07 Ekim 2025

Siber Güvenlik Bülteni - Eylül 2025


Bültenimizin Eylül Ayı konu başlıkları; 
    • SAP NetWeaver ve S/4HANA’da Kritik Güvenlik Zafiyetleri 
    • Fortinet FortiDDoS-F Ürünlerinde Komut Enjeksiyonu Zafiyeti
    • GoAnywhere MFT’te Kritik Güvenlik Zafiyeti
    • Jaguar Land Rover, Siber Saldırı Sonrası Üretimi Askıya Aldı

    SAP NetWeaver ve S/4HANA’da Kritik Güvenlik Zafiyetleri

    SAP, kod yürütülmesine ve rastgele dosya yüklemeye yol açabilecek birden fazla güvenlik açığı için güvenlik güncellemeleri yayımladı; bunların arasında SAP NetWeaver’daki üç kritik zafiyet bulunuyor.

    Zafiyetler aşağıda listelenmiştir

    CVE-2025-42944 (CVSS skoru: 10.0) — SAP NetWeaver’daki bir deserialization açığı; kimliği doğrulanmamış bir saldırganın RMI-P4 modülü aracılığıyla açık bir porta kötü niyetli bir yük göndererek işletim sistemi komutlarını çalıştırmasına izin verebilir.

    CVE-2025-42922 (CVSS skoru: 9.9) — SAP NetWeaver AS Java’daki güvensiz dosya işlemleri açığı; yönetici olmayan bir kullanıcının rastgele bir dosya yüklemesine izin verebilir.

    CVE-2025-42958 (CVSS skoru: 9.1) — IBM i-series üzerindeki SAP NetWeaver uygulamasında kimlik doğrulama denetimi eksikliği; yüksek ayrıcalıklı ancak yetkisiz kullanıcıların hassas bilgileri okumasına, değiştirmesine veya silmesine ve ayrıca yönetici ya da ayrıcalıklı işlevlere erişmesine izin verebilir.

    CVE-2025-42944 kimliği doğrulanmamış bir saldırganın RMI-P4 modülü aracılığıyla açık bir porta kötü niyetli bir yük göndererek rastgele işletim sistemi komutları çalıştırmasına izin veriyor. Başarılı bir kötüye kullanım uygulamanın tam olarak ele geçirilmesine yol açabilir. Geçici bir çözüm olarak müşteriler bilinmeyen ana makinelerin P4 portuna bağlanmasını önlemek için ICM seviyesinde P4 portu filtrelemesi eklemelidir.

    SAP tarafından ayrıca, yüksek önem derecesine sahip bir girdi doğrulama hatası olan ve SAP S/4HANA’da (CVE-2025-42916, CVSS skoru: 8.1) düzeltilen bir zafiyet ele alındı; yüksek ayrıcalıklı ABAP raporlarına erişimi olan bir saldırganın, eğer tablolar bir yetkilendirme grubu ile korunmuyorsa, rastgele veritabanı tablolarının içeriğini silmesine izin verebilir.

    Yeni zafiyetlerin saldırganlar tarafından istismar edildiğine dair bir kanıt olmamasına rağmen, optimal koruma için kullanıcıların gerekli güncellemeleri mümkün olan en kısa sürede uygulaması hayati önem taşımaktadır.

    Fortinet FortiDDoS-F Ürünlerinde Komut Enjeksiyonu Zafiyeti

    Fortinet, ayrıcalıklı bir saldırganın yetkisiz komutlar çalıştırmasına olanak tanıyabilecek orta düzey bir güvenlik açığını FortiDDoS-F ürün serisinde açıkladı.

    CVE-2024-45325 olarak takip edilen bu zafiyet, ürünün komut satırı arayüzünde (CLI) bulunan bir işletim sistemi (OS) komut enjeksiyonu zafiyetidir.

    Bu zafiyet, CWE-78 olarak tanımlanmıştır ve işletim sistemi komutlarında kullanılan özel öğelerin yetersiz şekilde temizlenmesinden (improper neutralization) kaynaklanmaktadır.

    Yüksek ayrıcalıklara ve sistemde yerel erişime sahip bir saldırgan, CLI’ye özel olarak hazırlanmış istekler göndererek bu zayıflığı istismar edebilir.

    Başarılı bir istismar, saldırgana uygulamanın izinleriyle rastgele kod veya komut çalıştırma yetkisi verir; bu da sistemin tamamen ele geçirilmesiyle sonuçlanabilir.

    Bu güvenlik açığına CVSSv3 puanı 6.5 verilmiş olup, orta düzey önem kategorisindedir.

    CVSS vektörü:
    AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    Bu vektör, saldırganın yerel erişime ve yüksek düzey ayrıcalıklara ihtiyaç duyduğunu, kullanıcı etkileşiminin gerekmediğini belirtmektedir.

    Yüksek ayrıcalık gereksinimine rağmen, gizlilik (confidentiality)bütünlük (integrity) ve erişilebilirlik (availability) üzerindeki potansiyel etki yüksektir..

    Etkilenen Sürümler ve Önlemler

    Fortinet, FortiDDoS-F’in birden fazla sürümünün bu zafiyetten etkilendiğini doğrulamıştır.

    FG-IR-24-344 danışmanlığı, 9 Eylül 2025’te yayımlanmış olup, etkilenen sürümler ve yöneticiler için önerilen adımlar detaylı şekilde açıklanmıştır.
     

    FortiDDoS-F 7.2Etkilenmez--
    FortiDDoS-F 7.07.0.0 - 7.0.27.0.3 veya daha üst versiyona yükseltin
    FortiDDoS-F 6.6Tüm versiyonlar  Sabit bir versiyona geçin
    FortiDDoS-F 6.5Tüm versiyonlar
     Sabit bir versiyona geçin
    FortiDDoS-F 6.4Tüm versiyonlar
     Sabit bir versiyona geçin
    FortiDDoS-F 6.3Tüm versiyonlar
     Sabit bir versiyona geçin
    FortiDDoS-F 6.2Tüm versiyonlar
     Sabit bir versiyona geçin
    FortiDDoS-F 6.1Tüm versiyonlar
     Sabit bir versiyona geçin

    Etkilenen sürümleri çalıştıran yöneticilerin, önerilen yamaları hemen uygulamaları veya güvenli sürüme geçiş yapmaları şiddetle tavsiye edilmektedir.

    • FortiDDoS-F 7.0 kullanan kurumların derhal 7.0.3 sürümüne yükseltmeleri gerekmektedir.
    • 6.1 ile 6.6 arasındaki eski sürümleri kullananların ise güvenli bir sürüme geçiş planı yapmaları önerilmektedir.

    GoAnywhere MFT’te Kritik Güvenlik Zafiyeti

    FortraGoAnywhere güvenli yönetilen dosya aktarım (MFT) yazılımında bulunan ve komut enjeksiyonu için istismar edilebilecek kritik bir güvenlik zafiyeti için yamalar yayımladı.

    GoAnywhere MFT, kuruluşların iş ortaklarıyla veri alışverişini otomatikleştirmesine ve güvence altına almasına olanak tanıyan kurumsal bir uygulamadır.

    Bu zafiyet, CVE-2025-10035 olarak takip ediliyor ve CVSS skoru 10 olan kritik bir hata olarak tanımlanıyor.

    Zafiyet, uygulamanın lisans servlet’ini etkileyen, güvenilmeyen verilerin ayrıştırılması (deserialization of untrusted data) sorunundan kaynaklanıyor.

    Fortra’nın güvenlik duyurusuna göre, bu hata, “geçerli şekilde sahte bir lisans yanıt imzası oluşturan bir saldırganın, keyfi olarak kendi kontrolündeki bir nesneyi ayrıştırmasına (deserialize etmesine) ve bu sayede komut enjeksiyonu gerçekleştirmesine” olanak tanıyor.

    Bu zafiyetin başarılı bir şekilde istismar edilmesi, kimliği doğrulanmamış saldırganların savunmasız GoAnywhere MFT örneklerinde uzaktan kod yürütme (RCE) elde etmelerini sağlayabilir.

    Fortra, güvenlik zafiyeti için yamaları GoAnywhere MFT 7.8.4 sürümüne ve GoAnywhere MFT Sustain 7.6.3 sürümüne ekledi ve müşterilerini, GoAnywhere Yönetim Konsolu’nun (Admin Console) kamuya (internete) açık olmamasını sağlamaları konusunda uyardı.

    Bu güvenlik açığının istismarı, sistemlerin internete dışa açık olmasına büyük ölçüde bağlıdır.
     
    Fortra, müşterilere ayrıca Admin Audit loglarını şüpheli etkinlikler için izlemelerini ve log dosyalarında “SignedObject.getObject:” dizesini içeren hata kayıtlarını kontrol etmelerini tavsiye ediyor; bu ifade, sistemin zafiyetten etkilendiğini gösterebilir.
     
    Ancak Fortra, bu zafiyetin hali hazırda istismar edildiğine dair herhangi bir bulgu olmadığını belirtiyor; Rapid7 de henüz kamuya açık bir istismar kodu görmediklerini ifade etti.

    Bununla birlikte, ürünün doğası ve geçmişi göz önünde bulundurulduğunda, bu yeni güvenlik açığı önemli bir tehdit olarak değerlendirilmelidir.

    2023 yılında, kötü şöhretli Cl0p fidye yazılımı operasyonuyla bağlantılı bilgisayar korsanları, Fortra’nın dosya aktarım ürünündeki sıfırıncı gün (zero-day) bir açığı (CVE-2023-0669) istismar ederek müşteri ortamlarında yetkisiz hesaplar oluşturmuş ve çok sayıda kuruluştan veri çalmıştı.

    Jaguar Land Rover, Siber Saldırı Sonrası Üretimi Askıya Aldı

    Jaguar Land Rover (JLR), yakın zamanda yaşanan bir siber saldırının ardından üretim faaliyetlerini üçüncü haftaya kadar askıya alacağını ve en az 24 Eylül’e kadar operasyonların durdurulacağını açıkladı fakat henüz tam anlamıyla üretim faaliyetleri devreye giremedi.

    Jaguar Land Rover (JLR), İngiltere’nin Coventry kentindeki Whitley bölgesinde merkezi bulunan lüks araç üreticisidir. Şirket, Jaguar ve Land Rover markalarını birleştirmektedir. 2008 yılından bu yana Hindistan merkezli Tata Motors’a ait olan JLR, daha önce Ford’un mülkiyetindeydi. JLR, 120’den fazla ülkede araç satmakta olup en büyük pazarları Avrupa, Kuzey Amerika ve Çin’dir.

    Eylül ayının başında Jaguar Land Rover, üretim ve perakende operasyonlarını aksatan bir siber saldırıyı önlemek amacıyla sistemlerini kapattı. Saldırı, Solihull üretim tesisindeki sistemleri de etkiledi.

    İngiltere’deki bayiler, saldırının araç tescil işlemleri ve yedek parça tedarikini engellediğini bildirdi.

    Şirket ilk açıklamasında, müşteri verilerinin ihlal edilmediğini belirtti:

    “JLR bir siber olaydan etkilendi. Etkisinin azaltılması için sistemlerimizi proaktif olarak kapatarak hemen önlem aldık. Şu anda küresel uygulamalarımızı kontrollü bir şekilde yeniden başlatmak için yoğun bir şekilde çalışıyoruz. Bu aşamada müşteri verilerinin çalındığına dair bir kanıt yok, ancak perakende ve üretim faaliyetlerimiz ciddi şekilde aksadı.”

    Otomobil üreticisi olayla ilgili teknik detayları açıklamadı, ancak yakın zamanda Birleşik Krallık’taki perakende firmalarına saldıran “Scattered Lapsus$ Hunters” grubuJLR saldırısının sorumluluğunu üstlendi.

    Geçtiğimiz hafta JLR, siber saldırının aynı zamanda bir veri ihlaline yol açtığını doğruladı, ancak hangi tür verilerin sızdırıldığına dair detay paylaşmadı:

    Bu hafta otomobil üreticisiüretim durdurmasının dördüncü haftaya uzatıldığını duyurdu. JLR, küresel operasyonların kontrollü şekilde yeniden başlatılmasının ek süre gerektirdiğini belirtti:

    Jaguar Land Rover’ın kapanması, haftalık en az 50 milyon sterlin üretim kaybına neden oluyor; bu da haftada yaklaşık 1.000 aracın üretilememesi anlamına geliyor.

    Jaguar Land Rover (JLR), tedarikçilerine, ciddi bir siber saldırının ardından fabrikalardaki üretimin en erken 24 Eylül’e kadar yeniden başlamayacağını bildirdi, ancak sektör kaynakları bu aksaklığın Kasım ayına kadar sürebileceği konusunda uyarıyor.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.


    Yayınlayan: Yayın Tarihi:

    03 Eylül 2025

    Siber Güvenlik Bülteni - Ağustos 2025

     

    Bültenimizin Ağustos Ayı konu başlıkları; 
      • Salesforce Veri Hırsızlığının Son Kurbanı Google Oldu
      • 1,2 Milyondan Fazla İnternete Bağlı Sağlık Cihazı Hasta Verilerini Tehlikeye Atıyor
      • Üretim Sektörü Risk Altında
      • Cisco, Kritik Güvenlik Zafiyetleri
      • Kuzey Kore’nin Siber Operasyonları Hacklendi

      Salesforce Veri Hırsızlığının Son Kurbanı Google Oldu

      Google, fidye yazılımı grubu ShinyHunters tarafından gerçekleştirilen ve devam eden Salesforce CRM veri hırsızlığı saldırılarının son kurbanı oldu.

      Haziran ayında, Google, 'UNC6040' olarak sınıflandırdıkları bir tehdit aktörünün, şirket çalışanlarını sesli kimlik avı (vishing) sosyal mühendislik saldırılarıyla hedef alarak Salesforce örneklerine sızdığını ve müşteri verilerini indirdiğini duyurmuştu. Bu veriler daha sonra verilerin sızdırılmasını engellemek için şirketlere fidye ödetmek için kullanılıyor.

      Google, Haziran ayında kendi Salesforce CRM örneklerinden birinin ihlal edilmesinin ardından aynı saldırının kurbanı olduğunu ve müşteri verilerinin çalındığını söyledi.

      Google’ın güncellemesinde şunlar yazıyordu:

      Haziran ayında, Google’ın kurumsal Salesforce örneklerinden biri bu gönderide açıklanan benzer UNC6040 faaliyetinden etkilendi. Google faaliyete yanıt verdi, bir etki analizi gerçekleştirdi ve hafifletme adımlarına başladı.

      "Bu örnek, küçük ve orta ölçekli işletmeler için iletişim bilgilerini ve ilgili notları saklamak için kullanılıyordu. Analiz, tehdit aktörü tarafından erişim kesilmeden önce kısa bir zaman diliminde verilerin alındığını ortaya koydu.”

      "Tehdit aktörü tarafından ele geçirilen veriler, işletme adları ve iletişim bilgileri gibi temel ve büyük ölçüde halka açık iş bilgileriyle sınırlıydı."

      Google, bu saldırıların arkasındaki tehdit aktörlerini 'UNC6040' veya 'UNC6240' olarak sınıflandırıyor. Ancak, bu saldırıları takip eden araştırmacılar, saldırıların arkasındaki kötü şöhretli tehdit aktörü ShinyHunters olduğunu öğrendi.

      Yıllardır faaliyette olan ShinyHunters, PowerSchool, Oracle Cloud, Snowflake veri hırsızlığı saldırıları, AT&T, NitroPDF, Wattpad, MathWay ve daha birçok şirketteki veri hırsızlığından sorumlu.

      Medyaya yaptığı açıklamada ShinyHunters, çok sayıda Salesforce örneğine sızdığını ve saldırıların hâlâ devam ettiğini iddia etti.

      Tehdit aktörü, bir trilyon dolarlık bir şirkete sızdıklarını ve fidye istemek yerine sadece verileri sızdırmayı düşündüklerini iddia etti. Bu şirketin Google olup olmadığı henüz belirsiz.

      Bu saldırılardan etkilenen diğer şirketler için tehdit aktörü, verilerin kamuya sızdırılmasını önlemek amacıyla onlardan fidye ödemelerini talep eden e-postalar gönderiyor.

      Tehdit aktörü, şirketlerle özel olarak pazarlığı bitirdikten sonra, verileri herkese açık olarak bir hacker forumunda sızdırmayı veya satmayı planlıyor.

      Araştırmacılar, verilerinin sızdırılmasını önlemek için 4 Bitcoin veya yaklaşık 400.000 dolar ödeyen bir şirket olduğunu öğrendi.

      Bu saldırılardan etkilenen diğer şirketler arasında Adidas, Qantas, Allianz Life, Cisco ve LVMH'nin alt kuruluşları olan Louis Vuitton, Dior ve Tiffany & Co. yer alıyor.

      1,2 Milyondan Fazla İnternete Bağlı Sağlık Cihazı Hasta Verilerini Tehlikeye Atıyor

      Yeni bir araştırmaya göre 1,2 milyondan fazla internete bağlı sağlık cihazı ve sistemi, hasta verilerini riske atıyor.

      En çok etkilenen 10 bölge (çoğunlukla Avrupa, ABD ve Güney Afrika):

      • Amerika Birleşik Devletleri (174 bin+)
      • Güney Afrika (172 bin+)
      • Avustralya (111 bin+)
      • Brezilya (82 bin+)
      • Almanya (81 bin+)
      • İrlanda (81 bin+)
      • Birleşik Krallık (77 bin+)
      • Fransa (75 bin+)
      • İsveç (74 bin+)
      • Japonya (48 bin+)
      Araştırma, 70’in üzerinde farklı tıbbi cihaz ve sistemini kapsıyor. Bunlar arasında MR, BT (CT), röntgenler, DICOM görüntüleyiciler, kan testi sistemleri, hastane yönetim sistemleri ve diğer erişilebilir tıbbi altyapılar bulunuyor.

      Cihazların savunmasız olmasının başlıca nedenleri:
      • Yanlış yapılandırmalar ve güvensiz yönetim ayarları
      • Varsayılan ya da zayıf parolalar
      • Güncellenmemiş veya yamalanmamış yazılım/firmware açıkları
      Araştırmacılar, birçok sistemde temel kimlik doğrulamanın bile olmadığını ve bazılarının hala “admin” veya “123456” gibi fabrika ayarı parolaları kullandığını ortaya çıkardı.

      Eski ve yamalanmamış yazılımlar ise kritik cihazları istismara açık hale getiriyor. Bu hatalar yalnızca hasta gizliliğini tehlikeye atmıyor, aynı zamanda dolandırıcılık, şantaj veya ağ ihlali için siber suçlulara yol açıyor.

      Bir taramada, bir hastanın göğüs ve beyin MR sonuçları, isimleri ve tıbbi geçmişiyle birlikte ortaya çıktı. Veriler, kişisel sağlık bilgileri (PHI) ve kişisel tanımlayıcı bilgileri (PII) içeriyor.

      Araştırmacılar ayrıca beyin taramalarını, hasta isimleri ve tarihleriyle birlikte buldular. Aynı yöntemle göz muayeneleri, diş röntgenleri, kan testleri, akciğer MR’ları gibi birçok başka tıbbi görüntüye erişildi.

      Çok sayıda tıbbi belge, yıllar öncesine kadar giden kayıtlar dahil, internet üzerinden açık şekilde erişilebilir durumdaydı.

      Bulgular, sağlıkta siber güvenliğin yalnızca bir IT sorunu değil, aynı zamanda hasta güvenliği meselesi olduğunu gösteriyor.

      Uzmanlar, tıbbi sistemlerin yalnızca güvenli ve doğru şekilde yapılandırılmış ağlara, gerçekten gerekli olduğunda bağlanması gerektiğini belirtiyor.

      Uzak MR operasyonlarının personel eksikliklerini gidermek ve uzman desteği sağlamak için yaygınlaştığı kabul ediliyor. Ancak, birçok sistem hala yeterli siber güvenlik önlemleri olmadan internete açık durumda.

      Araştırmada önerilen önlemler:

      Bunlar sayesinde sağlık kuruluşları, siber güvenlik risklerini ciddi şekilde azaltabilir. Uzak sağlık hizmetleri yaygınlaştıkça ve cihazlar internete bağlandıkça, dijital altyapının korunması kritik önem taşıyor.

      Üretim Sektörü Risk Altında

      Üretim sektörü artık siber saldırganlar tarafından en çok hedef alınan endüstrilerden biri haline geldi. Son yıllarda saldırılarda önemli bir artış yaşanıyor. Bu durumun başlıca nedenleri arasında, sektörün eski endüstriyel kontrol sistemlerine (ICS) olan bağımlılığı, Endüstri 4.0 ile artan bağlantı ve tedarik zinciri risklerine karşı savunmasızlık yer alıyor.      

      Üretim sektöründeki bir siber ihlalin sonuçları oldukça ağır olabilir. Bu sonuçlar, üretim aksamalarından kaynaklanan maliyetleri, sözleşme cezalarını, itibar kaybını, fidye maliyetlerini ve hatta makinelere fiziksel zararı içerebilir.
       
      1. Neden Üretim Sektörü Özellikle Savunmasız?

      • Üretim, diğer sektörlerde nadir rastlanan özgün siber güvenlik zorluklarıyla karşılaşıyor.
      • 2024 yılında sektöre yönelik siber saldırılar %71 artmış durumda.
      2. Karşılaşılan Temel Tehditler
      • Endüstriyel Kontrol Sistemleri (ICS): SCADA, PLC ve HMI gibi sistemler eski ve yerleşik güvenlikten yoksun.
      • Endüstri 4.0 / IoT Bağlantıları: Fabrikalardaki dijital dönüşüm, verim artırsa da siber saldırı risklerini büyütüyor.
      • Tedarik Zinciri Açıkları: Tedarikçi kaynaklı kod güvenliği, ana sistemlerde de risk yaratabilir.
      • Yoğun Dış İletişim: Uluslararası tedarikçiler ve müşterilerle yüzlerce irtibat, oltalama (phishing) gibi saldırılar için zemin sağlıyor.
      • IT Karmaşası: Sahada yüksek teknoloji kullanımı, R&D, lojistik, personel mobil cihazları gibi çeşitli sistemler saldırı yüzeyini genişletiyor.
      • Zayıf Fiziksel Güvenlik: Fiziki erişim kontrollerinin yetersiz olduğu birçok fabrika, içeriden tehdide açık durumda.
      3. Saldırı Neden Bu Kadar Çekici?
      • Kesintinin maliyeti: Üretim hatlarının durması saatler içinde onbinlerce dolara mal olabilir. Bu da fidye ödemeye iten güç oluyor.
      • Ticari casusluk: Tasarım ve fikri mülkiyet üreticiler için değerli — hem rakipler hem de devletler için cezbedici bir hedef.
      • Siber Aktivizm ve Kolay Hedef: Güvenlik seviyesi diğer sektörlere göre düşüktür; bu da mesela aktivist grupların ilgisini çekebilir.
      4. Tehditlerin Yükselen Trendi
      • 2021’den bu yana saldırılar hız kazandı: 2021’de üretim sektörü tüm siber saldırıların %22’sine hedef oldu; 2024’te saldırılar %71 arttı; 2025’in ilk çeyreğinde fidye saldırıları %46 daha arttı.

       
      Sektörün geleceği, bugün alınan önlemlere bağlı. Geleceğin akıllı fabrikaları, ancak güvenli temellerle yükselebilir.

      Cisco, Kritik Güvenlik Zafiyetleri

      Cisco, etkilenen sistemlerde uzaktan kod çalıştırmaya izin verebilecek kritik bir güvenlik zafiyetini ele almak için güvenlik güncellemeleri yayınladı.

      ZafiyetCVE-2025-20265 kimliğiyle tanımlandı (CVSS skoru: 10.0) ve RADIUS alt sistemi uygulamasını etkiliyor. Bu zafiyet, kimlik doğrulama yapılmamış, uzaktan bir saldırganın cihaz tarafından çalıştırılacak rastgele shell komutları enjekte etmesine olanak tanıyabilir.

      Cisco, sorunun kimlik doğrulama aşamasında kullanıcı girişinin uygun şekilde işlenmemesinden kaynaklandığını belirtti. Bu nedenle, saldırgan, RADIUS sunucusunda doğrulanan özel hazırlanmış girişler gönderebilir.

      Şirketin yayınladığı uyarıda şöyle deniyor:

      "Başarılı bir istismar, saldırganın yüksek ayrıcalık seviyesinde komut çalıştırmasına izin verebilir. Bu güvenlik açığından faydalanabilmek için, Cisco Secure FMC Yazılımının web tabanlı yönetim arayüzü, SSH yönetimi veya her ikisi için RADIUS kimlik doğrulaması ile yapılandırılmış olması gerekir."

      Etkilenen sürümler: Cisco Secure FMC Yazılımı 7.0.7 ve 7.7.0, RADIUS kimlik doğrulaması etkinse.

      Şirket tarafından sağlanan yamaları uygulamak dışında çözüm yok.

      CVE-2025-20265 dışında, Cisco ayrıca bir dizi yüksek öncelikli hatayı da çözdü:

      • CVE-2025-20217 (CVSS skoru: 8.6) – Cisco Secure Firewall Threat Defense Yazılımı Snort 3 Hizmet Dışı Bırakma Açığı
      • CVE-2025-20222 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Firepower 2100 Serisi IPv6 üzerinden IPsec Hizmet Dışı Bırakma Açığı
      • CVE-2025-20224CVE-2025-20225CVE-2025-20239 (CVSS skoru: 8.6) – Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı IKEv2 Hizmet Dışı Bırakma Açıkları
      • CVE-2025-20133CVE-2025-20243 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Uzaktan Erişim SSL VPN Hizmet Dışı Bırakma Açıkları
      • CVE-2025-20134 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı SSL/TLS Sertifika Hizmet Dışı Bırakma Açığı
      • CVE-2025-20136 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı NAT DNS Denetimi Hizmet Dışı Bırakma Açığı
      • CVE-2025-20263 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Web Servisleri Hizmet Dışı Bırakma Açığı
      • CVE-2025-20148 (CVSS skoru: 8.5) – Cisco Secure Firewall Management Center Yazılımı HTML Enjeksiyon Açığı
      • CVE-2025-20251 (CVSS skoru: 8.5) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı VPN Web Sunucusu Hizmet Dışı Bırakma Açığı
      • CVE-2025-20127 (CVSS skoru: 7.7) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Firepower 3100 ve 4200 Serileri TLS 1.3 Hizmet Dışı Bırakma Açığı
      • CVE-2025-20244 (CVSS skoru: 7.7) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Uzaktan Erişim VPN Web Sunucusu Hizmet Dışı Bırakma Açığı

      Hiçbir açık şu anda aktif olarak kötüye kullanılmamış olsa da, ağ cihazlarının saldırganların hedefi haline gelmesi göz önüne alındığında, kullanıcıların hemen yazılımlarını en güncel sürüme güncellemeleri kritik önem taşıyor.


      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Kuzey Kore’nin Siber Operasyonları Hacklendi

      Saber ve Cyborg isimlerini kullanan hacker’lar, ünlü Kimsuki Grubu ile bağlantılı bir Kuzey Koreli siber operatörü başarılı bir şekilde hacklediklerini iddia ediyor.

      Ele geçirilen veriler adeta bir altın madeni – dahili araçlar, eğitim kılavuzları, kimlik bilgileri ve e-posta adresleri.

      Sızdırılanlar, casusluk taktikleri ve kripto para hırsızlığı kampanyaları hakkında detaylı bir tablo sunuyor. Ve tüm bunlar, yalnızca tek bir ele geçirilmiş iş istasyonundan ortaya çıktı. Evet, sadece bir bilgisayar Kuzey Kore’nin geniş siber operasyonlarını açığa çıkardı.

      Fortinet VPN’leri Saldırı Altında

      Bu ayın başından itibaren Fortinet SSL VPN’lerine yönelik brute force saldırılarında ciddi bir artış görüldü. Ve bu da bitmedi. Tehdit aktörleri artık FortiManager servislerini de hedef alıyor – ikinci dalga koordineli saldırılarla devam ediyor.

      Bu strateji açık bir modeli işaret ediyor: “Önce çevreyi aş, sonra yönetim sistemlerine yatay olarak ilerle.” Uzak erişim tehditleri artıyor – ve VPN’ler doğrudan hedefte.

      Nasıl Güvende Kalınır?

      • VPN’lerinizi hemen sıkılaştırın.
      • FortiManager’a erişimi kısıtlayın.
      • MFA (Multi-Factor Authentication) uygulayın.
      • Giriş denemelerini sınırlandırın.
      • Yönetim portlarına gelen olağandışı trafiği izleyin.
      • Direkt TINA Çözümleri ile hepsinden kurtulabilirsiniz.
       
      ShinyHunters + Scattered Spider: Tehlikeli İkili

      İki siber suç çetesi – ShinyHunters ve Scattered Spider – artık güçlerini birleştiriyor.

      Sosyal mühendislik ve şantaj taktiklerini harmanlayarak yıkıcı sonuçlar doğuruyorlar.

      Araç setleri şunları içeriyor:
      • Telefon tabanlı oltalama (vishing)
      • Sahte IT destek aramaları
      • Oltalama e-postaları
      • Sahte tek oturum açma (SSO) portalları

      Hedefleri; kullanıcıları kandırmak, sistemlere sızmak ve ardından verileri sızdırma tehdidiyle kurumları baskı altına almak. Ve hedefler arasında perakende, havacılık, teknoloji, finansal hizmetler gibi büyük sektörler var.


      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Yayınlayan: Yayın Tarihi:

      05 Ağustos 2025

      Siber Güvenlik Bülteni - Temmuz 2025

       

      Bültenimizin Temmuz Ayı konu başlıkları; 
        • Türk Savunma Sanayii Hedefte
        • Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı
        • Kritik Sudo Güvenlik Açıkları
        • FortiWeb Kritik SQL Enjeksiyonu Zafiyeti
        • Sophos and SonicWall Kritik RCE Zafiyeti

        Türk Savunma Sanayii Hedefte

        Patchwork olarak bilinen tehdit aktörü, stratejik istihbarat toplama amacıyla Türk savunma sanayii yüklenicilerini hedef alan yeni bir oltalama (spear-phishing) saldırısıyla ilişkilendirildi.
         

        Saldırı, insansız araç sistemleri hakkında daha fazla bilgi edinmek isteyen hedeflere gönderilen, konferans davetiyesi kılığındaki kötü niyetli LNK dosyaları aracılığıyla teslim edilen beş aşamalı bir yürütme zinciri kullanıyor.
         

        Adı açıklanmayan bir hassas güdümlü füze sistemleri üreticisini de hedef alan bu faaliyet, Pakistan ve Türkiye arasındaki derinleşen savunma işbirliği ve son Hindistan-Pakistan askeri çatışmalarıyla aynı zamana denk gelmesi nedeniyle jeopolitik olarak motive edilmiş gibi görünüyor.
         

        APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger ve Zinc Emerson olarak da adlandırılan Patchwork'ün, Hint kökenli devlet destekli bir aktör olduğu değerlendiriliyor. En az 2009'dan beri aktif olduğu bilinen bu hacker grubu, Çin, Pakistan ve Güney Asya'daki diğer ülkelerdeki kuruluşları hedef alma geçmişine sahip.


        Tam bir yıl önce, Knownsec 404 Team, Patchwork’ün Bhutan ile bağlantılı kuruluşları hedef aldığını, burada Brute Ratel C4 framework’ü ile birlikte PGoShell adlı bir arka kapının güncellenmiş versiyonunu dağıttığını belgelemişti.


        2025 yılının başından bu yana, tehdit aktörü Çin üniversitelerine yönelik çeşitli kampanyalarla ilişkilendirildi. Bu saldırılarda ülkenin enerji şebekelerine dair oltalama içerikleri kullanılarak, Rust tabanlı bir yükleyici üzerinden C# ile yazılmış Protego adlı bir truva atı çalıştırılıyor ve bu sayede ele geçirilen Windows sistemlerinden çok çeşitli bilgiler toplanıyor.


        Çinli siber güvenlik firması QiAnXin tarafından Mayıs ayında yayımlanan bir diğer raporda ise, Patchwork ile DoNot Team (diğer adıyla APT-Q-38 veya Bellyworm) arasında altyapı örtüşmeleri tespit edildiği ve iki tehdit kümesi arasında operasyonel bağlantılar olabileceği öne sürüldü.


        Patchwork’ün Türkiye’yi hedef alması, grubun hedefleme alanını genişlettiğine işaret ediyor. Bu kampanyada kötü amaçlı Windows kısayol dosyaları (LNK) içeren oltalama e-postaları, çok aşamalı bir enfeksiyon sürecini başlatmak için kullanılıyor.


        Özellikle, LNK dosyası, harici bir sunucudan ("expouav[.]org") ek yükleri getirmekle sorumlu PowerShell komutlarını çağırmak üzere tasarlanmıştır; bu alan adı 25 Haziran 2025'te oluşturulmuş olup, insansız araç sistemleri üzerine uluslararası bir konferansı taklit eden bir PDF tuzağı barındırmaktadır ve bu konferansın detayları yasal olarak waset[.]org web sitesinde yer almaktadır.


        Uzmanlar “PDF belgesi, yürütme zincirinin geri kalanı arka planda sessizce çalışırken kullanıcıyı oyalamak için tasarlanmış görsel bir yem görevi görüyor. Bu hedefleme, Türkiye'nin küresel İHA ihracat pazarının %65'ini kontrol etmesi ve kritik hipersonik füze yetenekleri geliştirmesi, aynı zamanda Hindistan-Pakistan gerilimlerinin arttığı bir dönemde Pakistan ile savunma bağlarını güçlendirmesiyle aynı zamana denk geliyor.” diye belirtiyor.


        İndirilen bileşenler arasında, planlanmış bir görev (scheduled task) yoluyla DLL side-loading tekniğiyle çalıştırılan kötü amaçlı bir DLL dosyası da yer alıyor. Bu, nihayetinde ele geçirilmiş sistemde kapsamlı bir keşif (reconnaissance) yapan, ekran görüntüsü alan ve bilgileri uzaktaki sunucuya sızdıran bir shellcode'un çalıştırılmasına yol açıyor.


        Bu, bu tehdit aktörünün yeteneklerinde önemli bir evrimi temsil ediyor; Kasım 2024'te gözlemlenen x64 DLL varyantlarındangelişmiş komut yapılarına sahip mevcut x86 PE yürütülebilir dosyalarına geçiş yapıyor. Dropping Elephant, x64 DLL'den x86 PE formatlarına mimari çeşitlendirme ve yasal web sitelerinin taklit edilmesi yoluyla gelişmiş C2 protokolü uygulaması aracılığıyla sürekli operasyonel yatırım ve geliştirme sergiliyor.

        Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı

        Çin merkezli bir tehdit aktörünün, ele geçirilmiş sistemlere fidye yazılımı dağıtmak için Microsoft SharePoint'teki güvenlik açıklarını kullandığı gözlemlendi.

        Microsoft, 23 Temmuz’da yaptığı bir olay güncellemesinde, Storm-2603 olarak izlenen bir grubun, ele geçirilmiş SharePoint on-prem sunucuları üzerinden Warlock fidye yazılımı dağıttığını açıkladı.

        Bu nedenle teknoloji devi, potansiyel olarak etkilenmiş kuruluşlara, fidye yazılımına karşı korumayı da içerecek şekilde risk azaltma (mitigation) çabalarını genişletmeleri yönünde tavsiyede bulundu.

        Storm-2603CVE-2025-53770 ve CVE-2025-53771 kodlu SharePoint on-prem açıklarını istismar ettiği gözlemlenen üç gruptan biri.

        Storm-2603’ün Çin merkezli bir tehdit aktörü olduğu değerlendiriliyor ve daha önce Warlock ve LockBit fidye yazılımlarını dağıttığı biliniyor.

        Microsoft, bu tehdit aktörünün nihai hedeflerini şu aşamada kesin olarak değerlendiremediğini belirtti.

        Bu SharePoint açıklarını istismar eden diğer iki aktör ise, Linen Typhoon ve Violet Typhoon. Bu iki grup da devlet destekli Çinli aktörler olarak biliniyor ve esas olarak hükümet, savunma, teknoloji ve insan hakları kuruluşları gibi hassas veri toplayan sektörlere odaklanıyorlar.

        Bu iki açığın zincirleme şekilde istismar edilmesi, siber güvenlik topluluğu tarafından “ToolShell” olarak adlandırıldı. Saldırı zinciri sofistike görünüyor, tehdit aktörlerinin kimlik kontrollerini atlayarak, ele geçirilen sistemlerde ayrıcalıklı erişim elde ettikleri ifade ediliyor.
         

        Saldırganlar Etkiyi En Üst Seviyeye Çıkarıyor


        Acumen Cyber CTO’su Kevin Robertson, fidye yazılımı dağıtımının, saldırganların bir ağın içine girdikten sonra bunu çok yönlü olarak avantaja çevirmeye çalıştıklarını gösterdiğini söyledi.

        “Fidye yazılımına yönelen saldırganlar, CVE-2025-53770 açığını kullanarak ortamda daha fazla erişim elde ediyor, hassas bilgileri şifreliyor ve ardından büyük bir ödeme umuduyla fidye yazılımı çalıştırıyor,” dedi.

        Mali kazançla genellikle motive olmayan Çin devlet destekli aktörler bile bu fırsatı fidye yazılımı dağıtmak için kullanıyor olabilir.

        Robertson, “Ağlarda keşif yapıp ihtiyaç duydukları bilgilere ulaştıklarında, mağdurlara daha fazla kaos yaratmak için fidye yazılımı bırakıyor olabilirler,” diye ekledi.
         

        SharePoint Mağdur Sayısı 400’ü Aştı


        Microsoft, on-prem SharePoint kullanıcılarına, iki açık tamamen yamalanmış olsa bile sistemin ihlal edilmiş olduğunu varsaymalarını tavsiye etti.

        Kuruluşlara, kriptografik materyalleri döndürmek, profesyonel olay müdahale ekiplerini devreye almak ve gerekirse SharePoint’i internet bağlantısından ayırmak gibi acil önlemler almaları önerildi.

        Eye Security, 23 Temmuz’da yayımladığı raporda, şu ana kadar 400’den fazla SharePoint sisteminin aktif olarak ele geçirildiğini bildirdi.

        Bu istismarlar, 17, 18, 19 ve 21 Temmuz tarihlerinde dört onaylı saldırı dalgası halinde gerçekleşti.

        Eye Security, 21 Temmuz sonrasında ve sonrasında birden fazla saldırı dalgasının yaşandığını, bunun da GitHub’da CVE-2025-53770/CVE-2025-53771 güvenlik açıklarına ait bir proof-of-concept (PoC) istismar betiğinin yayımlanmasının ardından gerçekleştiğini ekledi.

        Raporlara göre, SharePoint saldırı kampanyası kapsamında çok sayıda yüksek profilli ABD devlet kurumu da mağdurlar arasında yer aldı.

        Bloomberg, 23 Temmuz’da yayımladığı haberinde, Ulusal Nükleer Güvenlik İdaresi (National Nuclear Security Administration) ve Eğitim Bakanlığı’nın (Department of Education) kullandığı on-prem SharePoint sunucularının ihlal edildiğini bildirdi. Washington Post ise, Sağlık ve İnsan Hizmetleri Bakanlığı’nın (DHHS) hedef alındığını aktardı.

        NextGov, konuyla ilgili bilgi sahibi kişilerden edindiği bilgilere dayanarak, İç Güvenlik Bakanlığı’nın (Department of Homeland Security - DHS) da Çinli hackerların mağdurları arasında olduğunu belirtti.

        Kritik Sudo Güvenlik Açıkları

        Siber güvenlik araştırmacıları, Linux ve Unix benzeri işletim sistemlerinde kullanılan Sudo komut satırı aracında yerel saldırganların savunmasız makinelerde ayrıcalıklarını root seviyesine yükseltmelerine olanak tanıyabilecek iki güvenlik açığını açıkladı.

        Açıkların kısa tanımları aşağıda yer almaktadır:

        • CVE-2025-32462 (CVSS skoru: 2.8) – Sudo 1.9.17p1 öncesi sürümlerde, sudoers dosyasında belirtilen host mevcut makine ya da "ALL" değilse, belirtilen kullanıcıların, istenmeyen makinelerde komut çalıştırmalarına olanak tanır.
        • CVE-2025-32463 (CVSS skoru: 9.3) – Sudo 1.9.17p1 öncesi sürümlerdekullanıcının denetiminde olan bir dizinden alınan "/etc/nsswitch.conf" dosyası --chroot seçeneğiyle kullanıldığında, yerel kullanıcıların root erişimi elde etmelerine olanak tanır.
        Sudo, düşük ayrıcalıklara sahip kullanıcıların başka bir kullanıcı (örneğin süper kullanıcı) olarak komut çalıştırmasına izin veren bir komut satırı aracıdır. Amaç, en az ayrıcalık ilkesini uygulayarak, kullanıcılara yüksek izinler olmadan yönetimsel eylemleri gerçekleştirme yetkisi vermektir.

        Bu komut, "hangi kullanıcının, hangi makinelerde, hangi komutları hangi kullanıcı olarak çalıştırabileceğini ve belirli komutlar için parola gerekip gerekmediğini" belirleyen "/etc/sudoers" adlı bir dosya aracılığıyla yapılandırılır.

        Açıkları keşfeden ve raporlayan kişi olan Stratascale araştırmacısı Rich MirchCVE-2025-32462’nin 12 yılı aşkın süredir gözden kaçtığını söyledi. Bu açık, kullanıcının farklı bir host için sudo ayrıcalıklarını listelemesini sağlayan Sudo’nun "-h" (host) seçeneğindn kaynaklanmaktadır. Bu özellik, Eylül 2013’te etkinleştirildi.

        Ancak tespit edilen hata, Sudo komutu ilgili olmayan bir uzak host’u referans alarak çalıştırıldığında, uzak makinelerde izin verilen herhangi bir komutun yerel makinede de çalıştırılabilmesine olanak tanıdı.

        “Bu durum, yaygın bir sudoers dosyasının birden fazla makineye dağıtıldığı siteleri özellikle etkiler,” dedi Sudo projesi yöneticisi Todd C. Miller bir güvenlik danışma yazısında. “SSSD dahil LDAP tabanlı sudoers kullanan siteler de benzer şekilde etkilenmektedir.”

        Öte yandan, CVE-2025-32463, Sudo’nun "-R" (chroot) seçeneğini kullanarak, sudoers dosyasında listelenmemiş olsa bile, keyfi komutların root olarak çalıştırılmasına olanak tanıyor. Bu açık, kritik derecede ciddi olarak sınıflandırıldı.

        “Varsayılan Sudo yapılandırması savunmasızdır,” dedi Mirch. “Açık, Sudo’nun chroot özelliğini içerse de, kullanıcı için herhangi bir sudo kuralı tanımlanması gerekmez. Bu nedenle, savunmasız bir sürüm yüklüyse, yerel, düşük ayrıcalıklı herhangi bir kullanıcı potansiyel olarak root ayrıcalıklarını elde edebilir.”

        Başka bir deyişle, bu açık sayesinde saldırgan, sudo’yu belirli bir kullanıcı kök dizini altına yerleştirilmiş "/etc/nsswitch.conf" yapılandırma dosyasını yüklemeye kandırarak, kötü amaçlı bir paylaşımlı kütüphaneyi çalıştırabilir ve bu sayede yükseltilmiş ayrıcalıklarla kötü amaçlı komutlar çalıştırabilir.

        Millerchroot seçeneğinin gelecekteki bir Sudo sürümünden tamamen kaldırılacağını ve kullanıcı tarafından belirtilen kök dizin desteğinin hataya açık olduğunu ifade etti.

        1 Nisan 2025’te sorumlu bir şekilde açıklanan bu açıklar, geçtiğimiz ay yayımlanan Sudo 1.9.17p1 sürümünde giderildi. Sudo birçok Linux dağıtımıyla birlikte geldiğinden, çeşitli Linux dağıtımları da güvenlik danışma yazıları yayımladı:
        • CVE-2025-32462 – AlmaLinux 8, AlmaLinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE ve Ubuntu
        • CVE-2025-32463 – Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE ve Ubuntu

        Kullanıcılara, gerekli yamaları uygulamaları ve Linux masaüstü dağıtımlarının en son paketlerle güncellendiğinden emin olmaları tavsiye edilmektedir.

        FortiWeb Kritik SQL Enjeksiyonu Zafiyeti

        Fortinet, etkilenen FortiWeb sürümlerinde kimliği doğrulanmamış bir saldırganın rastgele veritabanı komutları çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığına yönelik düzeltmeler yayınladı.

        CVE-2025-25257 olarak izlenen bu güvenlik açığı, 10 üzerinden 9.6 CVSS puanına sahiptir.

        Fortinet, bu hafta yayınladığı güvenlik danışmanlığında şu ifadelere yer verdi:

        “FortiWeb’de özel olarak hazırlanmış HTTP veya HTTPS istekleri aracılığıyla yetkisiz SQL kodları veya komutları çalıştırmak için kimliği doğrulanmamış bir saldırganın kullanabileceği bir 'SQL Injection' (CWE-89) zafiyeti tespit edilmiştir.”

        Bu zafiyetin etkilediği sürümler şunlardır:

        • FortiWeb 7.6.0 ila 7.6.3 (7.6.4 veya daha üstüne yükseltilmeli)
        • FortiWeb 7.4.0 ila 7.4.7 (7.4.8 veya daha üstüne yükseltilmeli)
        • FortiWeb 7.2.0 ila 7.2.10 (7.2.11 veya daha üstüne yükseltilmeli)
        • FortiWeb 7.0.0 ila 7.0.10 (7.0.11 veya daha üstüne yükseltilmeli)

        Güvenlik Açığının Detayları


        Bugün yayınlanan bir analizde, watchTowr Labs, sorunun Fortinet ürünleri arasında köprü görevi gören Fabric Connector bileşeniyle ilişkili "get_fabric_user_by_token" adlı bir fonksiyonda yer aldığını belirtti.

        Bu fonksiyon, "fabric_access_check" adlı başka bir fonksiyondan çağrılıyor ve bu da şu üç API uç noktasından tetikleniyor:
        • /api/fabric/device/status
        • /api/v[0-9]/fabric/widget/[a-z]+
        • /api/v[0-9]/fabric/widget

        Sorun, saldırganın özel olarak hazırladığı HTTP isteklerindeki Bearer token Authorization header aracılığıyla gönderdiği girdilerin, yeterli güvenlik kontrolü olmadan doğrudan SQL sorgusuna aktarılmasıyla ortaya çıkıyor. Girdi zararlı olup olmadığını denetlemeye yönelik herhangi bir filtreleme/sterilize yapılmıyor.

        Bu saldırı, daha ileri seviyeye taşınarak uzaktan kod çalıştırma (RCE) seviyesine ulaştırılabiliyor. Saldırgan, veritabanı komutuna SELECT ... INTO OUTFILE ifadesi ekleyerek, sistemde bir dosyaya kötü amaçlı bir payload yazabiliyor. Sorguların "mysql" kullanıcısı yetkisiyle çalıştırılıyor olması bu saldırıyı mümkün kılıyor. Ardından bu dosya, örneğin Python aracılığıyla çalıştırılabilir hale geliyor.
         

        Tavsiyeler ve Çözümler


        Gerekli yamalar uygulanana kadar geçici çözüm olarak, kullanıcıların HTTP/HTTPS yönetim arayüzünü devre dışı bırakmaları tavsiye edilmektedir.

        Fortinet cihazlarındaki açıkların geçmişte tehdit aktörleri tarafından kullanıldığı göz önünde bulundurulduğunda, kullanıcıların potansiyel riskleri azaltmak için en kısa sürede güncellemeleri yapmaları oldukça önemlidir.


        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Sophos and SonicWall Kritik RCE Zafiyeti

        Sophos ve SonicWall, Sophos Firewall ve Secure Mobile Access (SMA) 100 Serisi cihazlarda uzaktan kod çalıştırmaya olanak tanıyabilecek kritik güvenlik açıkları hakkında kullanıcıları uyardı.

        Sophos Firewall'u etkileyen iki güvenlik açığı aşağıda listelenmiştir:

        • CVE-2025-6704 (CVSS puanı: 9.8) – Secure PDF eXchange (SPX) özelliğindeki rastgele dosya yazma güvenlik açığı, SPX’in belirli bir yapılandırmasının etkinleştirilmiş olması ve güvenlik duvarının Yüksek Erişilebilirlik (High Availability – HA) modunda çalışması durumunda, kimlik doğrulama öncesi uzaktan kod yürütmeye yol açabilir.
        • CVE-2025-7624 (CVSS puanı: 9.8) – Eski (şeffaf) SMTP proxy’deki bir SQL enjeksiyonu güvenlik açığı, e-posta için karantina politikası etkinse ve SFOS, 21.0 GA sürümünden daha eski bir sürümden yükseltilmişse uzaktan kod çalıştırmaya yol açabilir.
        Sophos, CVE-2025-6704'ün cihazların yaklaşık %0,05’ini, CVE-2025-7624'ün ise cihazların %0,73’ünü etkilediğini belirtti. Her iki güvenlik açığı da, WebAdmin bileşenindeki yüksek önem dereceli komut enjeksiyonu güvenlik açığıyla (CVE-2025-7382, CVSS puanı: 8.8) birlikte giderildi. Bu açık, HA modunda yardımcı cihazlarda admin kullanıcısı için OTP (tek kullanımlık parola) kimlik doğrulaması etkinleştirildiğinde kimlik doğrulama öncesi kod yürütmeye neden olabilir.

        Şirket ayrıca şu iki güvenlik açığını da yamaladı:
        • CVE-2024-13974 (CVSS puanı: 8.1) – Up2Date bileşenindeki bir iş mantığı güvenlik açığı, saldırganların güvenlik duvarının DNS ortamını kontrol ederek uzaktan kod yürütmesine olanak tanıyabilir.
        • CVE-2024-13973 (CVSS puanı: 6.8) – WebAdmin'deki kimlik doğrulama sonrası bir SQL enjeksiyonu güvenlik açığı, yöneticilerin keyfi kod çalıştırmasına neden olabilir.
        İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), hem CVE-2024-13974 hem de CVE-2024-13973 açıklarını keşfetmiş ve bildirmiştir.

        Aşağıdaki sürümler etkilenmektedir:
        • CVE-2024-13974 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler
        • CVE-2024-13973 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler
        • CVE-2025-6704 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
        • CVE-2025-7624 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
        • CVE-2025-7382 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
        Bu açıklamalar, SonicWall’un SMA 100 Serisi web yönetim arayüzünde (CVE-2025-40599, CVSS puanı: 9.1) kritik bir hatayı detaylandırmasının hemen ardından geldi. Bu hata, uzaktan bir saldırganın yönetici yetkilerine sahip olması durumunda rastgele dosyalar yükleyerek potansiyel olarak uzaktan kod yürütmesine olanak tanır.

        Bu açık, SMA 100 Serisi ürünlerini (SMA 210, 410, 500v) etkiler ve 10.2.2.1-90sv sürümünde giderilmiştir.

        SonicWall ayrıca bu güvenlik açığının henüz kötüye kullanılmadığını, ancak Google Threat Intelligence Group (GTIG) tarafından hazırlanan yakın tarihli bir raporda, UNC6148 adlı bir tehdit aktörünün tamamen yamalanmış SMA 100 serisi cihazları OVERSTEP adlı bir arka kapıyı yerleştirmek için kullandığına dair kanıtlar bulunduğu için potansiyel bir risk olduğunu vurguladı.

        Şirket, SMA 100 Serisi cihazları kullanan müşterilerin aşağıdaki adımları uygulamasını da önermektedir:
        • Dışarıya bakan X1 arayüzünde uzaktan yönetim erişimini devre dışı bırakın (saldırı yüzeyini azaltmak için)
        • Tüm parolaları sıfırlayın ve kullanıcılar ile yöneticiler için OTP (tek kullanımlık parola) bağlantısını yeniden başlatın
        • Tüm kullanıcılar için çok faktörlü kimlik doğrulaması (MFA) uygulayın
        • SMA 100 üzerinde Web Uygulama Güvenlik Duvarı’nı (WAF) etkinleştirin
        SMA 500v sanal ürünü kullanan kuruluşların ise şunları yapmaları gerekmektedir:
        • OVA dosyasının yedeğini alın.
        • Yapılandırmayı dışa aktarın.
        • Mevcut sanal makineyi ve ilişkili tüm sanal diskleri ve anlık görüntüleri kaldırın.
        • SonicWall’dan yeni OVA dosyasını indirip bir hypervisor kullanarak tekrar kurulum yapın.
        • Daha önce dışa aktarılan yapılandırmayı geri yükleyin.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Yayınlayan: Yayın Tarihi:
        Labels: , , , , , ,
        Kaydol: Kayıtlar (Atom)

        Popüler Yayınlar