Siber Güvenlik Bülteni - Mart 2025

 

Bültenimizin Mart Ayı konu başlıkları;  2024 Veri İhlallerinin %95’i İnsan Hatasından Kaynaklandı Parola Yeniden Kullanımı 2025’te de En Büyük Siber Güvenlik Riski Olmayı Sürdürüyor Mobil Bankacılık Kötü Amaçlı Yazılımlarında Endişe Verici Artış Broadcom’dan Kritik Güvenlik Güncellemesi: VMware Tools ve ESX Mirai Botnetleri, Edimax IP Kameralardaki Kritik Zafiyeti Hedef Alıyor

2024 Veri İhlallerinin %95’i İnsan Hatasından Kaynaklandı

Mimecast tarafından yayımlanan yeni bir rapor, 2024 yılında gerçekleşen veri ihlallerinin %95’inin doğrudan insan hatasından kaynaklandığını ortaya koydu. Bu dikkat çekici bulgu, siber güvenlikte insan faktörünün hâlâ en zayıf halka olduğunu gösteriyor. İçeriden Gelen Tehditler Yükselişte Rapor, insan hatasının başlıca sebepleri olarak: İçeriden gelen tehditler Kimlik bilgisi kötüye kullanımı Kullanıcı kaynaklı hatalar gibi unsurları sıralıyor. Özellikle dikkat çeken bir veri: Personelin yalnızca %8’i, yaşanan güvenlik olaylarının %80’inden sorumlu tutuldu. Bu da az sayıda çalışanın ciddi ölçüde güvenlik riski oluşturduğunu gösteriyor. Yüksek Profilli Olaylar ve Maliyetler Raporda yer alan önemli örneklerden biri, Change Healthcare şirketine yönelik fidye yazılımı saldırısı. Bu olayda, bir çalışanın oltalama (phishing) e-postasına düşmesi sonucunda, tehdit aktörleri kurumsal ağa sızmayı başardı. Katılımcıların %43’ü, son 12 ayda içeriden gelen tehditlerde veya çalışan kaynaklı veri sızıntılarında artış yaşandığını belirtti. %66’sı, bu eğilimin önümüzdeki yıl daha da kötüleşeceğini öngörüyor. İçeriden gelen veri ifşalarının kurumlara ortalama maliyeti: 13,9 milyon dolar. Kurumlar Eğitim Veriyor Ama Endişeler Sürüyor Kurumların %87’si, çalışanlarına en az üç ayda bir siber farkındalık eğitimi veriyor. Ancak yöneticilerin %33’ü, çalışanların özellikle e-posta tehditlerine karşı hata yapmasından endişeli. %27’si ise, çalışan yorgunluğunun farkındalığı düşürerek güvenlik açıklarına yol açtığını düşünüyor. Yapay Zeka Hem Çözüm Hem Tehdit Kurumların %95’i, siber saldırılar ve içeriden gelen tehditlere karşı yapay zekâ kullanıyor. Ancak %55’i, yapay zekâ kaynaklı tehditlerle mücadelede yetersiz stratejilere sahip olduklarını itiraf ediyor. %81’lik kesim, üretken yapay zekâ (GenAI) araçları ile hassas verilerin sızdırılmasından endişe ediyor. Bu veriler, modern siber güvenlik stratejilerinde insan faktörünü göz ardı etmenin mümkün olmadığını bir kez daha gösteriyor. Kurumlar: Düzenli eğitimlerle farkındalık artırmalı Yorgunluk gibi psikolojik etkenleri göz önünde bulundurmalı Yapay zekâyı hem saldırı hem de savunma aracı olarak dikkatle analiz etmeli Siber güvenlikte sürdürülebilir başarı, sadece teknolojiye değil, aynı zamanda insana yatırım yapmakla da mümkündür.

Parola Yeniden Kullanımı 2025’te de En Büyük Siber Güvenlik Riski Olmayı Sürdürüyor

2025 yılı itibarıyla, parola yeniden kullanımı hâlâ en yaygın ve tehlikeli siber güvenlik açıklarından biri olmaya devam ediyor. Yeni paylaşılan veriler, çevrim içi güvenlik farkındalığının artmasına rağmen kullanıcıların aynı parolaları farklı hizmetlerde kullanma alışkanlığını terk etmediğini ortaya koyuyor. Sızdırılmış Parolalarla Gerçekleşen Girişler Endişe Veriyor Cloudflare tarafından Eylül – Kasım 2024 tarihleri arasında toplanan verilere göre: Şirketin koruma sağladığı web sitelerinde gerçekleşen başarılı girişlerin %41’i, daha önce veri sızıntılarında ifşa edilmiş parolalarla yapıldı. Kullanıcıların ortalama olarak aynı parolayı en az dört farklı hesapta kullandığı belirlendi. Tüm kimlik doğrulama isteklerinin %52’sinde daha önce sızdırılmış parolalar yer aldı (örnek olarak Have I Been Pwned - HIBP veritabanı üzerinden yapılan kontrollerle). En çarpıcı bulgu ise, bu tür giriş denemelerinin %95’inin botlar tarafından otomatik şekilde gerçekleştirilmesi oldu. Bu, yaygın bir kimlik bilgisi doldurma (credential stuffing) saldırı stratejisinin varlığına işaret ediyor. Otomasyon Sistemleri ve Zincirleme Etkiler Bu otomatik saldırılar, saniyede binlerce kullanıcı adı ve parola kombinasyonunu test ederek insanların parola tekrar kullanma alışkanlığını hedef alıyor. Sonuç olarak: Yetkisiz erişimler gerçekleşiyor, Veri hırsızlığı yaygınlaşıyor, Daha ileri düzey hesap ele geçirme ve kurumsal ihlaller meydana geliyor. WordPress Siteleri Özellikle Hedefte İçerik Yönetim Sistemleri (CMS) arasında en yaygın kullanılanlardan biri olan WordPress, bu saldırılardan orantısız şekilde etkileniyor. Giriş sayfasının kolay tanınabilir olması ve yaygın kullanım oranı, WordPress’i saldırganlar için cazip kılıyor. Analizler, sızdırılmış parola ile yapılan giriş denemelerinin %76’sının başarılı olduğunu gösteriyor. Bu başarılı girişlerin yaklaşık %48’i botlar tarafından gerçekleştiriliyor. Bu da, WordPress sitelerinin genellikle daha karmaşık hesap ele geçirme saldırılarının ilk adımı olarak kullanıldığını ortaya koyuyor. Web Sitesi Yöneticilerine Öneriler Web uygulaması ve site yöneticileri, sistemlerini aşağıdaki yöntemlerle güçlendirebilir: Sızdırılmış kimlik bilgilerini algılayan kontroller entegre edin İstek sınırlandırma (rate limiting) uygulayarak yoğun denemeleri engelleyin Bot yönetim araçları ile otomatik saldırıların etkisini en aza indirin Parola güvenliği, hem bireysel hem de kurumsal düzeyde siber güvenlik dayanıklılığı için temel bir unsurdur. Basit gibi görünen bu alışkanlık, ciddi sonuçlara yol açabilir. Bu nedenle, hem kullanıcıların hem de sistem yöneticilerinin aktif önlemler alması her zamankinden daha kritik rol oynamaktadır.

Mobil Bankacılık Kötü Amaçlı Yazılımlarında Endişe Verici Artış

2024 yılı, mobil bankacılık kötü amaçlı yazılımlarında rekor bir artışa sahne oldu. Yıl boyunca yaklaşık 248.000 kullanıcı, bu tehditlerle karşı karşıya kaldı. Bu sayı, 2023'teki 69.000 kullanıcıya kıyasla 3,6 katlık bir artışa işaret ediyor. Özellikle yılın ikinci yarısında belirginleşen bu yükseliş, siber suçluların finansal kazanç amacıyla mobil platformlara yöneldiğini gösteriyor. Finansal siber tehdit ortamı, bu eğilimle birlikte daha da karmaşık ve tehlikeli hâle geliyor. En Yaygın Tehdit: Mamont Araştırmalara göre, Mamont kötü amaçlı yazılım ailesi, tüm mobil bankacılık truva atı saldırılarının %36,7’sini oluşturuyor. İlk olarak 2023 sonunda ortaya çıkan Mamont, özellikle Rusya ve Bağımsız Devletler Topluluğu (BDT) ülkelerinde aktif. Bu zararlı yazılım, sofistike sosyal mühendislik taktikleriyle kullanıcıları hedef alıyor. Diğer öne çıkan tehditler arasında: Agent.rj varyantı (%11,14) UdangaSteal.b (%3,17) yer alıyor. Sosyal Mühendislik Taktikleri Securelist araştırmacıları, bu kötü amaçlı yazılımların kullanıcıları kandırmak için çeşitli aldatma teknikleri kullandığını belirtiyor. Bunlar arasında: “Bu fotoğraftaki sen misin?” gibi basit sosyal medya mesajları Sahte çevrimiçi mağazalar Sahte kargo takip uygulamaları gibi daha karmaşık senaryolar bulunuyor. Ne Yapabiliyorlar? Bu zararlı yazılımlar bir kez yüklendikten sonra: Kimlik bilgilerini çalabiliyor Kimlik doğrulama kodlarını yakalayabiliyor Yetkisiz finansal işlemler gerçekleştirebiliyor Yani, bir kullanıcının tüm dijital finansal varlıklarına erişim sağlanabiliyor. Türkiye: Önemli Hedeflerden Biri Türkiye, %5,68 oranıyla mobil bankacılık tehditlerinden en çok etkilenen ülkelerden biri. Bu oran, geçen yıla göre 2,7 puanlık bir artış anlamına geliyor. Diğer dikkat çeken ülkeler arasında: Endonezya (%2,71) Hindistan (%2,42) Azerbaycan (%0,88) yer alıyor. Bu ülkeler, küresel tehdit kampanyalarının hedefi hâline gelmiş durumda. Bulaşma Mekanizmaları Bulaşma süreci çoğunlukla sosyal mühendislik ile başlıyor. Kullanıcılar: Sahte uygulama mağazaları Kimlik avı (phishing) siteleri aracılığıyla kötü amaçlı yazılım içeren uygulamaları indiriyor. Yüklendikten sonra bu uygulamalar: SMS erişimi Bildirimlere erişim Erişilebilirlik hizmetleri gibi kapsamlı izinler talep ediyor. Bu izinler sayesinde, zararlı yazılım meşru bankacılık uygulamaları üzerine kimlik avı ekranları yerleştirebiliyor. Korunma Önerileri Uzmanlar, bu tehditlere karşı şu önlemleri tavsiye ediyor: Sadece resmi uygulama mağazalarından uygulama indirin Uygulama izin taleplerini dikkatlice inceleyin Güvenilir mobil güvenlik çözümleri kullanın Finansal hesaplar için çok faktörlü kimlik doğrulama (MFA) etkinleştirin Mobil cihazlar artık sadece iletişim araçları değil, aynı zamanda cüzdanlarımız, bankamız ve özel bilgilerimizin merkezi. Bu nedenle, mobil güvenlik her zamankinden daha kritik olduğunu unutmamak gerekiyor!

Broadcom’dan Kritik Güvenlik Güncellemesi: VMware Tools ve ESX

Broadcom, CVSS skoru 9.8 olan ve CVE-2025-22230 olarak izlenen yüksek dereceli bir kimlik doğrulama atlatma zafiyetini ele alan önemli bir güvenlik güncellemesi yayınladı. Bu zafiyet, özellikle VMware Tools for Windows kullanıcılarını ilgilendiriyor.   VMware Tools for Windows Nedir? VMware Tools for Windows, VMware Workstation, Fusion ve vSphere (ESXi) gibi VMware hipervizörleri üzerinde çalışan sanal makinelerin (VM) performansını ve kullanılabilirliğini artırmak amacıyla kullanılan yardımcı programlar paketidir.   CVE-2025-22230 Zafiyeti Bu kritik zafiyet, hatalı erişim kontrolü nedeniyle oluşuyor. Düşük ayrıcalıklı yerel saldırganlar, bu açığı kullanıcı etkileşimi olmadan basit saldırılarla istismar ederek savunmasız VM'lerde ayrıcalık yükseltmesi gerçekleştirebiliyorlar. Zafiyetin Etkilediği Sürümler: VMware Tools 12.x.x ve 11.x.x (Windows, Linux ve macOS) Güncellenmiş Sürüm: VMware Tools 12.5.1, bu güvenlik açığını gidermektedir. Şirket, bu açığın şu an aktif olarak istismar edilip edilmediğine dair herhangi bir bilgi paylaşmamıştır.   Mart Ayında Üç Yeni Zero-Day Zafiyeti Giderildi Mart ayının başlarında Broadcom, VMware’in çeşitli ürünlerinde yer alan ve aktif olarak istismar edilen üç sıfır gün (zero-day) zafiyetini daha güvenlik güncellemeleri ile kapattı. Söz konusu zafiyetler: CVE-2025-22224 CVE-2025-22225 CVE-2025-22226 Etkilenen Ürünler: VMware ESXi vSphere Workstation Fusion Cloud Foundation Telco Cloud Platform Broadcom, bu açıkların gerçek dünyada istismar edildiğine dair somut bilgiye sahip olduğunu da doğruladı.   VMSA-2025-0004 Güvenlik Danışma Dokümanı 4 Mart 2025’te, Broadcom tarafından yayınlanan kritik güvenlik danışma dokümanı (VMSA-2025-0004), bu zafiyetlerin detaylarını ve çözüm yollarını içeriyor. Açıklamada şu ifadelere yer veriliyor: “Bu zafiyetler, tehdit aktörlerinin çalışan bir sanal makine üzerinden hipervizöre erişebileceği bir mekanizmayı kapsamaktadır.” Bu durum, güvenlik açısından "VM Escape" (Sanal Makineden Kaçış) olarak bilinen son derece tehlikeli bir senaryoya işaret ediyor. Broadcom’un yayınladığı bu güncellemeler, sanallaştırma ortamlarında çalışan sistem yöneticileri ve güvenlik ekipleri için oldukça kritik önem taşıyor. Tüm kullanıcıların güncellemeleri acilen uygulaması ve ortamlarını bu yüksek riskli açıklardan koruması şiddetle tavsiye edilir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Mirai Botnetleri, Edimax IP Kameralardaki Kritik Zafiyeti Hedef Alıyor

Mirai tabanlı botnetler, yakın zamanda keşfedilen CVE-2025-1316 sıfır gün zafiyetini kullanarak Edimax IP kameralarında uzaktan komut çalıştırma gerçekleştirmektedir. Bu durum, ev ve küçük ofis ağlarında yaygın olarak kullanılan bu cihazları büyük bir siber tehdit haline getirmiştir. CISA'dan Kritik Uyarı ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Edimax IC-7100 model IP kameraları etkileyen bu zafiyetle ilgili resmi bir güvenlik uyarısı yayınladı. Zafiyet ID’si: CVE-2025-1316 Zafiyet Türü: İşletim Sistemi Komutu Enjeksiyonu (OS Command Injection) CVSS Skoru: 9.8 (Kritik) Zafiyet, cihazların gelen istekleri düzgün bir şekilde filtreleyememesi nedeniyle ortaya çıkmakta. Bir saldırgan, özel olarak hazırlanmış HTTP istekleri göndererek, cihaz üzerinde uzaktan kod çalıştırma (Remote Code Execution - RCE) yapabiliyor. Mirai Tabanlı Botnetlerin Yeni Hedefi Akamai araştırmacıları, bu zafiyetin aktif olarak istismar edildiğini doğruladı. Gözlemlerine göre, birden fazla Mirai tabanlı botnet, bu açıklığı kullanarak: Uzaktaki bir sunucudan zararlı bir kabuk betiği (shell script) indiriyor, Edimax IC-7100 IP kameralarına bu zararlı yazılımı yüklüyor, Cihazları botnet ağına dahil ederek DDoS gibi büyük çaplı saldırılarda kullanıyor. Güncelleme Mevcut Değil Bu zafiyet, tüm Edimax IC-7100 IP kamera sürümlerini etkilemekte ve ne yazık ki cihazlar kullanım ömrü sonlanmış (end-of-life) kategorisinde yer alıyor. Henüz bir güvenlik güncellemesi yayınlanmadı. Üretici firma, Ekim 2024’te bilgilendirilmesine rağmen CISA ve Akamai’ye geri dönüş yapmadı. Ayrıca, Akamai, bu zafiyetin yalnızca IC-7100 modeliyle sınırlı kalmayıp diğer Edimax cihazlarını da etkileyebileceği konusunda uyarıda bulunuyor. Ne Yapmalı? Kullanıcıların ve kurumların şu önlemleri alması önerilmektedir: Edimax IC-7100 kameralarını ağdan izole etmek veya devre dışı bırakmak, Cihaz üzerinde dışa açık portlar varsa erişimi kısıtlamak, Ağ trafiğini izleyerek şüpheli dış bağlantıları engellemek, Mümkünse cihazı daha güncel ve desteklenen modellerle değiştirmek. CVE-2025-1316, internet bağlantılı cihazlar üzerinden gelen tehditlerin ne kadar hızlı ve agresif şekilde evrim geçirdiğini bir kez daha gözler önüne seriyor. Destek süresi dolmuş cihazların hâlâ kritik altyapılarda kullanılıyor olması, siber güvenlik açısından ciddi riskler barındırıyor.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Şubat 2025

 

Bültenimizin Şubat Ayı konu başlıkları;  2025’te Fidye Yazılım Grupları Büyümeye Devam Ediyor Palo Alto PAN-OS Kimlik Doğrulama Bypass Güvenlik Açığı Massive Brute Force Saldırısı, 2.8 milyon IP ile Saldırıyor VO1D Botnet 226 ülkede 1.59m enfekte Android TV Yönetiyor SonicWall Firewall Authentication Bypass Zafiyeti

2025’te Fidye Yazılım Grupları Büyümeye Devam Ediyor

2024 yılında küresel fidye yazılımı (ransomware) saldırıları 2023’e göre %11’lik bir artış gösterdi. Yılın başında düşük seyreden saldırılar, ikinci çeyrekte (Q2) artış gösterdi ve dördüncü çeyrekte (Q4) zirveye ulaştı. LockBit gibi büyük gruplara yönelik kolluk kuvvetlerinin müdahaleleri nedeniyle bu gruplar parçalandı ve daha küçük grupların rekabeti arttı. Sonuç olarak, aktif fidye yazılımı gruplarının sayısı %40 artarak 2023’teki 68’den 2024’te 95’e yükseldi. Yeni Fidye Yazılımı Grupları 2023 yılında 27 yeni fidye yazılımı grubu ortaya çıkmışken, 2024'te bu sayı büyük bir artış göstererek 46’ya ulaştı. Özellikle yılın ilerleyen dönemlerinde, Q4 2024 itibarıyla 48 aktif fidye yazılımı grubu tespit edildi. 2024 yılında ortaya çıkan 46 yeni grup içinde RansomHub, en baskın hale gelerek LockBit'in faaliyetlerini geride bıraktı. Bu yazıda, RansomHub, Fog ve Lynx adlı yeni oyuncuları ve 2024 üzerindeki etkilerini, kökenlerini ve saldırı taktiklerini inceleyeceğiz.   RansomHub RansomHub, 2024'ün en büyük fidye yazılımı grubu olarak öne çıktı ve Şubat 2024'teki başlangıcından itibaren 531 saldırı gerçekleştirdi. FBI’ın ALPHV'yi çökertmesinin ardından, RansomHub onun "manevi halefi" olarak görülüyor ve eski ALPHV ortaklarını içerdiği düşünülüyor. Bir Hizmet Olarak Fidye Yazılımı (RaaS) modeliyle çalışan RansomHub, sıkı ortaklık anlaşmaları uyguluyor. Kurallara uymayan ortaklar, işbirliklerinden men ediliyor. Fidye gelirleri %90 ortaklara, %10 RansomHub ekibine gidiyor. RansomHub, küresel bir hacker topluluğuna hitap ettiğini iddia etse de Rusya'ya bağlı ülkelere saldırmıyor (CIS ülkeleri, Küba, Kuzey Kore, Çin ve kâr amacı gütmeyen kuruluşlar). Bu, Rus fidye yazılım ekosistemiyle bağlantılı olabileceğini gösteriyor. Cyberint'in Ağustos 2024 bulgularına göre saldırılarının yalnızca %11.2'si ödeme ile sonuçlandı (190 saldırıdan 20’si). RansomHub, az ödeme almasına rağmen yüksek saldırı hacmiyle kârlılığı hedefliyor.   Fog Fidye Yazılımı Fog fidye yazılımı, Nisan 2024'te ortaya çıktı ve özellikle ABD'deki eğitim kurumlarını hedef aldı. Saldırı sayısı: 2024’te 87 kuruluş Saldırı yöntemi: Çalınmış VPN kimlik bilgileri Çift tehdit (double extortion): Ödeme yapılmazsa, veriler TOR tabanlı bir sızıntı sitesinde yayınlanıyor. Saldırı yöntemi: Arctic Wolf'un Kasım 2024 raporuna göre, Fog 30’dan fazla saldırı gerçekleştirdi ve bunların çoğu SonicWall VPN hesapları üzerinden yapıldı. %75'i Akira fidye yazılımıyla bağlantılı, geri kalanı Fog grubuna ait. Fog, eğitim sektörü dışında iş hizmetleri, seyahat ve üretim sektörlerini de hedef alıyor. Fog fidye yazılımı, erişim sağladıktan sonra 2 saat içinde şifreleme işlemini tamamlıyor.     Lynx Fidye Yazılımı Lynx, çift tehdit (double extortion) stratejisi kullanan aktif bir fidye yazılım grubu olarak dikkat çekiyor. 2024’te 70'ten fazla kurbanı oldu. Hedefler: Devlet kurumları, hastaneler, kâr amacı gütmeyen kuruluşlar ve kritik altyapılar dışında birçok sektörü hedef alıyor. Saldırı yöntemi: Sisteme girdikten sonra .LYNX uzantısı ile dosyaları şifreliyor ve farklı dizinlere README.txt adında fidye notu bırakıyor.     2025'te Fidye Yazılımı (Ransomware) Gruplarınde Neler Olacak   2025’te RansomHub gibi yeni liderlerin çıkması bekleniyor. Küçük ve orta ölçekli gruplar, daha büyük grupların boşluklarını doldurmak için hızla organize olabilir. Rusya, Çin ve Kuzey Kore gibi devlet destekli grupların daha sofistike saldırılar geliştirmesi bekleniyor. Saldırganlar, daha az tespit edilen sıfır gün açıklarını ve sosyal mühendislik taktiklerini daha sık kullanabilir. Sağlık sektörü, finans, üretim ve eğitim kurumları daha büyük risk altında olacak. Küçük ve orta ölçekli işletmeler (KOBİ'ler) daha fazla hedef alınabilir çünkü genellikle güçlü güvenlik önlemleri bulunmuyor. Çift tehdit (double extortion): Verileri şifrelemenin yanı sıra, çalınan bilgileri sızdırmakla tehdit eden gruplar yaygınlaşacak. Hizmet olarak fidye yazılımı (RaaS) büyümeye devam edecek, bu da fidye yazılımının daha erişilebilir olmasını sağlayacak. Daha fazla şirket APT (İleri Seviye Tehdit Algılama ve Engelleme) çözümlerine, sıfır güven mimarisine ve yapay zeka destekli güvenlik çözümlerine yatırım yapacak.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Palo Alto PAN-OS Kimlik Doğrulama Bypass Güvenlik Açığı

Palo Alto Networks, PAN-OS yazılımında kimlik doğrulama atlamasına neden olabilecek yüksek öneme sahip bir güvenlik açığını giderdi. CVE-2025-0108 : Palo Alto Networks PAN-OS yazılımında bulunan bir kimlik doğrulama atlama açığı, yönetim web arayüzüne ağ erişimi olan kimliği doğrulanmamış bir saldırganın, normalde PAN-OS yönetim web arayüzü tarafından talep edilen kimlik doğrulamasını atlamasına ve belirli PHP komut dosyalarını çalıştırmasına olanak tanır. Etkilenen PAN-OS Sürümleri   PAN-OS Sürümü  Etkilenen Versiyonlar  Düzeltildiği Sürüm PAN-OS 11.2 < 11.2.4-h4 >= 11.2.4-h4 PAN-OS 11.1 < 11.1.6-h1 >= 11.1.6-h1 PAN-OS 11.0 EOL (Desteklenmiyor) Güncellenmeli PAN-OS 10.2 < 10.2.13-h3 >= 10.2.13-h3 PAN-OS 10.1 < 10.1.14-h9 >= 10.1.14-h9 Güvenlik araştırmacısı Adam Kues, bu açığın, arayüzdeki Nginx ve Apache bileşenlerinin gelen istekleri farklı şekilde ele alması nedeniyle oluşan bir dizin geçiş (directory traversal) saldırısı olduğunu belirtti. Diğer Güvenlik Açıkları Palo Alto Networks ayrıca şu iki güvenlik açığını da giderdi: CVE-2025-0109 (CVSS puanı: 5.5) PAN-OS yönetim web arayüzünde, ağ erişimi olan kimliği doğrulanmamış bir saldırganın "nobody" kullanıcısı olarak belirli dosyaları (bazı loglar ve yapılandırma dosyaları dahil) silmesine olanak tanıyan bir güvenlik açığı. Düzeltildiği sürümler: 11.2.4-h4, 11.1.6-h1, 10.2.13-h3, 10.1.14-h9 CVE-2025-0110 (CVSS puanı: 7.3) PAN-OS OpenConfig eklentisinde, kimliği doğrulanmış bir yöneticinin gNMI istekleri yaparak sistem kısıtlamalarını atlatmasına ve keyfi komutlar çalıştırmasına olanak tanıyan bir komut enjeksiyonu güvenlik açığı. Düzeltildiği sürüm: PAN-OS OpenConfig Plugin 2.1.2 Riskin Azaltılması İçin Alınabilecek Önlemler Bu güvenlik açıklarından kaynaklanan riski azaltmak için şu adımlar önerilmektedir: İnternete veya güvenilmeyen ağlara açık yönetim arayüzlerini devre dışı bırakmak. OpenConfig kullanmayan müşterilerin bu eklentiyi devre dışı bırakmaları veya kaldırmaları.   CVE-2025-0108 Aktif Olarak Sömürülüyor! Tehdit istihbarat firması GreyNoise, Palo Alto Networks PAN-OS’u etkileyen bu yeni kimlik doğrulama atlama açığının aktif olarak sömürüldüğünü bildiriyor. GreyNoise tarafından paylaşılan verilere göre, saldırılar ABD, Çin ve İsrail'deki beş benzersiz IP adresinden kaynaklanıyor. "Bu yüksek öneme sahip güvenlik açığı, kimliği doğrulanmamış saldırganların belirli PHP komut dosyalarını çalıştırmasına izin vererek, savunmasız sistemlere yetkisiz erişim sağlama potansiyeli taşır." — GreyNoise Araştırma Ekibi   Palo Alto Networks'ten Açıklama: Aktif Sömürü Teyit Edildi Palo Alto Networks, yaptığı bir açıklamada, CVE-2025-0108 güvenlik açığının aktif olarak sömürüldüğünü doğruladı ve müşterilere derhal güvenlik güncellemelerini uygulamaları çağrısında bulundu: "Müşterilerimizin güvenliği en büyük önceliğimizdir. Palo Alto Networks, PAN-OS web yönetim arayüzünde bulunan bir güvenlik açığı (CVE-2025-0108) üzerine aktif sömürü girişimlerinin olduğunu doğrulamıştır. Bu güvenlik açığı, CVE-2024-9474 gibi diğer güvenlik açıklarıyla zincirleme olarak kullanılırsa, yamalanmamış ve güvenli olmayan güvenlik duvarlarına yetkisiz erişim sağlanabilir."   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Massive Brute Force Saldırısı, 2.8 milyon IP ile Saldırıyor

Palo Alto Networks, Ivanti ve SonicWall gibi birçok ağ cihazının kimlik bilgilerini tahmin etmeye çalışan, 2,8 milyon IP adresi kullanılarak gerçekleştirilen büyük ölçekli bir brute force şifre saldırısı devam ediyor. Brute force saldırısı, tehdit aktörlerinin birçok kullanıcı adı ve parola kombinasyonunu tekrar tekrar deneyerek doğru olanı bulmaya çalıştıkları bir saldırı türüdür. Doğru kimlik bilgilerine eriştiklerinde, saldırganlar cihazları ele geçirebilir veya bir ağa erişim sağlayabilirler. Bu IP adreslerinin çoğu (1,1 milyonu) Brezilya'dan, ardından Türkiye, Rusya, Arjantin, Fas ve Meksika’dan geliyor. Ancak saldırılara çok sayıda farklı ülkeden katılım olduğu belirtiliyor. Hedeflenen Cihazlar ve Kullanılan Araçlar Bu saldırılar güvenlik duvarları (firewall), VPN’ler, ağ geçitleri (gateway) ve diğer güvenlik cihazları gibi internete açık kenar (edge) güvenlik cihazlarını hedef alıyor. Bu cihazlar genellikle uzaktan erişimi kolaylaştırmak amacıyla internete maruz bırakılıyor. Saldırıları gerçekleştiren cihazlar büyük ölçüde MikroTik, Huawei, Cisco, Boa ve ZTE yönlendiriciler (router) ve IoT cihazlarıdır. Bu tür cihazlar genellikle büyük kötü amaçlı yazılım botnetleri tarafından ele geçirilmiş oluyor.     Botnet ve Residential Proxy Kullanımı Shadowserver ayrıca saldırı gerçekleştiren IP adreslerinin birçok farklı ağ ve Otonom Sistem (AS) arasında dağıldığını ve büyük olasılıkla bir botnet veya residential proxy (ev tipi vekil sunucu) ağıyla ilişkili olduğunu belirtti. Residential proxy’ler, internet servis sağlayıcıları (ISP) tarafından tüketici müşterilerine atanan IP adresleridir ve bu nedenle siber suç, veri kazıma (scraping), coğrafi kısıtlamaları aşma, reklam doğrulama, sneaker/ticket botları gibi birçok yasa dışı faaliyet için oldukça rağbet görmektedir. Bu proxy’ler internet trafiğini ev ağları üzerinden yönlendirerek, kullanıcının bir bot, veri kazıyıcı veya hacker yerine sıradan bir ev kullanıcısı gibi görünmesini sağlar. Bu saldırılarda hedef alınan ağ geçidi cihazları (gateway), residential proxy operasyonlarında bir çıkış noktası olarak kullanılabilir ve bu da kötü amaçlı trafiğin bir kurumsal ağ üzerinden yönlendirilmesine yol açabilir. Bu tür düğümler (nodes) “yüksek kaliteli” olarak kabul edilir, çünkü organizasyonların genellikle iyi bir itibarı vardır ve saldırıları tespit etmek ve durdurmak daha zordur.     Geçmişteki Benzer Büyük Ölçekli Brute Force Saldırıları     📌 Geçen Nisan ayında, Cisco dünya çapında Cisco, CheckPoint, Fortinet, SonicWall ve Ubiquiti cihazlarını hedef alan büyük ölçekli bir kimlik bilgisi brute force saldırısı hakkında uyarıda bulunmuştu. 📌 Geçen Aralık ayında ise, Citrix dünya çapında Citrix Netscaler cihazlarını hedef alan parola püskürtme (password spray) saldırıları konusunda uyarılar yayınlamıştı.

VO1D Botnet 226 ülkede 1.59m enfekte Android TV Yönetiyor

Brezilya, Güney Afrika, Endonezya, Arjantin ve Tayland, Vo1d adlı bir botnet zararlısı tarafından enfekte edilen Android TV cihazlarını hedef alan bir kampanyanın odak noktası haline geldi. Vo1d'un geliştirilmiş varyantının, günlük 800.000 aktif IP adresini kapsadığı ve botnet'in 19 Ocak 2025'te 1.590.299 zirveye ulaştığı bildirildi. Bu saldırılar, 226 ülke ve bölgeye yayılmış durumda. 25 Şubat 2025 itibarıyla, Hindistan’da enfekte olan cihazların oranı %1’in altındayken (3.901 cihaz), %18,17’ye (217.771 cihaz) yükseldi. QiAnXin XLab; "Vo1d, gizlilik, dayanıklılık ve tespit edilmezlik yeteneklerini geliştirmek için evrim geçirdi, RSA şifreleme, ağ iletişimini güvence altına alarak komuta ve kontrol (C2) sunucusunun ele geçirilmesini önlüyor. Her yük, XXTEA şifreleme ve RSA korumalı anahtarlar içeren benzersiz bir indirici kullanıyor, bu da analiz edilmesini zorlaştırıyor." Bu zararlı yazılım ilk olarak Eylül 2024'te Doctor Web tarafından belgelendi ve Android tabanlı TV kutularına yönelik bir arka kapı olarak tanımlandı. C2 sunucusundan gelen talimatlara göre ek çalıştırılabilir dosyalar indirip çalıştırma yeteneğine sahip. Cihazların nasıl ele geçirildiği tam olarak belli değil, ancak tedarik zinciri saldırısı veya yerleşik root erişimi içeren resmi olmayan üretici yazılımı (firmware) kullanımı ihtimali üzerinde duruluyor. Google, The Hacker News’e yaptığı açıklamada, enfekte cihazların "markasız" TV modelleri olduğunu, Play Protect sertifikasına sahip Android cihazlar olmadığını ve büyük ihtimalle Android Açık Kaynak Projesi (AOSP) kod deposundan alınan kaynak kodu kullandıklarını belirtti. Bu zararlı yazılım kampanyasının büyük ölçekli bir operasyon olarak yürütüldüğü ve temel amacının bir vekil (proxy) ağı oluşturmak ve reklam tıklama dolandırıcılığı yapmak olduğu belirtiliyor. XLab, botnet’in bölgesel olarak suç örgütlerine kiralandığını, bu yüzden aktivitenin dalgalanma gösterdiğini öne sürüyor. Bu model, "kira-iade" döngüsü (rental-return cycle) olarak tanımlanıyor; yani botlar belli bir süre boyunca yasa dışı operasyonlara olanak sağlıyor, ardından daha büyük Vo1d ağına geri katılıyor. Bu yük, C2 sunucusuyla iletişim kurmak için tasarlanmıştır. Şifrelenmiş sıkıştırılmış paket (ts01) şu dört dosyayı içerir: install.sh cv vo1d x.apk Zararlı yazılım öncelikle bir kabuk betiği (shell script) çalıştırarak cv bileşenini başlatır. Bu bileşen daha sonra hem vo1d modülünü hem de Android uygulamasını kurup çalıştırır. Vo1d modülünün ana işlevi, gömülü bir yükü (payload) şifreyi çözüp yüklemek, bir arka kapı oluşturmak ve C2 sunucusuyla iletişim sağlayarak yeni zararlıları indirmek ve çalıştırmaktır.     Zararlı Android Uygulaması: Sahte Google Play Hizmetleri Zararlı Android uygulaması, "com.google.android.gms.stable" paket adını taşıyor, bu da gerçek Google Play Hizmetleri’ni ("com.google.android.gms") taklit etmek amacı taşıyor. Bu sayede tespit edilmekten kaçınarak sistemde kalıcı hale geliyor. Bunu yapmak için cihaz her yeniden başlatıldığında otomatik olarak çalışmasını sağlayan "BOOT_COMPLETED" olayını dinliyor. Ayrıca vo1d modülüne benzer işlevlere sahip iki ek bileşeni başlatıyor. Vo1d'un hizmetlerinin diğer tehdit aktörlerine kiralanıyor olabileceği düşünülüyor.

SonicWall Firewall Authentication Bypass Zafiyeti

Siber güvenlik firmaları, CVE-2024-53704 olarak izlenen SonicWall güvenlik duvarlarındaki kritik kimlik doğrulama atlatma açığının artık gerçek saldırılarda aktif olarak kullanıldığını bildirdi. Bu saldırılardaki artış, 10 Şubat 2025'te Bishop Fox araştırmacıları tarafından kamuya açık olarak yayınlanan kanıtlanmış kavram (PoC) sömürü kodunun ardından hız kazandı ve yamalanmamış cihazları olan kuruluşlar için riskleri artırdı. CVE-2024-53704, CVSS ölçeğinde 9,3 puanla derecelendirilen ve SonicOS işletim sisteminin SSL VPN kimlik doğrulama mekanizmasında bulunan bir güvenlik açığıdır. Bu işletim sistemi, SonicWall’ın Gen 6, Gen 7 ve TZ80 güvenlik duvarlarını çalıştırmaktadır. Bu açığın başarılı bir şekilde sömürülmesi, çok faktörlü kimlik doğrulamanın (MFA) atlatılmasına, özel ağ yollarının açığa çıkmasına ve yetkisiz kullanıcıların iç kaynaklara erişmesine olanak tanır. Ayrıca, ele geçirilen oturumlar sayesinde tehdit aktörleri meşru kullanıcı bağlantılarını sonlandırabilir. CVE-2024-53704’ün Gerçek Saldırılarda Kullanımı SonicWall, bu güvenlik açığını 7 Ocak 2025'te açıkladı ve derhal yamaların uygulanması gerektiğini duyurdu. O dönemde, şirket bu açığın aktif olarak sömürüldüğüne dair bir kanıt olmadığını belirtmişti. Ancak Bishop Fox’un PoC yayınlaması, saldırganlar için sömürme eşiğini önemli ölçüde düşürdü. 12 Şubat itibarıyla, Arctic Wolf güvenlik araştırmacıları, öncelikli olarak sanal özel sunucular (VPS) üzerinden gelen ondan az farklı IP adresinden saldırı girişimleri tespit etti. Güvenlik analistleri, SonicWall cihazlarının tarihsel olarak fidye yazılım grupları (Akira, Fog) tarafından hedef alınması nedeniyle güvenlik açığının hızla silahlandırıldığını belirtiyor. Etkilenen firmware sürümleri: SonicOS 7.1.x (7.1.1-7058’e kadar) SonicOS 7.1.2-7019 SonicOS 8.0.0-8035 Yamalanmış sürümler, Ocak 2025'te yayınlandı: SonicOS 8.0.0-8037 SonicOS 7.1.3-7015

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.