Siber Güvenlik Bülteni - Ağustos 2025

 

Bültenimizin Ağustos Ayı konu başlıkları;  Salesforce Veri Hırsızlığının Son Kurbanı Google Oldu 1,2 Milyondan Fazla İnternete Bağlı Sağlık Cihazı Hasta Verilerini Tehlikeye Atıyor Üretim Sektörü Risk Altında Cisco, Kritik Güvenlik Zafiyetleri Kuzey Kore’nin Siber Operasyonları Hacklendi

Salesforce Veri Hırsızlığının Son Kurbanı Google Oldu

Google, fidye yazılımı grubu ShinyHunters tarafından gerçekleştirilen ve devam eden Salesforce CRM veri hırsızlığı saldırılarının son kurbanı oldu. Haziran ayında, Google, 'UNC6040' olarak sınıflandırdıkları bir tehdit aktörünün, şirket çalışanlarını sesli kimlik avı (vishing) sosyal mühendislik saldırılarıyla hedef alarak Salesforce örneklerine sızdığını ve müşteri verilerini indirdiğini duyurmuştu. Bu veriler daha sonra verilerin sızdırılmasını engellemek için şirketlere fidye ödetmek için kullanılıyor. Google, Haziran ayında kendi Salesforce CRM örneklerinden birinin ihlal edilmesinin ardından aynı saldırının kurbanı olduğunu ve müşteri verilerinin çalındığını söyledi. Google’ın güncellemesinde şunlar yazıyordu: “Haziran ayında, Google’ın kurumsal Salesforce örneklerinden biri bu gönderide açıklanan benzer UNC6040 faaliyetinden etkilendi. Google faaliyete yanıt verdi, bir etki analizi gerçekleştirdi ve hafifletme adımlarına başladı.” "Bu örnek, küçük ve orta ölçekli işletmeler için iletişim bilgilerini ve ilgili notları saklamak için kullanılıyordu. Analiz, tehdit aktörü tarafından erişim kesilmeden önce kısa bir zaman diliminde verilerin alındığını ortaya koydu.” "Tehdit aktörü tarafından ele geçirilen veriler, işletme adları ve iletişim bilgileri gibi temel ve büyük ölçüde halka açık iş bilgileriyle sınırlıydı." Google, bu saldırıların arkasındaki tehdit aktörlerini 'UNC6040' veya 'UNC6240' olarak sınıflandırıyor. Ancak, bu saldırıları takip eden araştırmacılar, saldırıların arkasındaki kötü şöhretli tehdit aktörü ShinyHunters olduğunu öğrendi. Yıllardır faaliyette olan ShinyHunters, PowerSchool, Oracle Cloud, Snowflake veri hırsızlığı saldırıları, AT&T, NitroPDF, Wattpad, MathWay ve daha birçok şirketteki veri hırsızlığından sorumlu. Medyaya yaptığı açıklamada ShinyHunters, çok sayıda Salesforce örneğine sızdığını ve saldırıların hâlâ devam ettiğini iddia etti. Tehdit aktörü, bir trilyon dolarlık bir şirkete sızdıklarını ve fidye istemek yerine sadece verileri sızdırmayı düşündüklerini iddia etti. Bu şirketin Google olup olmadığı henüz belirsiz. Bu saldırılardan etkilenen diğer şirketler için tehdit aktörü, verilerin kamuya sızdırılmasını önlemek amacıyla onlardan fidye ödemelerini talep eden e-postalar gönderiyor. Tehdit aktörü, şirketlerle özel olarak pazarlığı bitirdikten sonra, verileri herkese açık olarak bir hacker forumunda sızdırmayı veya satmayı planlıyor. Araştırmacılar, verilerinin sızdırılmasını önlemek için 4 Bitcoin veya yaklaşık 400.000 dolar ödeyen bir şirket olduğunu öğrendi. Bu saldırılardan etkilenen diğer şirketler arasında Adidas, Qantas, Allianz Life, Cisco ve LVMH'nin alt kuruluşları olan Louis Vuitton, Dior ve Tiffany & Co. yer alıyor.

1,2 Milyondan Fazla İnternete Bağlı Sağlık Cihazı Hasta Verilerini Tehlikeye Atıyor

Yeni bir araştırmaya göre 1,2 milyondan fazla internete bağlı sağlık cihazı ve sistemi, hasta verilerini riske atıyor. En çok etkilenen 10 bölge (çoğunlukla Avrupa, ABD ve Güney Afrika): Amerika Birleşik Devletleri (174 bin+) Güney Afrika (172 bin+) Avustralya (111 bin+) Brezilya (82 bin+) Almanya (81 bin+) İrlanda (81 bin+) Birleşik Krallık (77 bin+) Fransa (75 bin+) İsveç (74 bin+) Japonya (48 bin+) Araştırma, 70’in üzerinde farklı tıbbi cihaz ve sistemini kapsıyor. Bunlar arasında MR, BT (CT), röntgenler, DICOM görüntüleyiciler, kan testi sistemleri, hastane yönetim sistemleri ve diğer erişilebilir tıbbi altyapılar bulunuyor. Cihazların savunmasız olmasının başlıca nedenleri: Yanlış yapılandırmalar ve güvensiz yönetim ayarları Varsayılan ya da zayıf parolalar Güncellenmemiş veya yamalanmamış yazılım/firmware açıkları Araştırmacılar, birçok sistemde temel kimlik doğrulamanın bile olmadığını ve bazılarının hala “admin” veya “123456” gibi fabrika ayarı parolaları kullandığını ortaya çıkardı. Eski ve yamalanmamış yazılımlar ise kritik cihazları istismara açık hale getiriyor. Bu hatalar yalnızca hasta gizliliğini tehlikeye atmıyor, aynı zamanda dolandırıcılık, şantaj veya ağ ihlali için siber suçlulara yol açıyor. Bir taramada, bir hastanın göğüs ve beyin MR sonuçları, isimleri ve tıbbi geçmişiyle birlikte ortaya çıktı. Veriler, kişisel sağlık bilgileri (PHI) ve kişisel tanımlayıcı bilgileri (PII) içeriyor. Araştırmacılar ayrıca beyin taramalarını, hasta isimleri ve tarihleriyle birlikte buldular. Aynı yöntemle göz muayeneleri, diş röntgenleri, kan testleri, akciğer MR’ları gibi birçok başka tıbbi görüntüye erişildi. Çok sayıda tıbbi belge, yıllar öncesine kadar giden kayıtlar dahil, internet üzerinden açık şekilde erişilebilir durumdaydı. Bulgular, sağlıkta siber güvenliğin yalnızca bir IT sorunu değil, aynı zamanda hasta güvenliği meselesi olduğunu gösteriyor. Uzmanlar, tıbbi sistemlerin yalnızca güvenli ve doğru şekilde yapılandırılmış ağlara, gerçekten gerekli olduğunda bağlanması gerektiğini belirtiyor. Uzak MR operasyonlarının personel eksikliklerini gidermek ve uzman desteği sağlamak için yaygınlaştığı kabul ediliyor. Ancak, birçok sistem hala yeterli siber güvenlik önlemleri olmadan internete açık durumda. Araştırmada önerilen önlemler: Düzenli güvenlik denetimleri yapmak Kapsamlı varlık envanteri tutmak (personel değişiklikleri ve operasyonel değişiklikler güvenlik açıkları yaratabiliyor) Ağ bağlantılı cihazların sürekli izlenmesi ve izole edilmesi Bunlar sayesinde sağlık kuruluşları, siber güvenlik risklerini ciddi şekilde azaltabilir. Uzak sağlık hizmetleri yaygınlaştıkça ve cihazlar internete bağlandıkça, dijital altyapının korunması kritik önem taşıyor.

Üretim Sektörü Risk Altında

Üretim sektörü artık siber saldırganlar tarafından en çok hedef alınan endüstrilerden biri haline geldi. Son yıllarda saldırılarda önemli bir artış yaşanıyor. Bu durumun başlıca nedenleri arasında, sektörün eski endüstriyel kontrol sistemlerine (ICS) olan bağımlılığı, Endüstri 4.0 ile artan bağlantı ve tedarik zinciri risklerine karşı savunmasızlık yer alıyor.       Üretim sektöründeki bir siber ihlalin sonuçları oldukça ağır olabilir. Bu sonuçlar, üretim aksamalarından kaynaklanan maliyetleri, sözleşme cezalarını, itibar kaybını, fidye maliyetlerini ve hatta makinelere fiziksel zararı içerebilir.   1. Neden Üretim Sektörü Özellikle Savunmasız? Üretim, diğer sektörlerde nadir rastlanan özgün siber güvenlik zorluklarıyla karşılaşıyor. 2024 yılında sektöre yönelik siber saldırılar %71 artmış durumda. 2. Karşılaşılan Temel Tehditler Endüstriyel Kontrol Sistemleri (ICS): SCADA, PLC ve HMI gibi sistemler eski ve yerleşik güvenlikten yoksun. Endüstri 4.0 / IoT Bağlantıları: Fabrikalardaki dijital dönüşüm, verim artırsa da siber saldırı risklerini büyütüyor. Tedarik Zinciri Açıkları: Tedarikçi kaynaklı kod güvenliği, ana sistemlerde de risk yaratabilir. Yoğun Dış İletişim: Uluslararası tedarikçiler ve müşterilerle yüzlerce irtibat, oltalama (phishing) gibi saldırılar için zemin sağlıyor. IT Karmaşası: Sahada yüksek teknoloji kullanımı, R&D, lojistik, personel mobil cihazları gibi çeşitli sistemler saldırı yüzeyini genişletiyor. Zayıf Fiziksel Güvenlik: Fiziki erişim kontrollerinin yetersiz olduğu birçok fabrika, içeriden tehdide açık durumda. 3. Saldırı Neden Bu Kadar Çekici? Kesintinin maliyeti: Üretim hatlarının durması saatler içinde onbinlerce dolara mal olabilir. Bu da fidye ödemeye iten güç oluyor. Ticari casusluk: Tasarım ve fikri mülkiyet üreticiler için değerli — hem rakipler hem de devletler için cezbedici bir hedef. Siber Aktivizm ve Kolay Hedef: Güvenlik seviyesi diğer sektörlere göre düşüktür; bu da mesela aktivist grupların ilgisini çekebilir. 4. Tehditlerin Yükselen Trendi 2021’den bu yana saldırılar hız kazandı: 2021’de üretim sektörü tüm siber saldırıların %22’sine hedef oldu; 2024’te saldırılar %71 arttı; 2025’in ilk çeyreğinde fidye saldırıları %46 daha arttı.   Sektörün geleceği, bugün alınan önlemlere bağlı. Geleceğin akıllı fabrikaları, ancak güvenli temellerle yükselebilir.

Cisco, Kritik Güvenlik Zafiyetleri

Cisco, etkilenen sistemlerde uzaktan kod çalıştırmaya izin verebilecek kritik bir güvenlik zafiyetini ele almak için güvenlik güncellemeleri yayınladı. Zafiyet, CVE-2025-20265 kimliğiyle tanımlandı (CVSS skoru: 10.0) ve RADIUS alt sistemi uygulamasını etkiliyor. Bu zafiyet, kimlik doğrulama yapılmamış, uzaktan bir saldırganın cihaz tarafından çalıştırılacak rastgele shell komutları enjekte etmesine olanak tanıyabilir. Cisco, sorunun kimlik doğrulama aşamasında kullanıcı girişinin uygun şekilde işlenmemesinden kaynaklandığını belirtti. Bu nedenle, saldırgan, RADIUS sunucusunda doğrulanan özel hazırlanmış girişler gönderebilir. Şirketin yayınladığı uyarıda şöyle deniyor: "Başarılı bir istismar, saldırganın yüksek ayrıcalık seviyesinde komut çalıştırmasına izin verebilir. Bu güvenlik açığından faydalanabilmek için, Cisco Secure FMC Yazılımının web tabanlı yönetim arayüzü, SSH yönetimi veya her ikisi için RADIUS kimlik doğrulaması ile yapılandırılmış olması gerekir." Etkilenen sürümler: Cisco Secure FMC Yazılımı 7.0.7 ve 7.7.0, RADIUS kimlik doğrulaması etkinse. Şirket tarafından sağlanan yamaları uygulamak dışında çözüm yok. CVE-2025-20265 dışında, Cisco ayrıca bir dizi yüksek öncelikli hatayı da çözdü: CVE-2025-20217 (CVSS skoru: 8.6) – Cisco Secure Firewall Threat Defense Yazılımı Snort 3 Hizmet Dışı Bırakma Açığı CVE-2025-20222 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Firepower 2100 Serisi IPv6 üzerinden IPsec Hizmet Dışı Bırakma Açığı CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (CVSS skoru: 8.6) – Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı IKEv2 Hizmet Dışı Bırakma Açıkları CVE-2025-20133, CVE-2025-20243 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Uzaktan Erişim SSL VPN Hizmet Dışı Bırakma Açıkları CVE-2025-20134 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı SSL/TLS Sertifika Hizmet Dışı Bırakma Açığı CVE-2025-20136 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı NAT DNS Denetimi Hizmet Dışı Bırakma Açığı CVE-2025-20263 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Web Servisleri Hizmet Dışı Bırakma Açığı CVE-2025-20148 (CVSS skoru: 8.5) – Cisco Secure Firewall Management Center Yazılımı HTML Enjeksiyon Açığı CVE-2025-20251 (CVSS skoru: 8.5) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı VPN Web Sunucusu Hizmet Dışı Bırakma Açığı CVE-2025-20127 (CVSS skoru: 7.7) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Firepower 3100 ve 4200 Serileri TLS 1.3 Hizmet Dışı Bırakma Açığı CVE-2025-20244 (CVSS skoru: 7.7) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Uzaktan Erişim VPN Web Sunucusu Hizmet Dışı Bırakma Açığı Hiçbir açık şu anda aktif olarak kötüye kullanılmamış olsa da, ağ cihazlarının saldırganların hedefi haline gelmesi göz önüne alındığında, kullanıcıların hemen yazılımlarını en güncel sürüme güncellemeleri kritik önem taşıyor. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Kuzey Kore’nin Siber Operasyonları Hacklendi

Saber ve Cyborg isimlerini kullanan hacker’lar, ünlü Kimsuki Grubu ile bağlantılı bir Kuzey Koreli siber operatörü başarılı bir şekilde hacklediklerini iddia ediyor. Ele geçirilen veriler adeta bir altın madeni – dahili araçlar, eğitim kılavuzları, kimlik bilgileri ve e-posta adresleri. Sızdırılanlar, casusluk taktikleri ve kripto para hırsızlığı kampanyaları hakkında detaylı bir tablo sunuyor. Ve tüm bunlar, yalnızca tek bir ele geçirilmiş iş istasyonundan ortaya çıktı. Evet, sadece bir bilgisayar Kuzey Kore’nin geniş siber operasyonlarını açığa çıkardı. Fortinet VPN’leri Saldırı Altında Bu ayın başından itibaren Fortinet SSL VPN’lerine yönelik brute force saldırılarında ciddi bir artış görüldü. Ve bu da bitmedi. Tehdit aktörleri artık FortiManager servislerini de hedef alıyor – ikinci dalga koordineli saldırılarla devam ediyor. Bu strateji açık bir modeli işaret ediyor: “Önce çevreyi aş, sonra yönetim sistemlerine yatay olarak ilerle.” Uzak erişim tehditleri artıyor – ve VPN’ler doğrudan hedefte. Nasıl Güvende Kalınır? VPN’lerinizi hemen sıkılaştırın. FortiManager’a erişimi kısıtlayın. MFA (Multi-Factor Authentication) uygulayın. Giriş denemelerini sınırlandırın. Yönetim portlarına gelen olağandışı trafiği izleyin. Direkt TINA Çözümleri ile hepsinden kurtulabilirsiniz.   ShinyHunters + Scattered Spider: Tehlikeli İkili İki siber suç çetesi – ShinyHunters ve Scattered Spider – artık güçlerini birleştiriyor. Sosyal mühendislik ve şantaj taktiklerini harmanlayarak yıkıcı sonuçlar doğuruyorlar. Araç setleri şunları içeriyor: Telefon tabanlı oltalama (vishing) Sahte IT destek aramaları Oltalama e-postaları Sahte tek oturum açma (SSO) portalları Hedefleri; kullanıcıları kandırmak, sistemlere sızmak ve ardından verileri sızdırma tehdidiyle kurumları baskı altına almak. Ve hedefler arasında perakende, havacılık, teknoloji, finansal hizmetler gibi büyük sektörler var. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.