürümleri kullanan müşterilere ise şu komut önerilmektedir:

    set username-sensitivity disable

    Fortinet’e göre:

    “username-sensitivity devre dışı bırakıldığında, FortiGate ‘jsmith’, ‘JSmith’, ‘JSMITH’ gibi tüm kombinasyonları aynı kabul eder ve hatalı yapılandırılmış LDAP grup ayarlarına failover yapılmasını engeller.”

    Ek bir önlem olarak, gerekli değilse ikincil LDAP grubunun kaldırılması önerilmektedir. Bu, LDAP üzerinden kimlik doğrulamayı tamamen ortadan kaldıracağı için saldırı vektörünü baştan kapatır; kullanıcı adı yerel kayıtla birebir eşleşmezse kimlik doğrulama başarısız olur.

    Ancak, yeni yayımlanan rehber, saldırıların doğasıkapsamı veya başarılı olup olmadığı konusunda herhangi bir detay içermemektedir. Fortinet ayrıca, 2FA olmadan yönetici veya VPN kullanıcılarının doğrulandığına dair bir bulgu tespit edilmesi halinde, etkilenen müşterilere destek ekibiyle iletişime geçmelerini ve tüm kimlik bilgilerini sıfırlamalarını tavsiye etmektedir.

    GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası

    Palo Alto GlobalProtect portallarını hedef alan oturum açma girişimleri ve SonicWall SonicOS API uç noktalarına yönelik tarama faaliyetleri başlatan yeni bir kampanya gözlemlendi.

    2 Aralık'ta başlayan bu faaliyet, kendi BGP ağını işleten ve bir barındırma sağlayıcısı olarak faaliyet gösteren Alman BT şirketi 3xK GmbH tarafından işletilen altyapıdaki 7.000'den fazla IP adresinden kaynaklandı.

    Saldırganlar başlangıçta GlobalProtect portallarını kaba kuvvet (bruteforce) ve oturum açma girişimleriyle hedef aldı, ardından SonicWall API uç noktalarını taramaya yöneldi.

    Araştırmacılar, bu ani artışın daha önce Eylül sonu ile Ekim ortası arasında kaydedilen tarama girişimlerinde gözlemlenen üç istemci parmak izini (client fingerprints) kullandığını belirtiyor.

    Analiz edilen göstergelere göre, her iki faaliyetin de aynı aktöre ait olduğu belirtilmektedir.

    Bu uç noktaları hedef alan kötü niyetli taramalar, genellikle güvenlik zafiyetlerini ve hatalı yapılandırmaları tespit etmek için yapılır.

    Bu nedenle, savunmacıların bu tür faaliyetlerle ilişkili IP'leri izlemeleri ve engellemeleri tavsiye edilmektedir.

    Ayrıca, kimlik doğrulama yüzeylerinin anormal hız/tekrarlanan başarısızlıklar açısından izlenmesi, yinelenen istemci parmak izlerinin takip edilmesi ve statik itibar listeleri yerine dinamik, bağlam duyarlı engelleme kullanılması önerilmektedir.

    Palo Alto Networks, GlobalProtect arayüzlerine yönelik artan taramalar tespit ettiğini söyledi ve bunun "bir yazılım zafiyetinin istismarı değil, kimlik bilgisi tabanlı saldırıları (credential-based attacks) temsil ettiğini" doğruladı.

    Palo Alto Networks, müşterilerine kimlik bilgilerinin kötüye kullanımına karşı korunmak için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalarını önermektedir.

    Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor

    Ivanti, Endpoint Manager (EPM) için dördü de güvenlik açığı olmak üzere yamalar yayımladığını duyurdu. Bu zafiyetler arasında, uzaktan kod çalıştırmaya (RCE) yol açabilen kritik seviyede bir zafiyet de bulunuyor.

    Söz konusu güvenlik açığı CVE-2025-10573 olarak takip ediliyor ve kimlik doğrulama gerektirmeden istismar edilebilen kalıcı (stored) bir XSS açığı olarak tanımlanıyor.

    Rapid7’nin Ağustos ayında keşfedip raporladığı bu kritik EPM açığı, saldırganların kötü amaçlı payload içeren cihaz tarama verileri göndermesine olanak tanıyor. Bu veriler işlendiğinde, web yönetim paneline gömülüyor.

    Şirketin açıklamasına göre, bir yönetici panel arayüzüne erişip cihaz bilgilerini görüntülediğinde, payload tetikleniyor ve istemci tarafında JavaScript çalıştırılıyor. Bu da saldırganın yöneticinin oturumunun kontrolünü ele geçirmesine imkan tanıyor.

    Bu açık, Ivanti EPM 2024 SU4 SR1 sürümü ile giderildi. Aynı sürüm, üç adet yüksek önem dereceli güvenlik zafiyetini de kapatıyor.

    İlk yüksek seviye zafiyet olan CVE-2025-13659dinamik olarak yönetilen kod kaynaklarının hatalı kontrolü olarak tanımlanıyor. Bu zafiyet, uzaktan ve kimlik doğrulama gerektirmeden saldırganların sunucuya rastgele dosya yazmasına olanak tanıyabilir.

    Ivanti’ye göre, bu zafiyetin başarılı şekilde istismar edilmesi RCE’ye yol açabilir, ancak kullanıcı etkileşimi gereklidir.

    İkinci yüksek seviye zafiyet CVE-2025-13661path traversal (dizin geçişi) zafiyetidir. Uzaktan istismar edilebilir ve hedeflenen dizin dışına rastgele dosya yazılmasına imkan tanır. Bu zafiyetin istismarı kimlik doğrulama gerektirir.

    Üçüncü yüksek seviye zafiyet ise, EPM’in yama yönetimi bileşeninde kriptografik imzaların hatalı doğrulanması olarak tanımlanıyor.

    CVE-2025-13662 olarak izlenen bu zafiyet, uzaktan ve kimlik doğrulama olmadan RCE elde edilmesine imkan tanıyabilir, ancak kullanıcı etkileşimi gerektirir.

    Ivanti, bu zafiyetlerden herhangi birinin şu ana kadar sahada aktif olarak istismar edildiğine dair bilgileri olmadığını belirtiyor. Kullanıcılara, Ivanti EPM’in en güncel sürümüne mümkün olan en kısa sürede yükseltme yapmaları tavsiye ediliyor.

    16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu

    Güvenliği olmayan 16 TB’lık bir MongoDB veritabanı, ağırlıklı olarak LinkedIn benzeri verilerden oluşan yaklaşık 4,3 milyar profesyonel kaydı açığa çıkardı. Bu durum, büyük ölçekli ve yapay zeka destekli sosyal mühendislik saldırılarına imkan tanıyor. Veritabanı keşfedildikten 2 gün sonra güvenli hale getirildi. Bu süre zarfında veritabanına kimlerin eriştiğini bilmek mümkün değil.

    Veri setinde yer alan koleksiyonlar şunlar:

    • intent – 2.054.410.607 kayıt (604,76 GB)
    • profiles – 1.135.462.992 kayıt (5,85 TB)
    • unique_profiles – 732.412.172 kayıt (5,63 TB)
    • people – 169.061.357 kayıt (3,95 TB)
    • sitemap – 163.765.524 kayıt (20,22 GB)
    • companies – 17.302.088 kayıt (72,9 GB)
    • company_sitemap – 17.301.617 kayıt (3,76 GB)
    • address_cache – 8.126.667 kayıt (26,78 GB)
    • intent_archive – 2.073.723 kayıt (620 MB)

    En az üç koleksiyonyaklaşık iki milyara yakın kişisel kaydı açığa çıkardı. Bu veriler arasında isimler, e-posta adresleri, telefon numaraları, LinkedIn bağlantıları, iş unvanları, işverenler, iş geçmişi, eğitim bilgileri, konumlar, yetkinlikler, diller ve sosyal medya hesapları bulunuyor.

    “unique_profiles” veri seti tek başına görsel URL’leri de içeren 732 milyondan fazla kayıt barındırıyor. “people” koleksiyonu ise zenginleştirme metrikleri ve Apollo.io ekosistemiyle bağlantılı Apollo ID’lerini içeriyordu; Apollo’ya ait bir ihlale dair herhangi bir bulguya rastlanmadı.

    Sızdırılan veri setinin kime ait olduğu doğrulanamadı. Araştırmacılar, lead-generation (potansiyel müşteri üretimi) yapan bir şirkete işaret eden bazı ipuçları buldu. Sitemap kayıtlarında “/people” ve “/company” yollarının şirketin web sitesine bağlandığı görüldü. Şirket, 700 milyondan fazla profesyonele erişimi olduğunu iddia ediyor; bu rakam, ifşa edilen “unique_profiles” sayısıyla birebir örtüşüyor. Veritabanı, bildirimden birkaç gün sonra çevrimdışı oldu. Buna rağmen araştırmacılar kesin bir atıfta bulunmaktan kaçındı, zira şirketin kendisi de başka kaynaklardan kazınmış (scraped) olabilir.

    Bu sızıntı son derece tehlikeli, çünkü bu kadar büyük ve yapılandırılmış veri setlerioltalama (phishing), CEO dolandırıcılığı, kurumsal keşif (reconnaissance) ve büyük ölçekli yapay zeka destekli saldırılar için ideal bir zemin oluşturuyor. Milyarlarca kayıt, suçluların kişiselleştirilmiş dolandırıcılıkları otomatikleştirmesinehazırlık süresini kısaltmasına ve Fortune 500 çalışanları dahil yüksek değerli hedeflere odaklanmasına imkan tanıyor.

    2025 Ransomware Saldırıları Özeti

    2025 yılı, fidye yazılımı manzarasının sıradan bir siber suçtanulusal güvenlik ve küresel ekonomik istikrarı tehdit eden stratejik bir tehdide evrildiğini gösterdi. 2024’e göre saldırı sayıları %34 ila %50 arttı, Ocak–Eylül döneminde dünya genelinde 4.701 onaylanmış fidye yazılımı olayı kaydedildi, bu da bu tehdit türünün modern tarihinin en sürekli ve yıkıcı siber risklerinden biri olduğunu ortaya koyuyor.

    2025’te sıradışı bir trend ortaya çıktı: saldırı hacimleri rekor düzeylere ulaşırkenfidye ödeme oranları tarihsel olarak düşük seviyelere geriledi. Bu durum saldırı modeli üzerinde derin bir yapısal değişime yol açtı; fidye yazılımı suç ekonomisinin temel işleyişi, ödeme yapmayan kurum sayısının artmasıyla ciddi şekilde sarsıldı.

    Fidye Yazılımı Ekosisteminde Parçalanma ve Gelişen Taktikler

    2025’te büyük fidye yazılımı organizasyonları üzerindeki kolluk kuvveti baskıları, ekosistemde dramatik bir parçalanma ve merkeziyetsizlik yarattı. Büyük operasyonların faaliyetlerinin durmasıyla birlikte 45 yeni tehdit grubu gözlemlendi ve toplamda en az 85 aktif fidye yazılımı grubu tespit edildi. Bu beş yılın en yüksek seviyesi olarak dikkat çekiyor.

    Bu yayılma, saldırı taktiklerinde sofistike evrimler ile aynı zamana denk geldi: çift ve üçlü şantaj (double & triple extortion)yapay zeka destekli oltalama kampanyaları, bulut altyapısı ve operasyon teknolojisi sistemlerine yönelik hedefli istismarlar gibi karmaşık yöntemler yaygınlaştı.

    Kritik Sektörler Hedefte

    2025’te fidye yazılımı saldırılarının %50’si kritik altyapı sektörlerini hedef aldı: imalat, sağlık, enerji, ulaşım ve finans gibi hizmetler bu saldırıların yarısını oluşturdu. Bu da fidye yazılımını sadece finansal bir suç olmaktan çıkarıp endüstriyel operasyonları kesintiye uğratabilen, kamu güvenliğini tehdit eden bir araca dönüştürdü.

    Ransomware saldırı hacimleri hızla artarken, fidye ödeme oranları dramatik şekilde düşmeye devam etti. Artan yedekleme ve kurtarma yetenekleri, fidye ödemelerinin dosya kurtarmada garanti sağlamadığı farkındalığı ve daha güçlü siber güvenlik duruşları, birçok organizasyonun ödeme yerine kendi kurtarma süreçlerini tercih etmesine yol açtı.

    Bu eğilim, fidye yazılımı suç ekonomisinin varoluşsal bir krizle karşı karşıya olduğunu gösteriyor. Saldırganlar, her dolar için çok daha fazla çaba harcamak zorunda kalıyor; çünkü ödeme yapan kurban oranı dramatik şekilde azalmış durumda.

    Fidye Yazılımı Ekosistemindeki Öne Çıkan Gruplar

    2025’te fidye yazılımı sahnesi yeniden şekillendi:

    • Qilin, 701’den fazla kurbanla en aktif gruplardan biri olarak öne çıktı. Bu grup, çifte şantaj kullanarak şifreleme ve veri sızdırma tehditlerini birleştirdi.
    • Cl0p, sıfır-gün (zero-day) zafiyetleri yoğun şekilde kullanarak tedarik zinciri saldırılarında büyük etki yarattı ve yalnızca veri çalma üzerinden fidye stratejisi benimsedi.
    • LockBit, 5.0 sürümüyle yeniden dirildi ve birçok bölgede yeniden yaygın hale geldi.

    Bu aktörler, uzaktan erişim araçlarının kötüye kullanımı, eski yazılım zafiyetlerinin etkili istismarı ve yapay zeka destekli oltalama gibi çeşitli yöntemler kullanarak operasyonlarını sürdürdüler.

    Veri Sızdırma Siteleri: Psikolojik Baskı Aracı

    2025 boyunca aktif veri sızdırma sitelerinin sayısı rekor kırdı. Bu siteler, fidye taleplerine uymayan kurbanları çevrimiçi veri sızıntılarıyla yüzleştirerek baskı yaratmak için psikolojik savaş aracı haline geldi.

    2025 yılı, fidye yazılımının artık sadece dosya şifreleme ve ödeme talebi olmadığı; ulusal düzeyde operasyonel, ekonomik ve toplumsal güvenliği tehdit eden stratejik bir araç haline geldiğini gösterdi. Kritik sektörlerdeki artan saldırı hacimleri ve daha karmaşık taktikler, kurumların sadece teknik savunmalara değil, aynı zamanda stratejik direnç ve kapsamlı siber risk yönetimine odaklanması gerektiğini ortaya koydu.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:
    Labels: , , , , , ,

    02 Aralık 2025

    Siber Güvenlik Bülteni - Kasım 2025

     

    Bültenimizin Kasım Ayı konu başlıkları; 
      • Yeni Nesil Oltalama Tehlikesi: Sneaky 2FA BitB Saldırısı
      • Hacktivistler İnternete Açık Endüstriyel Sistemleri Hedef Alıyor 
      • FortiWeb Güvenlik Zafiyeti
      • SonicWall SSLVPN Zafiyeti
      • Cl0p, Sıfırıncı Gün Açığıyla Saldırılarını Artırıyor

      Yeni Nesil Oltalama Tehlikesi: Sneaky 2FA BitB Saldırısı

      Siber saldırganlar, Sneaky 2FA olarak bilinen bir Phishing-as-a-Service (PhaaS) kitinin içine Browser-in-the-Browser (BitB) özelliği ekledi. Bu durum, bu tür hizmetlerin gelişmeye devam ettiğini gösteriyor ve daha az yetenekli tehdit aktörlerinin geniş çapta saldırılar düzenlemesini daha da kolaylaştırıyor.

      Uzmanlar bu tekniğin, kurbanların Microsoft hesap kimlik bilgilerini çalmak için tasarlanmış kimlik avı saldırılarında kullanıldığını gözlemlediğini söyledi.

      BitB tekniği ilk olarak Mart 2022’de güvenlik araştırmacısı mr.d0x tarafından belgelenmişti. Bu teknik, HTML ve CSS kombinasyonlarının kullanılarak, meşru servislerin giriş sayfalarını taklit eden sahte tarayıcı pencereleri oluşturabileceğini ve böylece kimlik bilgisi hırsızlığını kolaylaştırabileceğini ortaya koyuyordu.



      BitB temel olarak, şüpheli kimlik avı URL’lerini pop-up giriş pencerelerini taklit ederek gizlemek için tasarlanmıştır. BitB tabanlı kimlik avı sayfaları, sahte bir pop-up pencere görünümü oluşturup içine kötü amaçlı bir sunucuya yönlenen bir iframe yerleştirerek gerçeğe çok benzeyen bir login penceresi taklit eder.

      Aldatmaca tamamlandığında, pop-up tarayıcı penceresi meşru bir Microsoft giriş URL’si gösterir. Bu da kurbana bilgilerini gerçek bir sayfaya girdiği izlenimini verir; oysa sayfa aslında bir kimlik avı sitesidir.

      Gözlemlenen saldırı zincirlerinden birinde, şüpheli bir URL’ye (“previewdoc[.]us”) giren kullanıcıya bir Cloudflare doğrulama kontrolü sunuluyor. Kullanıcı bot koruma kontrolünden geçtikten sonra saldırı bir sonraki aşamaya ilerliyor ve PDF görüntülemek için “Microsoft ile giriş yap” butonu içeren bir sayfa gösteriliyor.

      Butona tıklandığında, BitB tekniğiyle gömülü bir tarayıcı içinde Microsoft giriş formuna benzeyen bir kimlik avı sayfası yükleniyor. Son aşamada girilen bilgiler ve oturum ayrıntıları saldırgana aktarılıyor; saldırgan bunları kullanarak kurbanın hesabını ele geçirebiliyor.

      Saldırganlar, CAPTCHA ve Cloudflare Turnstile gibi bot koruma teknolojilerini kullanmanın yanı sıra, koşullu yükleme teknikleriyle yalnızca hedeflenen kişilerin sayfaları görmesini sağlıyor. Diğer kullanıcılar filtreleniyor veya zararsız sitelere yönlendiriliyor.

      Sneaky 2FA, analize karşı dayanmak için çeşitli yöntemler kullanmasıyla biliniyor. Bunlar arasında kodun gizlenmesi, geliştirici araçlarının devre dışı bırakılması ve kimlik avı alan adlarının hızla döndürülmesi de bulunuyor.

      Saldırganlar, kimlik avı ekosistemi profesyonelleştikçe tekniklerini sürekli geliştiriyor ve kimlik tabanlı saldırılar arttıkça altyapılarını da güçlendirmeye yöneliyor.

      Saldırganlar taktiklerini geliştirmeye devam ederken, kullanıcıların şüpheli mesajları açmadan veya tarayıcıya uzantı yüklemeden önce dikkatli olması kritik önem taşıyor. Kuruluşlar da belirli kriterleri karşılamayan girişleri kısıtlayarak hesap ele geçirme saldırılarını engellemek için koşullu erişim politikaları kullanabilir.

      Hacktivistler İnternete Açık Endüstriyel Sistemleri Hedef Alıyor 

      Kanada Siber Güvenlik Merkezi, CISO’ları ve diğer karar vericileri, hacktivistlerin internet üzerinden erişilebilen endüstriyel kontrol sistemlerini (ICS) giderek daha fazla hedef aldığı konusunda uyardı.

      Devletin siber güvenlik kurumu, yetkililere bildirilen son saldırılardan birkaç örnek paylaştı. Bir vakada, saldırganlar bir su tesisini hedef aldı ve su basıncı vanalarıyla oynadı; bu durum tesisin hizmet verdiği toplulukta hizmet kalitesinin düşmesine neden oldu.

      Başka bir vakada, saldırganlar bir petrol ve gaz şirketinde otomatik tank göstergesi (ATG) ile oynayarak sahte alarmlar tetikledi. ATG’ler uzun süredir ciddi güvenlik açıklarıyla biliniyor ve en az on yıldır saldırganlar tarafından hedeflenmektedir.

      Merkezin paylaştığı üçüncü örnek ise bir çiftliğe yapılan saldırıyı anlatıyor; saldırganlar tahıl kurutma silosundaki sıcaklık ve nem değerlerini manipüle etti. Kurum, saldırı zamanında tespit edilmeseydi tehlikeli koşulların oluşabileceğini belirtti..

      Kurum, hacktivistlerin medya ilgisi çekmek, kurumları itibarsızlaştırmak ve “Kanada’nın itibarını zedelemek” amacıyla zayıf güvenlikli ICS cihazlarını hedef aldığını belirtiyor. Bu gruplar genellikle belirli bir kuruluşu hedeflemek yerine fırsatçı saldırılar gerçekleştiriyor.

      Dünya genelinde en az 100.000 internetten erişilebilen ICS cihazı bulunuyor ve çoğu kolayca hacklenebilir durumda olması riskin ne kadar büyük olduğunu gösteriyor.

      Uyarıdaki aktörler hacktivistler olarak tanımlansa da, devlet destekli grupların zaman zaman kendilerini hacktivist gibi göstererek saldırılar yapmasının çok yaygın bir yöntem olduğu belirtiliyor.

      Kurum, saldırganların hedef aldığı ICS bileşenleri arasında güvenlik sistemleri, bina yönetim sistemleri, endüstriyel IoT cihazları, PLC’ler, HMI’lar, RTU’lar ve SCADA sistemlerinin bulunduğunu bildiriyor.

      ICS ortamlarının internetten erişilebilir olması, hacktivistler ve hatta devlet destekli gruplar için bulunmaz bir fırsata dönüşmüş durumda. Özellikle fiziksel etkisi olan sistemlerde (su, enerji, altyapı otomasyon) küçük bir değişiklik bile toplumu etkileyen sonuçlar doğurabilir. Kurumların acilen ağ segmentasyonu yapması, ICS cihazlarını internete kapatması, güçlü kimlik doğrulama uygulaması ve anomali tespit sistemleri kurması kritik hale geldi. Şirketler, ICS’yi klasik BT varlıklarından ayrı ele alması gerektiğini bir kez daha net olarak görüyoruz.
       

      FortiWeb Güvenlik Zafiyeti

      Fortinet, FortiWeb’de tespit edilen ve siber ortamda istismar edildiğini söylediği yeni bir güvenlik açığı konusunda uyarıda bulundu.

      Orta seviyeli bu güvenlik açığı, CVE-2025-58034 olarak takip ediliyor ve maksimum 10 üzerinden 6.7 CVSS puanına sahip.

      Başarılı saldırılar için bir saldırganın önce başka bir yöntemle kimlik doğrulaması yapması ve ardından CVE-2025-58034 açığını zincirleyerek keyfi işletim sistemi komutları çalıştırması gerekiyor.

      Açık aşağıdaki sürümlerde düzeltilmiş durumda:

      • FortiWeb 8.0.0 – 8.0.1 (8.0.2 veya üstüne yükseltin)
      • FortiWeb 7.6.0 – 7.6.5 (7.6.6 veya üstüne yükseltin)
      • FortiWeb 7.4.0 – 7.4.10 (7.4.11 veya üstüne yükseltin)
      • FortiWeb 7.2.0 – 7.2.11 (7.2.12 veya üstüne yükseltin)
      • FortiWeb 7.0.0 – 7.0.11 (7.0.12 veya üstüne yükseltin)

      Dikkat çekici olan ise gelişmenin, Fortinet’in birkaç gün önce başka bir kritik FortiWeb açığını (CVE-2025-64446, CVSS 9.1) sessizce 8.0.2 sürümünde yamaladığını doğrulamasının hemen ardından gelmiş olması. Şirket iki açığın sömürü faaliyetlerinin bağlantılı olup olmadığını netleştirmese de, UzmanlarCVE-2025-58034’ün CVE-2025-64446 ile zincirlendiği çeşitli istismar kampanyaları gözlemlediğini söyledi. Bu zincir, kimlik doğrulama atlatma ve komut enjeksiyonu sağlıyor.

      Rapid7, “Her iki güvenlik açığının açıklanma zaman çizelgesi sadece birkaç gün arayla. Her iki açık da satıcı tarafından önceden yayımlanan ürün güncellemeleriyle yamalandı ancak o sırada duyurulmadı,” dedi.
      “Kimlik doğrulama atlatma ile kimliği doğrulanmış komut enjeksiyonunu zincirlemenin bariz bir faydası var. Bu koşullarda, bu iki açığın savunmasız FortiWeb cihazlarına karşı kimlik doğrulaması gerektirmeyen uzaktan kod yürütme için bir istismar zinciri oluşturduğunu söylemek oldukça olası görünüyor.”

      Fortinet’in neden yamaları yayımlayıp bir danışma metni yayınlamadığı henüz net değil. Ancak bu durum, savunmacıları dezavantajlı bıraktı ve yeterli karşı önlemi almalarını zorlaştırdı.

      ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve Federal kurumlara 25 Kasım 2025 tarihine kadar yamalamaları çağrısında bulundu.

      SonicWall SSLVPN Zafiyeti

      SonicWall, SonicOS SSLVPN hizmetinde kritik bir stack tabanlı arabellek taşması güvenlik zafiyeti açıkladı. Bu zafiyet, uzaktaki kimliği doğrulanmamış saldırganların hizmet reddi (DoS) saldırılarıyla firewall’ları devredışı bırakmasına olanak tanıyor.

      Bu güvenlik zafiyeti, SonicWall’ın güvenlik ekibi tarafından dahili olarak keşfedilip raporlandı. CVE-2025-40601 olarak izlenen bu hata 7.5 CVSS puanına sahip ve SonicWall’ın birçok firewall ürün ailesini etkiliyor.

      Zafiyet, SonicOS’un SSLVPN hizmeti bileşeninde bulunuyor ve stack tabanlı bir arabellek taşması zafiyetinden (CWE-121) kaynaklanıyor.

      İstismar edildiğinde saldırgan, kimlik doğrulaması olmadan savunmasız SSLVPN arayüzüne özel hazırlanmış istekler göndererek firewall’un çökmesine ve hizmetlerin kesilmesine neden olabiliyor.

      SonicWall, bu güvenlik zafiyetinin yalnızca firewall üzerinde SSLVPN arayüzü veya hizmeti etkin ise cihazları etkilediğini belirtiyor. Bu özelliği kullanmayan kuruluşlar etkilenmiyor.
      Bu zafiyet hem Gen7 hem de Gen8 SonicWall firewall’larını donanım ve sanal platformlar dahil etkiliyor.

      Gen7 cihazlarda 7.3.0-7012 ve önceki sürümlerGen8 cihazlarda ise 8.0.2-8011 ve daha eski sürümler savunmasız durumda. SonicWall Gen6 firewall’lar ve SMA 1000/100 serisi SSL VPN ürünleri bu zafiyetten etkilenmiyor.

      SonicWall, kuruluşları acilen yamalı firmware sürümlerine güncelleme yapmaya çağırıyor.

      Yama uygulanana kadar yöneticilerin, SSLVPN erişimini yalnızca güvenilir IP’lerle sınırlandırması veya erişim kurallarını düzenleyerek, hizmeti güvenilmeyen internet kaynakları için tamamen kapatması öneriliyor.
       

      Cl0p, Sıfırıncı Gün Açığıyla Saldırılarını Artırıyor

      Cl0p, 2019 başından beri faaliyet gösteren önde gelen bir fidye yazılımı grubu olup siber güvenlik alanındaki en tehlikeli tehditlerden biri hâline gelmiştir.

      1.025’ten fazla doğrulanmış kurban ve 500 milyon doların üzerinde gasp edilen para ile Rusya bağlantılı olduğu iddaa edilen bu grup, CIS ülkelerinden stratejik olarak kaçınırken dünya çapında kurumsal ve özel ağları sürekli olarak hedef almıştır.

      Grup adını, şifreleme sonrası eklediği “.cl0p” dosya uzantısından almaktadır; ancak terim Rusçada “tahta kurusu” anlamına da gelmektedir ve bu da grubun sistemleri istila etme konusundaki ısrarcı doğasını yansıtmaktadır.

      Fidye yazılımı grubunun son kampanyası, özellikle Oracle E-Business Suite’te keşfedilen kritik bir zafiyet olan CVE-2025-61882’nin sömürülmesine odaklanan sofistike bir sıfır-gün istismarı yaklaşımı sergilemektedir.

      Küresel çapta sipariş yönetimi, tedarik ve lojistik fonksiyonları için yaygın şekilde kullanılan bu ERP uygulaması, tehdit aktörlerinin hızlı ağ ihlali ve veri sızıntısı gerçekleştirmek için çekici bir hedef sunmaktadır.

      Zafiyet ilk olarak Haziran 2025’te gözlemlenmiş, ancak son aylarda giderek daha aktif hâle gelmiştir.

      Clop aktif kullandığı zafiyetler



      Oracle tarafından Ekim 2025’te paylaşılan ilk ihlal göstergeleri araştırıldığında, araştırmacılar aktif saldırılarla doğrudan ilişkili iki çıkış IP adresi keşfetti.

      Shodan ve FOFA gibi araçlarla yapılan ayrıntılı analizler ve taramalar sonucunda, analistler ilk saldırı altyapısı ile aynı SSL sertifika parmak izini paylaşan 96 farklı IP adresi ortaya çıkardı.

      Bu kümeleme, grubun operasyonel modellerini ve farklı coğrafi bölgelerdeki ağ tercihlerini ortaya koydu.

      Araştırmacılar, mevcut Oracle EBS istismarında kullanılan 41 alt ağ IP’sinin, 2023’teki MOVEit zafiyeti saldırılarında (CVE-2023-34362) da kullanıldığını tespit etti.

      Bu örüntü, grubun kalıcı barındırma ilişkilerini sürdürdüğünü ve kampanyalar arasında tamamen yeni altyapılar kurmak yerine altyapıyı stratejik olarak döndürdüğünü göstermektedir.

      Tespit edilen 96 IP’nin analizi, coğrafi dağılımda Almanya’nın 16 adres ile başı çektiğini, onu Brezilya (13) ve Panama’nın (12) takip ettiğini göstermektedir.

      Bununla birlikte, altındaki ASN altyapısı, coğrafi çeşitlendirme çabalarına rağmen Rusya merkezli sağlayıcıların yoğun biçimde kullanıldığını ortaya koymaktadır. Amaç, geleneksel IP tabanlı engelleme stratejilerinden kaçmaktır.

      Sıfır-gün istismar yeteneği, kalıcı altyapı yeniden kullanım alışkanlığı ve coğrafi esneklik, Cl0p’u mevcut tehdit ortamındaki en etkili fidye yazılımı operasyonlarından biri haline getirmeye devam etmektedir.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Yayınlayan: Yayın Tarihi:
      Labels: , , , , , ,

      28 Ekim 2025

      Siber Güvenlik Bülteni - Ekim 2025

       

      Bültenimizin Ekim Ayı konu başlıkları; 
        • Hacking Team Geri Döndü
        • Oracle EBS’yi Vuran Kritik Sıfırıncı Gün Açığı
        • Windows 10’un Sonu, Siber Tehditlerin Başlangıcı mı?
        • JLR Hack: Tek Bir Saldırı, 5000 Kurumu ve 2.5 Milyar Dolarlık Ekonomiyi Vurdu
        • Fortinet’ten Arka Arkaya Kritik Güvenlik Uyarıları: FortiOS, FortiPAM ve FortiSwitch Manager

        Hacking Team Geri Döndü

        Kaspersky, Mart 2025’te kişiselleştirilmiş oltalama e-postalarıyla (spear phishing) hedeflenen bir kampanya tespit etti. Bulaşmayı başlatmak için başka bir işlem yapılmasına gerek yoktu; Google Chrome veya başka bir Chromium tabanlı web tarayıcısı kullanarak kötü amaçlı web sitesini ziyaret etmek yeterliydi. CVE-2025-2783

        Saldırganlar, hedeflere Primakov Readings forumuna davet ediliyormuş gibi görünen kişiselleştirilmiş e-postalar gönderdiler. Bu sebeple kampanya Operation ForumTroll olarak adlandırıldı. Hedefler arasında Rusya’daki medya kuruluşları, üniversiteler, araştırma merkezleri, devlet kuruluşları, finansal kurumlar ve benzer kuruluşlar bulunuyordu. Kötü amaçlı yazılımların işlevselliği ve hedef seçimi, operasyonun istihbarat / casusluk amaçlı olduğunu gösteriyor.
         
        Saldırı zinciri

        1. Oltalama e-postası (spear phishing):
          • E-postalar gerçekçi ve kişiselleştirilmişti; alıcıların bağlantıya tıklaması hedeflendi.
          • Önemli: Bağlantılar çok kısa ömürlüydü, tespit etmeyi zorlaştırmak için tasarlanmıştı.
        2. Kötü amaçlı web sitesi & Validator:
          • Ziyaretçi, kötü amaçlı siteye yönlendirilince bir doğrulama (validator) betiği çalışıyordu.
          • Validator, WebGPU API kullanarak sunucudan gelen verinin SHA‑256 hashini hesaplıyor ve ortamın gerçek bir kullanıcı / gerçek tarayıcı olduğunu doğruluyordu. Bu, otomatik tarayıcı botlarını ve sandbox/analiz sunucularını atlatmak için kullanılıyordu.
          • Doğrulama başarılı olursa, sunucu ECDH ile paylaşılan anahtar üzerinden AES‑GCM ile şifrelenmiş bir sonraki aşamayı gönderiyordu.
        3. Sandbox kaçış exploit’i (CVE-2025-2783):
          • CVE-2025-2783, Chrome’un sandbox korumasını aşmaya yönelik sofistike bir sıfır gün açığıydı.
          • Exploit, Chrome’un çoklu süreç mimarisi ve süreçler arası iletişim (Mojo / ipcz) mekanizmalarını hedefleyerek renderer (tarayıcı içeriği) süreçlerinden tarayıcı sürecine erişim sağlamayı deniyordu.
          • Önemli: Bu açığın keşfi sonucunda Google’a raporlandı ve Chrome 134.0.6998.177/.178 sürümlerine dahil edilen güvenlik düzeltmeleriyle kapatıldı. (CVE-2025-2783)
        4. Kalıcı yükleyici & sistem entegrasyonu:
          • Başarılı kaçış sonrası saldırganlar, COM hijacking gibi yöntemlerle kötü amaçlı DLL’leri sistem süreçlerine yükleyerek kalıcılık sağladılar.
          • Yükleyici, makineyi benzersiz şekilde tanımlamak için BIOS UUID gibi verilerle ilişkilendirme yapıyordu.
        5. Payload’lar — LeetAgent ve Dante:
          • LeetAgent: ForumTroll kampanyasında görülen, daha “klasik” işlevlere sahip casus yazılım: komut çalıştırma, süreç yönetimi, dosya okuma/yazma, keylogging ve veri sızdırma.
          • Dante: Daha sofistike, Memento Labs (eski Hacking Team) kökenli olduğu tespit edilen ticari seviyede bir spyware. Anti-analiz ve anti-debug teknikleriyle donatılmış, modüler ve şifreli konfigürasyon yönetimi yapabilen bir yazılım. Kod benzerlikleri Dante’nin Hacking Team’in altyapısından türediğini gösteriyor.
         Neden Dante önemli?
        • Dante, Hacking Team’in yeniden yapılanmasından sonra 2022 civarında ortaya çıkan ve uzun süre gizli kalmış bir spyware olarak dikkat çekiyor.
        • Kodu ve altyapısı incelendiğinde, daha önce Memento Labs/Hacking Team ile ilişkilendirilen araç setleriyle anlamlı benzerlikler bulundu. Bu da hem araç sağlayıcısı hem de operasyonel ilişkilendirme açısından kritik bir ipucu sağlıyor.
        • Uzmanlar, Dante ve ForumTroll kampanyasını yıllara yayılan saldırıları takip ederek bağdaştırdı; bu da uzun süreli istihbarat çalışmasının önemini gösteriyor.
         
        Sonuç ve Öneriler
        • Kullanıcı odaklı savunma yetersiz: Kişiselleştirilmiş oltalama mesajları hâlâ en etkili giriş yollarından biri. Eğitim + teknik kontroller birlikte yürütülmeli.
        • Tarayıcı güvenliği kritik: Chromium tabanlı tarayıcılar için hızlı güncelleme, izolasyon politikaları ve sandbox davranışlarını izleyen telemetri hayati.
        • E-posta/URL izleme: Kısa ömürlü linkler ve kişiselleştirilmiş payload’lar için gelişmiş e‑posta analitiği ve URL emülasyonu/izleme çözümleri önemli.
        • Tehdit istihbaratı ve korelasyon: Uzun süreli APT kampanyalarını yakalamak için olayları zaman içinde bağdaştıran merkezi izleme (SIEM/TI) zorunlu.
        • Tedarikçi ve üçüncü taraf denetimi: Ticari casus yazılımların ortaya çıkması, araç sağlayıcıların takibi ve tedarik zinciri güvenliğinin önemini artırıyor.

        Oracle EBS’yi Vuran Kritik Sıfırıncı Gün Açığı

        Son zamanlarda yaması yayınlanan Oracle E-Business Suite (EBS) sıfırıncı gün güvenlik açığı hakkında yeni bilgiler ortaya çıktı. Kanıtlar, tehdit aktörlerinin bu güvenlik açığından yama yayınlanmadan en az iki ay önce haberdar olduğunu gösteriyor.

        Google Threat Intelligence Group (GTIG) ve Mandiant2 Ekim tarihinde Oracle E-Business Suite’i hedef alan saldırılara karşı ilk uyarıyı yaptı. Bu uyarı, birçok kurum yöneticisinin Cl0p siber suç grubundan şantaj e-postaları alması sonrasında geldi.

        Daha sonra, saldırıların Cl0p grubu tarafından gerçekleştirildiği doğrulandı ve siber suçluların muhtemelen Ağustos ayından bu yana hedef alınan kuruluşların EBS sistemlerinden büyük miktarda veri çaldığı ortaya çıktı.

        Oracle, ilk etapta saldırıların Temmuz ayında yamalanan ancak belirtilmemiş bazı güvenlik açıklarının istismarıyla ilişkili olduğunu açıkladı. Ancak şirket, 4 Ekim tarihinde bir sıfırıncı gün (zero-day) açığın da istismar edildiğini doğruladı.

        Bu sıfırıncı gün açığı, CVE-2025-61882 olarak izleniyor ve CVSS puanı 9.8. Açık, Oracle Concurrent Processing’in BI Publisher Integration bileşenini etkiliyor. Kimliği doğrulanmamış bir saldırgan, bu açığı kullanarak uzaktan kod yürütme (remote code execution) gerçekleştirebiliyor.

        Uzmanlartam emin olmamakla beraber Rusya bağlantılı “Graceful Spider” adlı tehdit aktörüne bağlıyor. Graceful Spider, Cl0p fidye yazılımı saldırılarıyla biliniyor. Ancak uzmanlar, birden fazla grubun aynı sıfırıncı gün açığını istismar etmiş olabileceğini belirtiyor.

        Şu ana kadar toplanan veriler sıfırıncı gün açığının ilk kez 9 Ağustos’ta istismar edildiğini gösteriyor.

        ShinyHunters ve Scattered Spider (artık iş birlikleri sonucu “Scattered LAPSUS$ Hunters” adını kullanıyorlar) adlı hacker grupları, CVE-2025-61882 için bir proof-of-concept (PoC) istismar kodu yayımladı.

        Başlangıçta, Scattered LAPSUS$ Hunters grubunun Cl0p hacker’larıyla iş birliği yaptığı düşünülse de, yayınlanan PoC dosyalarından birinde yer alan bir mesaj, tehdit grupları arasında bir anlaşmazlık (çatışma) bulunduğunu gösteriyor.

        Oracle tarafından paylaşılan saldırı göstergeleri (IoC’ler)sızdırılan PoC’un gerçek olduğunu ima ediyordu. Bu durum, siber güvenlik firması tarafından yapılan PoC analizinde kesin olarak doğrulandı.

        Firma:

        “İstismar zinciri, en az beş farklı güvenlik açığının birlikte orkestre edildiği, yüksek düzeyde teknik beceri ve çaba gerektiren bir yapıya sahip. Bu sayede kimlik doğrulaması gerekmeksizin uzaktan kod yürütme elde ediliyor.”

        PoC’un artık halka açık hale gelmesiyle, siber güvenlik endüstrisi diğer tehdit aktörlerinin de CVE-2025-61882’yi silah envanterlerine eklemesini bekliyor. Ayrıca saldırganların hedef seçecek çok sayıda sistem bulma olasılığı hâlâ yüksek.

        İnternete açık durumda bulunan 2.000’den fazla Oracle E-Business Suite örneği tespit edildi. Shadowserver Foundation ise 570’den fazla potansiyel olarak savunmasız örnek belirledi. En fazla EBS örneğinin ABD’de, ardından Çin’de bulunduğu raporlandı.

        Windows 10’un Sonu, Siber Tehditlerin Başlangıcı mı?

        Windows 10’un destek süresi (End of Support - EOS) 14 Ekim 2025 itibarıyla sona erdi. Ancak işletim sistemi hâlâ yüz milyonlarca cihazda çalışmaya devam ediyor.

        Windows 10’un destek süresinin sona ermesiyle birlikte, Microsoft artık bu işletim sistemi için ücretsiz yazılım güncellemeleri, teknik destek veya güvenlik yamaları sağlamayacak.

        Windows 10 çalıştıran bilgisayarlar çalışmaya devam edecek, ancak yeni tehditler ortaya çıktıkça ve güvenlik yamaları yayınlanmadıkça, kötü amaçlı yazılımlar ve diğer siber saldırılar karşısında giderek daha savunmasız hale gelecekler.

        Microsoft, Windows 11’e hemen geçiş yapamayan kullanıcılar için Extended Security Updates (ESU) adlı yeni bir program başlattı.

        Bu programa katılarak 13 Ekim 2026’ya kadar güvenlik güncellemeleri alabilmek için:

        • Bireysel kullanıcılar 30 dolar,
        • Kurumsal kuruluşlar ise cihaz başına 61 dolar ödeyecek.

        Kuruluşlar için bu fiyat, ESU hizmetini üç yıla kadar uzatmak isteyenler için her yıl iki katına çıkacak.

        Ayrıca, Microsoft kısa süre önce Avrupa Ekonomik Alanı (EEA) içindeki kullanıcılar için ESU’nun ücretsiz olacağını da duyurdu.

        Kaç kullanıcının ESU programına dahil olacağı belirsiz, ancak önümüzdeki aylarda çok sayıda cihazın savunmasız hale gelmesi bekleniyor. Çünkü Windows 10 hâlâ en az %40 pazar payına sahip görünüyor.

        Microsoft’un son yıllarda paylaştığı verilere göre, Windows kullanıcı sayısı bir milyarın üzerinde. Bu da yüz milyonlarca bilgisayarın hâlâ Windows 10 çalıştırdığı anlamına geliyor.

        JLR Hack: Tek Bir Saldırı, 5000 Kurumu ve 2.5 Milyar Dolarlık Ekonomiyi Vurdu

        Ağustos 2025’te Jaguar Land Rover’a (JLR) yönelik gerçekleştirilen siber saldırı, bağımsız bir kuruluşa göre, Birleşik Krallık’ta şimdiye kadar yaşanan ekonomik açıdan en yıkıcı siber olay oldu.

        Cyber Monitoring Centre (CMC) adlı, siber olayların etkisini ölçmek amacıyla Şubat 2025’te kurulan Birleşik Krallık merkezli bağımsız kuruluş22 Ekim tarihli raporunda otomobil üreticisine yönelik siber saldırıyla ilgili bulgularını paylaştı.

        Kuruluş, siber saldırının Birleşik Krallık ekonomisinde 1,9 milyar sterlin (2,55 milyar dolar) düzeyinde bir mali etki yarattığını ve 5000’den fazla İngiltere merkezli kuruluşu etkilediğini tahmin ediyor.

        CMC, bu maliyetin “operasyonel teknolojinin ciddi şekilde etkilenmesi veya üretimin olay öncesi seviyelere dönmesinde beklenmedik gecikmeler yaşanması durumunda daha da artabileceğini” belirtti.

        Bu maliyet tahminini yapmak için CMC, JLR’nin üretim süreçlerinde yaşanan büyük aksaklıklarıçok katmanlı tedarik zinciri etkilerini ve otomobil bayileri gibi alt düzey kuruluşlarda yaşanan kesintileri dikkate aldı.

        CMC’ye göre, mali etkinin büyük çoğunluğu, JLR ve tedarikçilerindeki üretim kayıplarından kaynaklandı.

        Raporda şöyle denildi:

        “Olay, JLR’nin iç BT ortamını etkileyerek bir BT kapatmasına ve küresel üretim operasyonlarının durmasına neden oldu; buna İngiltere’deki büyük tesisler; Solihull, Halewood ve Wolverhampton fabrikalarıda dahil. Üretim hatları haftalarca durduruldu, bayii sistemleri aralıklı olarak devre dışı kaldı ve tedarikçiler, iptal edilen veya ertelenen siparişlerle karşı karşıya kaldı; gelecekteki sipariş hacimleriyle ilgili belirsizlik oluştu.”

        CMC analistleri, bir siber olayın toplam maliyetini değerlendirmek için altı farklı metriği kullanıyor:

        • İş kesintisi kayıpları,
        • Olay müdahalesi,
        • BT yeniden inşa ve kurtarma maliyetleri,
        • Tedarik zinciri iş kesintisi maliyetleri gibi göstergeler.


        Daha sonra, olaydan etkilenen kişi sayısını tahmin ediyor ve her olayı, toplam maliyet ve etkilenen kişi sayısına göre kategorize ediyorlar. 

        JLR saldırısının muazzam mali kaybı ve bağlantılı işletmelerdeki geniş çaplı kesintiler, tek bir olayın nasıl küresel ölçekte birbiriyle bağlantılı sistemleri zincirleme etkileyebileceğini ve ilk hedefin çok ötesinde büyük zararlar yaratabileceğini açıkça gösteriyor.

        Uzmanlar ise CMC tarafından tahmin edilen toplam finansal kaybın, JLR’ye yönelik saldırının gerçek maliyetinden çok uzak olabileceğini belirtti ve ekledi.

        1,9 milyar sterlinlik tahmin edilen kayıp, toplam zararın yalnızca küçük bir kısmını temsil ediyor olabilir; sadece halihazırda ortaya çıkmış ve ölçülebilir kayıpları yansıtıyor.” dedi.

        “Örneğin, JLR’nin değerli ticari sırlarının çalınması ve bunların düşman devletlerdeki rakip şirketler tarafından kullanılması, uzun vadede çok daha büyük mali kayıplara neden olabilir. Hatta bu durum, ekonomik belirsizlik ve yaklaşan mali kriz ortamında JLR’nin iflasıyla sonuçlanabilir.

        “Buradaki asıl endişe verici senaryo; düşman bir devletin, JLR büyüklüğünde ve ulusal öneme sahip 20-30 İngiliz şirketine, kritik altyapı sağlayıcıları da dahil, aynı anda saldırması. Bu durumda, ülke bir süreliğine internetsiz, hatta su ve elektriksiz kalabilir; bunun ötesinde, ekonominin çökmesi ve İngiliz borsasının yıkılması bile mümkündür.”

        Fortinet’ten Arka Arkaya Kritik Güvenlik Uyarıları: FortiOS, FortiPAM ve FortiSwitch Manager

        Fortinet, Ekim 2025 itibarıyla iki farklı ürün grubunda yüksek önem dereceli güvenlik açıkları tespit edildiğini duyurdu.
        Bu açıklar, FortiOS işletim sistemiFortiPAM ayrıcalıklı erişim yönetimi çözümü ve FortiSwitch Manager ağ yönetim aracı üzerinde ciddi güvenlik riskleri oluşturuyor.
         

        FortiOS CLI Komut Atlama (Command Bypass) Açığı - CVE-2025-58325

        14 Ekim 2025 tarihinde açıklanan bu açık, yerel kimliği doğrulanmış saldırganların sistem üzerinde rastgele komutlar çalıştırabilmesine neden olabiliyor.

        CVE-2025-58325 olarak izlenen zafiyet, CLI bileşenindeki hatalı işlev uygulamasından (CWE-684) kaynaklanıyor ve yetki yükseltmeye (privilege escalation) yol açabiliyor.
        • CVSS v3.1 Puanı: 7.8 (Yüksek Öncelikli)
        • Etki: Rastgele sistem komutu çalıştırma, cihaz kontrolünün ele geçirilmesi
        • Saldırı Türü: Yalnızca yerel erişim gerektiriyor, kullanıcı etkileşimi yok
        Bu açık, yüksek ayrıcalıklara sahip yerel kullanıcıların kötü amaçlı CLI komutları yazarak sistem kısıtlamalarını atlatmasına olanak tanıyor.

        Sonuç olarak, saldırgan cihaz üzerinde tam kontrol sağlayabilir, veri sızdırabilir veya ağı ele geçirebilir.

        Fortinet PSIRT ekibinden François Ropert tarafından keşfedilen bu açık, 100E/101E serisinden 7000F modeline kadar birçok üst düzey cihazı etkiliyor.

        Etkilenen Sürümler ve Çözümler
         
        FortiOS Sürümü    Etkilenen Yapılar    Önerilen Çözüm
        7.67.6.07.6.1 veya üzeri sürüme yükseltin
        7.47.4.0 – 7.4.57.4.6 veya üzeri sürüme yükseltin
        7.27.2.0 – 7.2.107.2.11 veya üzeri sürüme yükseltin
        7.07.0.0 – 7.0.157.0.16 veya üzeri sürüme yükseltin
        6.4Tüm sürümlerYamalı bir sürüme geçiş yapın

        Fortinet, müşterilere derhal sistem güncellemelerini uygulamalarını ve CLI günlüklerini (logs) anormal aktiviteler açısından izlemelerini tavsiye ediyor. Bu zafiyet FG-IR-24-361 referans numarasıyla takip ediliyor ve CLI yönetiminde “en az ayrıcalık ilkesi”nin uygulanması gerektiğini vurguluyor.
         

        FortiPAM ve FortiSwitch Manager Kimlik Doğrulama Zafiyeti - CVE-2025-49201

        Aynı gün, Fortinet, ikinci bir kritik güvenlik açığını daha duyurdu. Bu açık, saldırganların brute-force (kaba kuvvet) yöntemleriyle kimlik doğrulama mekanizmasını tamamen atlatmasına izin veriyor.

        CVE-2025-49201 olarak izlenen zafiyet, Web Application Delivery (WAD) ve Graphical User Interface (GUI) bileşenlerindeki zayıf kimlik doğrulama yapısından (CWE-1390) kaynaklanıyor.
        • CVSS v3.1 Puanı: 7.4 (Yüksek Öncelikli)
        • Etki: Yetkisiz kod yürütme veya komut enjeksiyonu (command injection)
        • Sonuç: Uzak saldırganların etkilenen sistemler üzerinde tam kontrol elde etmesi
        Bu açık, FortiPAM (Privileged Access Management) ürününün birden fazla sürümünü ve FortiSwitch Manager 7.2 serisini etkiliyor.

        Etkilenen Sürümler ve Çözüm Yolu
         
        ÜrünEtkilenen Sürüm(ler)Çözüm / Öneri
        FortiPAM 1.7Etkilenmiyor
        FortiPAM 1.6Etkilenmiyor
        FortiPAM 1.51.5.01.5.1 veya üzeri sürüme yükseltin
        FortiPAM 1.41.4.0 – 1.4.21.4.3 veya üzeri sürüme yükseltin
        FortiPAM 1.3 / 1.2 / 1.1 / 1.0Tüm sürümlerYamalı sürüme geçiş yapın
        FortiSwitch Manager 7.27.2.0 – 7.2.47.2.5 veya üzeri sürüme yükseltin
        FortiSwitch Manager 7.0Etkilenmiyor

        Fortinet, bu açığın ağ erişimi gerektirdiğini ancak ısrarlı brute-force denemeleriyle zaman içinde istismar edilebileceğini belirtti.

        Şu ana kadar herhangi bir kamuya açık exploit yayımlanmadı, ancak çok faktörlü kimlik doğrulamanın (MFA) geçici önlem olarak uygulanması tavsiye ediliyor.

        Açık, Fortinet Ürün Güvenliği ekibinden (PSIRT) Gwendal Guégniaud tarafından iç araştırmalar sonucunda keşfedildi ve 14 Ekim 2025’te FG-IR-25-010 referans numarasıyla yayımlandı.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Yayınlayan: Yayın Tarihi:
        Kaydol: Yorumlar (Atom)

        Popüler Yayınlar