30 Nisan 2026

Siber Güvenlik Bülteni - Nisan 2026

 

Bültenimizin Nisan Ayı konu başlıkları; 
  • JanaWare Ransomware Türkiye’de
  • SAP’ten Kritik Yama: SQL Injection Açığı
  • Fortinet’te Kritik Zero-Day Alarmı
  • Storm-1175: Zero-Day ile 24 Saatte Ransomware
  • Vercel İhlali Derinleşiyor: OAuth Zinciriyle Genişleyen Supply Chain Saldırısı

JanaWare Ransomware Türkiye’de

Yeni bir fidye yazılımı ailesi olan JanaWare, Türkiye’deki bilgisayar kullanıcılarını hedef almaya başladı. Bu kampanya, Adwind RAT adlı kötü amaçlı yazılımın özelleştirilmiş bir versiyonunu kullanarak sistemlere sızıyor ve ardından fidye yazılımı yüklenmesini sağlıyor.

Araştırmaya göre bu operasyon özellikle Türkiyedeki kullanıcıları hedefliyor ve daha çok küçük ve orta ölçekli işletmeleri etkiliyor. Saldırılar genellikle kimlik avı e-postaları (phishing) ile başlıyor ve bu e-postalarda kötü amaçlı Java arşiv dosyaları gönderiliyor.

Kullanıcı bu dosyayı açtığında, sistemine Adwind RAT gizlice yükleniyor ve saldırgana uzaktan erişim sağlanıyor. Bu aşamada fidye yazılımı hemen devreye girmiyor; önce sistem analiz ediliyor ve hedefin değerli olup olmadığı kontrol ediliyor.

Araştırmacılara göre bu kampanya en az 2020 yılından beri aktif ve halen devam ediyor. Malware, özellikle Türkiyedeki sistemleri hedef almak için coğrafi konum ve sistem dili kontrolü yapıyor. Sistem Türkçe değilse veya Türkiye dışında ise çalışmayı durdurabiliyor.

Saldırılarda kullanılan e-posta içerikleri genellikle Google Drive bağlantıları içeriyor ve kullanıcı bu bağlantıya tıkladığında zararlı Java dosyası indiriliyor. Bu dosya çalıştırıldıktan sonra sistem şifrelenerek fidye talebi oluşturuluyor.

Fidye notları genellikle Türkçe yazılıyor ve kurbanlardan iletişim için qTox veya Tor tabanlı kanallar kullanmaları isteniyor.

Ransomware talepleri genellikle düşük seviyede, bu da saldırganların büyük kazanç yerine yüksek hacimli küçük ödemeler hedeflediğini gösteriyor.

Bu tür saldırılar özellikle zayıf güvenlik önlemlerine sahip kullanıcılar ve KOBİ’ler için ciddi risk oluşturuyor, çünkü basit phishing teknikleri bile yeterli olabiliyor. Uzmanlara göre bu kampanya, büyük kurumsal hedeflerden ziyade küçük ölçekli ama sürekli gelir sağlayan bir saldırı modeli üzerine kurulmuş.

SAP’ten Kritik Yama: SQL Injection Açığı

SAP, Nisan 2026 güvenlik yama günü kapsamında 20 yeni ve güncellenmiş güvenlik notu yayınladığını duyurdu.

Giderilen açıklar arasında en kritik olanı, Business Planning and Consolidation ve Business Warehouse bileşenlerini etkileyen CVE-2026-27681 (CVSS skoru: 9.9) olup, rastgele kod çalıştırmaya yol açabilen kritik bir SQL injection zafiyetidir.

Araştırmacılara göre
Zafiyetli ABAP programı, düşük yetkili bir kullanıcının keyfi SQL komutları içeren bir dosya yüklemesine ve bu komutların çalıştırılmasına izin veriyor.”


“Potansiyel bir saldırı senaryosunda, saldırgan ilgili yükleme fonksiyonunu kötüye kullanarak BW/BPC veri depolarına karşı zararlı SQL komutları çalıştırır. Başarılı bir istismar sonrasında saldırgan:

  • Hassas finansal verileri dışarı çıkarabilir,
  • Raporları, modelleri veya konsolidasyon verilerini değiştirebilir,
  • Veritabanı içeriğini silebilir veya bozabilir,
  • ve büyük çaplı kesintilere neden olabilir.”

SAP ayrıca, ERP ve S/4HANA sistemlerini etkileyen yüksek önem dereceli bir yetkilendirme kontrolü eksikliğini gideren bir güvenlik notu da yayınladı. CVE-2026-34256 olarak takip edilen bu açık, bir ABAP programının çalıştırılmasına ve mevcut sekiz karakterlik executable programların yeniden yazılmasına olanak tanıyabilir.

Kalan güvenlik notlarından 16 tanesi (15 yeni, 1 güncellenmiş) orta seviyede olup şu riskleri içermektedir:

  • Bilgi sızması (information disclosure)
  • Hizmet engelleme (DoS)
  • XSS saldırıları
  • Kod enjeksiyonu
  • Kötü amaçlı içeriklere yönlendirme
  • Kurbanın tarayıcısında kod çalıştırma

Bu açıklar şu bileşenlerde giderilmiştir:

BusinessObjects, Business Analytics, Content Management, S/4HANA, Supplier Relationship Management, NetWeaver, HANA Cockpit, HANA Database Explorer, Material Master Application ve S4CORE.

Kalan iki güvenlik notu ise NetWeaver ve Landscape Transformation bileşenlerinde bulunan düşük önem dereceli kod enjeksiyonu açıklarını ele almaktadır.

SAP, bu açıkların herhangi birinin aktif olarak istismar edildiğine dair bir bilgi paylaşmamıştır. Kullanıcılara güvenlik notlarını mümkün olan en kısa sürede uygulamaları tavsiye edilmektedir.

Fortinet’te Kritik Zero-Day Alarmı

Fortinet, zero-day olarak istismar edilen bir FortiClient Enterprise Management Server (EMS) açığı için acil düzeltmeler yayınladı.

Uygunsuz erişim kontrolü (improper access control) sorunu olarak tanımlanan bu kritik seviye açıkCVE-2026-35616 (CVSS skoru: 9.1) olarak takip edilmekte olup uzaktan kod çalıştırma (RCE) için istismar edilebilir.

Fortinet’in güvenlik duyurusuna göre, uzaktaki saldırganlar zafiyetli bir FortiClient EMS sistemine özel olarak hazırlanmış istekler göndererek açığı tetikleyebilir. Açıklamaya göre, başarılı istismar için kimlik doğrulaması gerekmemektedir.

Şirket, “Fortinet bu açığın gerçek dünyada istismar edildiğini gözlemledi,” uyarısında bulundu.

Fortinet, FortiClient EMS 7.4.5 ve 7.4.6 sürümlerindeki açığı gidermek için hotfix yayınladığını7.2 sürümünün ise etkilenmediğini açıkladı.

Fortinet, “Yakında çıkacak olan FortiClientEMS 7.4.7 sürümü de bu soruna yönelik düzeltme içerecek. Bu arada mevcut hotfix açığı tamamen önlemek için yeterlidir,” dedi.

Araştırmacılara göre, bu zafiyet kimlik doğrulaması olmadan API kimlik doğrulama ve yetkilendirme mekanizmalarının atlatılmasına olanak tanıyor.

Bu sistemlerin, yeni zero-day açığının yanı sıra, bir haftadan uzun süredir istismar edilen CVE-2026-21643 SQL injection açığına karşı da potansiyel olarak savunmasız olduğu belirtiliyor.

Storm-1175: Zero-Day ile 24 Saatte Ransomware

Storm-1175 tarafından gerçekleştirilen saldırılar, bazı durumlarda henüz kamuya açıklanmamış zero-day açıkları ve yakın zamanda duyurulmuş zafiyetleri kullanarak ilk erişimi sağlamaktadır. Bazı vakalarda tehdit aktörünün, OWASSRF gibi birden fazla açığı zincirleyerek (exploit chaining) sistem içi faaliyetler yürüttüğü görülmüştür.

Sisteme sızdıktan sonra, finansal motivasyonlu bu siber suç grububirkaç gün içinde, bazı vakalarda ise 24 saatten kısa sürede veri sızdırma (exfiltration) ve Medusa ransomware dağıtımı gerçekleştirmektedir.

Bu süreçte grup:

  • Yeni kullanıcı hesapları oluşturarak kalıcılık (persistence) sağlar,
  • Web shelller veya meşru uzaktan yönetim yazılımları (RMM) kullanarak yatay hareket (lateral movement) yapar,
  • Kimlik bilgisi hırsızlığı gerçekleştirir,
  • Güvenlik çözümlerinin normal çalışmasını bozarak savunmayı zayıflatır ve ardından ransomwarei devreye alır.

2023’ten bu yana Storm-1175’in 16dan fazla zafiyeti istismar ettiği tespit edilmiştir:

  • CVE-2023-21529 (Microsoft Exchange Server)
  • CVE-2023-27351 ve CVE-2023-27350 (Papercut)
  • CVE-2023-46805 ve CVE-2024-21887 (Ivanti Connect Secure ve Policy Secure)
  • CVE-2024-1708 ve CVE-2024-1709 (ConnectWise ScreenConnect)
  • CVE-2024-27198 ve CVE-2024-27199 (JetBrains TeamCity)
  • CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 (SimpleHelp)
  • CVE-2025-31161 (CrushFTP)
  • CVE-2025-10035 (Fortra GoAnywhere MFT)
  • CVE-2025-52691 ve CVE-2026-23760 (SmarterTools SmarterMail)
  • CVE-2026-1731 (BeyondTrust)

Özellikle CVE-2025-10035 ve CVE-2026-23760 açıklarının, kamuya açıklanmadan önce zero-day olarak istismar edildiği belirtiliyor. 2024 sonu itibarıyla grup, Linux sistemleri hedef alma konusunda belirgin bir eğilim göstermiş, birçok organizasyonda zafiyetli Oracle WebLogic instancelarını istismar etmiştir. Ancak bu saldırılarda kullanılan spesifik zafiyet henüz bilinmemektedir.

Microsoft’a göre:
Storm-1175, açıklama ile yama uygulanması arasındaki sürede exploitleri hızlıca değiştirerek, birçok kurumun korumasız kaldığı bu boşluktan faydalanıyor.

Bu saldırılarda gözlemlenen dikkat çekici taktikler şunlardır:

  • PowerShell ve PsExec gibi LOLBins araçları ve Impacket kullanılarak yatay hareket gerçekleştirilmesi
  • PDQ Deployer ile hem yatay hareket hem de Medusa ransomware dahil payload dağıtımı yapılması
  • Windows Firewall politikalarının değiştirilerek RDP erişiminin açılması ve zararlı payloadların diğer sistemlere taşınması
  • Impacket ve Mimikatz kullanılarak kimlik bilgisi dump edilmesi
  • Microsoft Defender Antivirus istisnaları tanımlanarak ransomwarein engellenmesinin önüne geçilmesi
  • Bandizip ile veri toplama, Rclone ile veri sızdırma işlemleri gerçekleştirilmesi

Vercel İhlali Derinleşiyor: OAuth Zinciriyle Genişleyen Supply Chain Saldırısı

Uygulama ve web sitesi barındırma devi Vercel, Perşembe günü yaptığı açıklamada, şirketin son veri ihlalini fark etmesinden önce saldırganların bazı müşteri verilerine eriştiğini belirtti. Bu durum, olayın ilk tahmin edilenden daha geniş güvenlik etkileri olabileceğini gösteriyor.

Vercel, güvenlik olayı sayfasındaki güncellemede, ilk incelemeyi genişlettikten sonra Nisan başındaki ihlalden önceye ait zararlı faaliyetlere dair kanıtlar bulduğunu açıkladı.

Açıklamada şu ifadelere yer verildi:
Bu olaydan bağımsız ve daha önce gerçekleşmiş, az sayıda müşteri hesabında ihlal izleri tespit ettik. Bu durum sosyal mühendislik, zararlı yazılım veya diğer yöntemlerden kaynaklanmış olabilir.

Vercel ayrıca, Nisan ayındaki olay kapsamında daha fazla müşteri hesabının ele geçirildiğini de belirtti, ancak detay paylaşmadı ve yalnızca etkilenen müşterilerin bilgilendirildiğini söyledi.

San Francisco merkezli şirket, başlangıçta ihlalin, bir çalışanın Context AI tarafından geliştirilen bir uygulamayı indirmesi sonrası gerçekleştiğini açıklamıştı. Saldırganlar bu uygulamayı kullanarak çalışanın iş hesabına ve ardından Vercelin sistemlerine erişim sağlamıştı.

Yeni güncelleme, ihlalin daha geniş kapsamlı olabileceğini ve daha uzun süredir devam ediyor olabileceğini ortaya koyuyor.

Vercel CEO’su Guillermo Rauch, X platformunda yaptığı paylaşımda, saldırganların yalnızca Context AI ihlaliyle sınırlı kalmadığını ve o girişimin ihlalinin ötesinde de aktif olduklarını” doğruladı.

Saldırganlar, ele geçirilen çalışan hesabı üzerinden şirketin bazı iç sistemlerine ve şifrelenmemiş müşteri kimlik bilgilerine erişim sağladı.

Rauch’un açıklamaları, daha önce güvenlik araştırmacılarının yaptığı bir iddiayı güçlendiriyor: Context AI çalışanlarından birinin bilgisayarına, Roblox hileleri ararken indirilen bir yazılım aracılığıyla infostealer bulaşmış olabilir.

Şu an için kaç müşterinin etkilendiği bilinmiyor. Hem Vercel hem de Context AI, olaydan daha fazla şirketin etkilenmiş olabileceğini ve yeni mağdurların ortaya çıkabileceğini belirtiyor.

Ve Tüm Bu Siber Saldırılara Karşı
TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

Bizi arayın: 0216 450 25 94
[email protected]

En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Yayınlayan: Yayın Tarihi:
Labels: , , , , , ,
Kaydol: Kayıtlar (Atom)

Popüler Yayınlar