28 Ekim 2025

Siber Güvenlik Bülteni - Ekim 2025

 

Bültenimizin Ekim Ayı konu başlıkları; 
    • Hacking Team Geri Döndü
    • Oracle EBS’yi Vuran Kritik Sıfırıncı Gün Açığı
    • Windows 10’un Sonu, Siber Tehditlerin Başlangıcı mı?
    • JLR Hack: Tek Bir Saldırı, 5000 Kurumu ve 2.5 Milyar Dolarlık Ekonomiyi Vurdu
    • Fortinet’ten Arka Arkaya Kritik Güvenlik Uyarıları: FortiOS, FortiPAM ve FortiSwitch Manager

    Hacking Team Geri Döndü

    Kaspersky, Mart 2025’te kişiselleştirilmiş oltalama e-postalarıyla (spear phishing) hedeflenen bir kampanya tespit etti. Bulaşmayı başlatmak için başka bir işlem yapılmasına gerek yoktu; Google Chrome veya başka bir Chromium tabanlı web tarayıcısı kullanarak kötü amaçlı web sitesini ziyaret etmek yeterliydi. CVE-2025-2783

    Saldırganlar, hedeflere Primakov Readings forumuna davet ediliyormuş gibi görünen kişiselleştirilmiş e-postalar gönderdiler. Bu sebeple kampanya Operation ForumTroll olarak adlandırıldı. Hedefler arasında Rusya’daki medya kuruluşları, üniversiteler, araştırma merkezleri, devlet kuruluşları, finansal kurumlar ve benzer kuruluşlar bulunuyordu. Kötü amaçlı yazılımların işlevselliği ve hedef seçimi, operasyonun istihbarat / casusluk amaçlı olduğunu gösteriyor.
     
    Saldırı zinciri

    1. Oltalama e-postası (spear phishing):
      • E-postalar gerçekçi ve kişiselleştirilmişti; alıcıların bağlantıya tıklaması hedeflendi.
      • Önemli: Bağlantılar çok kısa ömürlüydü, tespit etmeyi zorlaştırmak için tasarlanmıştı.
    2. Kötü amaçlı web sitesi & Validator:
      • Ziyaretçi, kötü amaçlı siteye yönlendirilince bir doğrulama (validator) betiği çalışıyordu.
      • Validator, WebGPU API kullanarak sunucudan gelen verinin SHA‑256 hashini hesaplıyor ve ortamın gerçek bir kullanıcı / gerçek tarayıcı olduğunu doğruluyordu. Bu, otomatik tarayıcı botlarını ve sandbox/analiz sunucularını atlatmak için kullanılıyordu.
      • Doğrulama başarılı olursa, sunucu ECDH ile paylaşılan anahtar üzerinden AES‑GCM ile şifrelenmiş bir sonraki aşamayı gönderiyordu.
    3. Sandbox kaçış exploit’i (CVE-2025-2783):
      • CVE-2025-2783, Chrome’un sandbox korumasını aşmaya yönelik sofistike bir sıfır gün açığıydı.
      • Exploit, Chrome’un çoklu süreç mimarisi ve süreçler arası iletişim (Mojo / ipcz) mekanizmalarını hedefleyerek renderer (tarayıcı içeriği) süreçlerinden tarayıcı sürecine erişim sağlamayı deniyordu.
      • Önemli: Bu açığın keşfi sonucunda Google’a raporlandı ve Chrome 134.0.6998.177/.178 sürümlerine dahil edilen güvenlik düzeltmeleriyle kapatıldı. (CVE-2025-2783)
    4. Kalıcı yükleyici & sistem entegrasyonu:
      • Başarılı kaçış sonrası saldırganlar, COM hijacking gibi yöntemlerle kötü amaçlı DLL’leri sistem süreçlerine yükleyerek kalıcılık sağladılar.
      • Yükleyici, makineyi benzersiz şekilde tanımlamak için BIOS UUID gibi verilerle ilişkilendirme yapıyordu.
    5. Payload’lar — LeetAgent ve Dante:
      • LeetAgent: ForumTroll kampanyasında görülen, daha “klasik” işlevlere sahip casus yazılım: komut çalıştırma, süreç yönetimi, dosya okuma/yazma, keylogging ve veri sızdırma.
      • Dante: Daha sofistike, Memento Labs (eski Hacking Team) kökenli olduğu tespit edilen ticari seviyede bir spyware. Anti-analiz ve anti-debug teknikleriyle donatılmış, modüler ve şifreli konfigürasyon yönetimi yapabilen bir yazılım. Kod benzerlikleri Dante’nin Hacking Team’in altyapısından türediğini gösteriyor.
     Neden Dante önemli?
    • Dante, Hacking Team’in yeniden yapılanmasından sonra 2022 civarında ortaya çıkan ve uzun süre gizli kalmış bir spyware olarak dikkat çekiyor.
    • Kodu ve altyapısı incelendiğinde, daha önce Memento Labs/Hacking Team ile ilişkilendirilen araç setleriyle anlamlı benzerlikler bulundu. Bu da hem araç sağlayıcısı hem de operasyonel ilişkilendirme açısından kritik bir ipucu sağlıyor.
    • Uzmanlar, Dante ve ForumTroll kampanyasını yıllara yayılan saldırıları takip ederek bağdaştırdı; bu da uzun süreli istihbarat çalışmasının önemini gösteriyor.
     
    Sonuç ve Öneriler
    • Kullanıcı odaklı savunma yetersiz: Kişiselleştirilmiş oltalama mesajları hâlâ en etkili giriş yollarından biri. Eğitim + teknik kontroller birlikte yürütülmeli.
    • Tarayıcı güvenliği kritik: Chromium tabanlı tarayıcılar için hızlı güncelleme, izolasyon politikaları ve sandbox davranışlarını izleyen telemetri hayati.
    • E-posta/URL izleme: Kısa ömürlü linkler ve kişiselleştirilmiş payload’lar için gelişmiş e‑posta analitiği ve URL emülasyonu/izleme çözümleri önemli.
    • Tehdit istihbaratı ve korelasyon: Uzun süreli APT kampanyalarını yakalamak için olayları zaman içinde bağdaştıran merkezi izleme (SIEM/TI) zorunlu.
    • Tedarikçi ve üçüncü taraf denetimi: Ticari casus yazılımların ortaya çıkması, araç sağlayıcıların takibi ve tedarik zinciri güvenliğinin önemini artırıyor.

    Oracle EBS’yi Vuran Kritik Sıfırıncı Gün Açığı

    Son zamanlarda yaması yayınlanan Oracle E-Business Suite (EBS) sıfırıncı gün güvenlik açığı hakkında yeni bilgiler ortaya çıktı. Kanıtlar, tehdit aktörlerinin bu güvenlik açığından yama yayınlanmadan en az iki ay önce haberdar olduğunu gösteriyor.

    Google Threat Intelligence Group (GTIG) ve Mandiant2 Ekim tarihinde Oracle E-Business Suite’i hedef alan saldırılara karşı ilk uyarıyı yaptı. Bu uyarı, birçok kurum yöneticisinin Cl0p siber suç grubundan şantaj e-postaları alması sonrasında geldi.

    Daha sonra, saldırıların Cl0p grubu tarafından gerçekleştirildiği doğrulandı ve siber suçluların muhtemelen Ağustos ayından bu yana hedef alınan kuruluşların EBS sistemlerinden büyük miktarda veri çaldığı ortaya çıktı.

    Oracle, ilk etapta saldırıların Temmuz ayında yamalanan ancak belirtilmemiş bazı güvenlik açıklarının istismarıyla ilişkili olduğunu açıkladı. Ancak şirket, 4 Ekim tarihinde bir sıfırıncı gün (zero-day) açığın da istismar edildiğini doğruladı.

    Bu sıfırıncı gün açığı, CVE-2025-61882 olarak izleniyor ve CVSS puanı 9.8. Açık, Oracle Concurrent Processing’in BI Publisher Integration bileşenini etkiliyor. Kimliği doğrulanmamış bir saldırgan, bu açığı kullanarak uzaktan kod yürütme (remote code execution) gerçekleştirebiliyor.

    Uzmanlartam emin olmamakla beraber Rusya bağlantılı “Graceful Spider” adlı tehdit aktörüne bağlıyor. Graceful Spider, Cl0p fidye yazılımı saldırılarıyla biliniyor. Ancak uzmanlar, birden fazla grubun aynı sıfırıncı gün açığını istismar etmiş olabileceğini belirtiyor.

    Şu ana kadar toplanan veriler sıfırıncı gün açığının ilk kez 9 Ağustos’ta istismar edildiğini gösteriyor.

    ShinyHunters ve Scattered Spider (artık iş birlikleri sonucu “Scattered LAPSUS$ Hunters” adını kullanıyorlar) adlı hacker grupları, CVE-2025-61882 için bir proof-of-concept (PoC) istismar kodu yayımladı.

    Başlangıçta, Scattered LAPSUS$ Hunters grubunun Cl0p hacker’larıyla iş birliği yaptığı düşünülse de, yayınlanan PoC dosyalarından birinde yer alan bir mesaj, tehdit grupları arasında bir anlaşmazlık (çatışma) bulunduğunu gösteriyor.

    Oracle tarafından paylaşılan saldırı göstergeleri (IoC’ler)sızdırılan PoC’un gerçek olduğunu ima ediyordu. Bu durum, siber güvenlik firması tarafından yapılan PoC analizinde kesin olarak doğrulandı.

    Firma:

    “İstismar zinciri, en az beş farklı güvenlik açığının birlikte orkestre edildiği, yüksek düzeyde teknik beceri ve çaba gerektiren bir yapıya sahip. Bu sayede kimlik doğrulaması gerekmeksizin uzaktan kod yürütme elde ediliyor.”

    PoC’un artık halka açık hale gelmesiyle, siber güvenlik endüstrisi diğer tehdit aktörlerinin de CVE-2025-61882’yi silah envanterlerine eklemesini bekliyor. Ayrıca saldırganların hedef seçecek çok sayıda sistem bulma olasılığı hâlâ yüksek.

    İnternete açık durumda bulunan 2.000’den fazla Oracle E-Business Suite örneği tespit edildi. Shadowserver Foundation ise 570’den fazla potansiyel olarak savunmasız örnek belirledi. En fazla EBS örneğinin ABD’de, ardından Çin’de bulunduğu raporlandı.

    Windows 10’un Sonu, Siber Tehditlerin Başlangıcı mı?

    Windows 10’un destek süresi (End of Support - EOS) 14 Ekim 2025 itibarıyla sona erdi. Ancak işletim sistemi hâlâ yüz milyonlarca cihazda çalışmaya devam ediyor.

    Windows 10’un destek süresinin sona ermesiyle birlikte, Microsoft artık bu işletim sistemi için ücretsiz yazılım güncellemeleri, teknik destek veya güvenlik yamaları sağlamayacak.

    Windows 10 çalıştıran bilgisayarlar çalışmaya devam edecek, ancak yeni tehditler ortaya çıktıkça ve güvenlik yamaları yayınlanmadıkça, kötü amaçlı yazılımlar ve diğer siber saldırılar karşısında giderek daha savunmasız hale gelecekler.

    Microsoft, Windows 11’e hemen geçiş yapamayan kullanıcılar için Extended Security Updates (ESU) adlı yeni bir program başlattı.

    Bu programa katılarak 13 Ekim 2026’ya kadar güvenlik güncellemeleri alabilmek için:

    • Bireysel kullanıcılar 30 dolar,
    • Kurumsal kuruluşlar ise cihaz başına 61 dolar ödeyecek.

    Kuruluşlar için bu fiyat, ESU hizmetini üç yıla kadar uzatmak isteyenler için her yıl iki katına çıkacak.

    Ayrıca, Microsoft kısa süre önce Avrupa Ekonomik Alanı (EEA) içindeki kullanıcılar için ESU’nun ücretsiz olacağını da duyurdu.

    Kaç kullanıcının ESU programına dahil olacağı belirsiz, ancak önümüzdeki aylarda çok sayıda cihazın savunmasız hale gelmesi bekleniyor. Çünkü Windows 10 hâlâ en az %40 pazar payına sahip görünüyor.

    Microsoft’un son yıllarda paylaştığı verilere göre, Windows kullanıcı sayısı bir milyarın üzerinde. Bu da yüz milyonlarca bilgisayarın hâlâ Windows 10 çalıştırdığı anlamına geliyor.

    JLR Hack: Tek Bir Saldırı, 5000 Kurumu ve 2.5 Milyar Dolarlık Ekonomiyi Vurdu

    Ağustos 2025’te Jaguar Land Rover’a (JLR) yönelik gerçekleştirilen siber saldırı, bağımsız bir kuruluşa göre, Birleşik Krallık’ta şimdiye kadar yaşanan ekonomik açıdan en yıkıcı siber olay oldu.

    Cyber Monitoring Centre (CMC) adlı, siber olayların etkisini ölçmek amacıyla Şubat 2025’te kurulan Birleşik Krallık merkezli bağımsız kuruluş22 Ekim tarihli raporunda otomobil üreticisine yönelik siber saldırıyla ilgili bulgularını paylaştı.

    Kuruluş, siber saldırının Birleşik Krallık ekonomisinde 1,9 milyar sterlin (2,55 milyar dolar) düzeyinde bir mali etki yarattığını ve 5000’den fazla İngiltere merkezli kuruluşu etkilediğini tahmin ediyor.

    CMC, bu maliyetin “operasyonel teknolojinin ciddi şekilde etkilenmesi veya üretimin olay öncesi seviyelere dönmesinde beklenmedik gecikmeler yaşanması durumunda daha da artabileceğini” belirtti.

    Bu maliyet tahminini yapmak için CMC, JLR’nin üretim süreçlerinde yaşanan büyük aksaklıklarıçok katmanlı tedarik zinciri etkilerini ve otomobil bayileri gibi alt düzey kuruluşlarda yaşanan kesintileri dikkate aldı.

    CMC’ye göre, mali etkinin büyük çoğunluğu, JLR ve tedarikçilerindeki üretim kayıplarından kaynaklandı.

    Raporda şöyle denildi:

    “Olay, JLR’nin iç BT ortamını etkileyerek bir BT kapatmasına ve küresel üretim operasyonlarının durmasına neden oldu; buna İngiltere’deki büyük tesisler; Solihull, Halewood ve Wolverhampton fabrikalarıda dahil. Üretim hatları haftalarca durduruldu, bayii sistemleri aralıklı olarak devre dışı kaldı ve tedarikçiler, iptal edilen veya ertelenen siparişlerle karşı karşıya kaldı; gelecekteki sipariş hacimleriyle ilgili belirsizlik oluştu.”

    CMC analistleri, bir siber olayın toplam maliyetini değerlendirmek için altı farklı metriği kullanıyor:

    • İş kesintisi kayıpları,
    • Olay müdahalesi,
    • BT yeniden inşa ve kurtarma maliyetleri,
    • Tedarik zinciri iş kesintisi maliyetleri gibi göstergeler.


    Daha sonra, olaydan etkilenen kişi sayısını tahmin ediyor ve her olayı, toplam maliyet ve etkilenen kişi sayısına göre kategorize ediyorlar. 

    JLR saldırısının muazzam mali kaybı ve bağlantılı işletmelerdeki geniş çaplı kesintiler, tek bir olayın nasıl küresel ölçekte birbiriyle bağlantılı sistemleri zincirleme etkileyebileceğini ve ilk hedefin çok ötesinde büyük zararlar yaratabileceğini açıkça gösteriyor.

    Uzmanlar ise CMC tarafından tahmin edilen toplam finansal kaybın, JLR’ye yönelik saldırının gerçek maliyetinden çok uzak olabileceğini belirtti ve ekledi.

    1,9 milyar sterlinlik tahmin edilen kayıp, toplam zararın yalnızca küçük bir kısmını temsil ediyor olabilir; sadece halihazırda ortaya çıkmış ve ölçülebilir kayıpları yansıtıyor.” dedi.

    “Örneğin, JLR’nin değerli ticari sırlarının çalınması ve bunların düşman devletlerdeki rakip şirketler tarafından kullanılması, uzun vadede çok daha büyük mali kayıplara neden olabilir. Hatta bu durum, ekonomik belirsizlik ve yaklaşan mali kriz ortamında JLR’nin iflasıyla sonuçlanabilir.

    “Buradaki asıl endişe verici senaryo; düşman bir devletin, JLR büyüklüğünde ve ulusal öneme sahip 20-30 İngiliz şirketine, kritik altyapı sağlayıcıları da dahil, aynı anda saldırması. Bu durumda, ülke bir süreliğine internetsiz, hatta su ve elektriksiz kalabilir; bunun ötesinde, ekonominin çökmesi ve İngiliz borsasının yıkılması bile mümkündür.”

    Fortinet’ten Arka Arkaya Kritik Güvenlik Uyarıları: FortiOS, FortiPAM ve FortiSwitch Manager

    Fortinet, Ekim 2025 itibarıyla iki farklı ürün grubunda yüksek önem dereceli güvenlik açıkları tespit edildiğini duyurdu.
    Bu açıklar, FortiOS işletim sistemiFortiPAM ayrıcalıklı erişim yönetimi çözümü ve FortiSwitch Manager ağ yönetim aracı üzerinde ciddi güvenlik riskleri oluşturuyor.
     

    FortiOS CLI Komut Atlama (Command Bypass) Açığı - CVE-2025-58325

    14 Ekim 2025 tarihinde açıklanan bu açık, yerel kimliği doğrulanmış saldırganların sistem üzerinde rastgele komutlar çalıştırabilmesine neden olabiliyor.

    CVE-2025-58325 olarak izlenen zafiyet, CLI bileşenindeki hatalı işlev uygulamasından (CWE-684) kaynaklanıyor ve yetki yükseltmeye (privilege escalation) yol açabiliyor.
    • CVSS v3.1 Puanı: 7.8 (Yüksek Öncelikli)
    • Etki: Rastgele sistem komutu çalıştırma, cihaz kontrolünün ele geçirilmesi
    • Saldırı Türü: Yalnızca yerel erişim gerektiriyor, kullanıcı etkileşimi yok
    Bu açık, yüksek ayrıcalıklara sahip yerel kullanıcıların kötü amaçlı CLI komutları yazarak sistem kısıtlamalarını atlatmasına olanak tanıyor.

    Sonuç olarak, saldırgan cihaz üzerinde tam kontrol sağlayabilir, veri sızdırabilir veya ağı ele geçirebilir.

    Fortinet PSIRT ekibinden François Ropert tarafından keşfedilen bu açık, 100E/101E serisinden 7000F modeline kadar birçok üst düzey cihazı etkiliyor.

    Etkilenen Sürümler ve Çözümler
     
    FortiOS Sürümü    Etkilenen Yapılar    Önerilen Çözüm
    7.67.6.07.6.1 veya üzeri sürüme yükseltin
    7.47.4.0 – 7.4.57.4.6 veya üzeri sürüme yükseltin
    7.27.2.0 – 7.2.107.2.11 veya üzeri sürüme yükseltin
    7.07.0.0 – 7.0.157.0.16 veya üzeri sürüme yükseltin
    6.4Tüm sürümlerYamalı bir sürüme geçiş yapın

    Fortinet, müşterilere derhal sistem güncellemelerini uygulamalarını ve CLI günlüklerini (logs) anormal aktiviteler açısından izlemelerini tavsiye ediyor. Bu zafiyet FG-IR-24-361 referans numarasıyla takip ediliyor ve CLI yönetiminde “en az ayrıcalık ilkesi”nin uygulanması gerektiğini vurguluyor.
     

    FortiPAM ve FortiSwitch Manager Kimlik Doğrulama Zafiyeti - CVE-2025-49201

    Aynı gün, Fortinet, ikinci bir kritik güvenlik açığını daha duyurdu. Bu açık, saldırganların brute-force (kaba kuvvet) yöntemleriyle kimlik doğrulama mekanizmasını tamamen atlatmasına izin veriyor.

    CVE-2025-49201 olarak izlenen zafiyet, Web Application Delivery (WAD) ve Graphical User Interface (GUI) bileşenlerindeki zayıf kimlik doğrulama yapısından (CWE-1390) kaynaklanıyor.
    • CVSS v3.1 Puanı: 7.4 (Yüksek Öncelikli)
    • Etki: Yetkisiz kod yürütme veya komut enjeksiyonu (command injection)
    • Sonuç: Uzak saldırganların etkilenen sistemler üzerinde tam kontrol elde etmesi
    Bu açık, FortiPAM (Privileged Access Management) ürününün birden fazla sürümünü ve FortiSwitch Manager 7.2 serisini etkiliyor.

    Etkilenen Sürümler ve Çözüm Yolu
     
    ÜrünEtkilenen Sürüm(ler)Çözüm / Öneri
    FortiPAM 1.7Etkilenmiyor
    FortiPAM 1.6Etkilenmiyor
    FortiPAM 1.51.5.01.5.1 veya üzeri sürüme yükseltin
    FortiPAM 1.41.4.0 – 1.4.21.4.3 veya üzeri sürüme yükseltin
    FortiPAM 1.3 / 1.2 / 1.1 / 1.0Tüm sürümlerYamalı sürüme geçiş yapın
    FortiSwitch Manager 7.27.2.0 – 7.2.47.2.5 veya üzeri sürüme yükseltin
    FortiSwitch Manager 7.0Etkilenmiyor

    Fortinet, bu açığın ağ erişimi gerektirdiğini ancak ısrarlı brute-force denemeleriyle zaman içinde istismar edilebileceğini belirtti.

    Şu ana kadar herhangi bir kamuya açık exploit yayımlanmadı, ancak çok faktörlü kimlik doğrulamanın (MFA) geçici önlem olarak uygulanması tavsiye ediliyor.

    Açık, Fortinet Ürün Güvenliği ekibinden (PSIRT) Gwendal Guégniaud tarafından iç araştırmalar sonucunda keşfedildi ve 14 Ekim 2025’te FG-IR-25-010 referans numarasıyla yayımlandı.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:

    07 Ekim 2025

    Siber Güvenlik Bülteni - Eylül 2025


    Bültenimizin Eylül Ayı konu başlıkları; 
      • SAP NetWeaver ve S/4HANA’da Kritik Güvenlik Zafiyetleri 
      • Fortinet FortiDDoS-F Ürünlerinde Komut Enjeksiyonu Zafiyeti
      • GoAnywhere MFT’te Kritik Güvenlik Zafiyeti
      • Jaguar Land Rover, Siber Saldırı Sonrası Üretimi Askıya Aldı

      SAP NetWeaver ve S/4HANA’da Kritik Güvenlik Zafiyetleri

      SAP, kod yürütülmesine ve rastgele dosya yüklemeye yol açabilecek birden fazla güvenlik açığı için güvenlik güncellemeleri yayımladı; bunların arasında SAP NetWeaver’daki üç kritik zafiyet bulunuyor.

      Zafiyetler aşağıda listelenmiştir

      CVE-2025-42944 (CVSS skoru: 10.0) — SAP NetWeaver’daki bir deserialization açığı; kimliği doğrulanmamış bir saldırganın RMI-P4 modülü aracılığıyla açık bir porta kötü niyetli bir yük göndererek işletim sistemi komutlarını çalıştırmasına izin verebilir.

      CVE-2025-42922 (CVSS skoru: 9.9) — SAP NetWeaver AS Java’daki güvensiz dosya işlemleri açığı; yönetici olmayan bir kullanıcının rastgele bir dosya yüklemesine izin verebilir.

      CVE-2025-42958 (CVSS skoru: 9.1) — IBM i-series üzerindeki SAP NetWeaver uygulamasında kimlik doğrulama denetimi eksikliği; yüksek ayrıcalıklı ancak yetkisiz kullanıcıların hassas bilgileri okumasına, değiştirmesine veya silmesine ve ayrıca yönetici ya da ayrıcalıklı işlevlere erişmesine izin verebilir.

      CVE-2025-42944 kimliği doğrulanmamış bir saldırganın RMI-P4 modülü aracılığıyla açık bir porta kötü niyetli bir yük göndererek rastgele işletim sistemi komutları çalıştırmasına izin veriyor. Başarılı bir kötüye kullanım uygulamanın tam olarak ele geçirilmesine yol açabilir. Geçici bir çözüm olarak müşteriler bilinmeyen ana makinelerin P4 portuna bağlanmasını önlemek için ICM seviyesinde P4 portu filtrelemesi eklemelidir.

      SAP tarafından ayrıca, yüksek önem derecesine sahip bir girdi doğrulama hatası olan ve SAP S/4HANA’da (CVE-2025-42916, CVSS skoru: 8.1) düzeltilen bir zafiyet ele alındı; yüksek ayrıcalıklı ABAP raporlarına erişimi olan bir saldırganın, eğer tablolar bir yetkilendirme grubu ile korunmuyorsa, rastgele veritabanı tablolarının içeriğini silmesine izin verebilir.

      Yeni zafiyetlerin saldırganlar tarafından istismar edildiğine dair bir kanıt olmamasına rağmen, optimal koruma için kullanıcıların gerekli güncellemeleri mümkün olan en kısa sürede uygulaması hayati önem taşımaktadır.

      Fortinet FortiDDoS-F Ürünlerinde Komut Enjeksiyonu Zafiyeti

      Fortinet, ayrıcalıklı bir saldırganın yetkisiz komutlar çalıştırmasına olanak tanıyabilecek orta düzey bir güvenlik açığını FortiDDoS-F ürün serisinde açıkladı.

      CVE-2024-45325 olarak takip edilen bu zafiyet, ürünün komut satırı arayüzünde (CLI) bulunan bir işletim sistemi (OS) komut enjeksiyonu zafiyetidir.

      Bu zafiyet, CWE-78 olarak tanımlanmıştır ve işletim sistemi komutlarında kullanılan özel öğelerin yetersiz şekilde temizlenmesinden (improper neutralization) kaynaklanmaktadır.

      Yüksek ayrıcalıklara ve sistemde yerel erişime sahip bir saldırgan, CLI’ye özel olarak hazırlanmış istekler göndererek bu zayıflığı istismar edebilir.

      Başarılı bir istismar, saldırgana uygulamanın izinleriyle rastgele kod veya komut çalıştırma yetkisi verir; bu da sistemin tamamen ele geçirilmesiyle sonuçlanabilir.

      Bu güvenlik açığına CVSSv3 puanı 6.5 verilmiş olup, orta düzey önem kategorisindedir.

      CVSS vektörü:
      AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
      Bu vektör, saldırganın yerel erişime ve yüksek düzey ayrıcalıklara ihtiyaç duyduğunu, kullanıcı etkileşiminin gerekmediğini belirtmektedir.

      Yüksek ayrıcalık gereksinimine rağmen, gizlilik (confidentiality)bütünlük (integrity) ve erişilebilirlik (availability) üzerindeki potansiyel etki yüksektir..

      Etkilenen Sürümler ve Önlemler

      Fortinet, FortiDDoS-F’in birden fazla sürümünün bu zafiyetten etkilendiğini doğrulamıştır.

      FG-IR-24-344 danışmanlığı, 9 Eylül 2025’te yayımlanmış olup, etkilenen sürümler ve yöneticiler için önerilen adımlar detaylı şekilde açıklanmıştır.
       

      FortiDDoS-F 7.2Etkilenmez--
      FortiDDoS-F 7.07.0.0 - 7.0.27.0.3 veya daha üst versiyona yükseltin
      FortiDDoS-F 6.6Tüm versiyonlar  Sabit bir versiyona geçin
      FortiDDoS-F 6.5Tüm versiyonlar
       Sabit bir versiyona geçin
      FortiDDoS-F 6.4Tüm versiyonlar
       Sabit bir versiyona geçin
      FortiDDoS-F 6.3Tüm versiyonlar
       Sabit bir versiyona geçin
      FortiDDoS-F 6.2Tüm versiyonlar
       Sabit bir versiyona geçin
      FortiDDoS-F 6.1Tüm versiyonlar
       Sabit bir versiyona geçin

      Etkilenen sürümleri çalıştıran yöneticilerin, önerilen yamaları hemen uygulamaları veya güvenli sürüme geçiş yapmaları şiddetle tavsiye edilmektedir.

      • FortiDDoS-F 7.0 kullanan kurumların derhal 7.0.3 sürümüne yükseltmeleri gerekmektedir.
      • 6.1 ile 6.6 arasındaki eski sürümleri kullananların ise güvenli bir sürüme geçiş planı yapmaları önerilmektedir.

      GoAnywhere MFT’te Kritik Güvenlik Zafiyeti

      FortraGoAnywhere güvenli yönetilen dosya aktarım (MFT) yazılımında bulunan ve komut enjeksiyonu için istismar edilebilecek kritik bir güvenlik zafiyeti için yamalar yayımladı.

      GoAnywhere MFT, kuruluşların iş ortaklarıyla veri alışverişini otomatikleştirmesine ve güvence altına almasına olanak tanıyan kurumsal bir uygulamadır.

      Bu zafiyet, CVE-2025-10035 olarak takip ediliyor ve CVSS skoru 10 olan kritik bir hata olarak tanımlanıyor.

      Zafiyet, uygulamanın lisans servlet’ini etkileyen, güvenilmeyen verilerin ayrıştırılması (deserialization of untrusted data) sorunundan kaynaklanıyor.

      Fortra’nın güvenlik duyurusuna göre, bu hata, “geçerli şekilde sahte bir lisans yanıt imzası oluşturan bir saldırganın, keyfi olarak kendi kontrolündeki bir nesneyi ayrıştırmasına (deserialize etmesine) ve bu sayede komut enjeksiyonu gerçekleştirmesine” olanak tanıyor.

      Bu zafiyetin başarılı bir şekilde istismar edilmesi, kimliği doğrulanmamış saldırganların savunmasız GoAnywhere MFT örneklerinde uzaktan kod yürütme (RCE) elde etmelerini sağlayabilir.

      Fortra, güvenlik zafiyeti için yamaları GoAnywhere MFT 7.8.4 sürümüne ve GoAnywhere MFT Sustain 7.6.3 sürümüne ekledi ve müşterilerini, GoAnywhere Yönetim Konsolu’nun (Admin Console) kamuya (internete) açık olmamasını sağlamaları konusunda uyardı.

      Bu güvenlik açığının istismarı, sistemlerin internete dışa açık olmasına büyük ölçüde bağlıdır.
       
      Fortra, müşterilere ayrıca Admin Audit loglarını şüpheli etkinlikler için izlemelerini ve log dosyalarında “SignedObject.getObject:” dizesini içeren hata kayıtlarını kontrol etmelerini tavsiye ediyor; bu ifade, sistemin zafiyetten etkilendiğini gösterebilir.
       
      Ancak Fortra, bu zafiyetin hali hazırda istismar edildiğine dair herhangi bir bulgu olmadığını belirtiyor; Rapid7 de henüz kamuya açık bir istismar kodu görmediklerini ifade etti.

      Bununla birlikte, ürünün doğası ve geçmişi göz önünde bulundurulduğunda, bu yeni güvenlik açığı önemli bir tehdit olarak değerlendirilmelidir.

      2023 yılında, kötü şöhretli Cl0p fidye yazılımı operasyonuyla bağlantılı bilgisayar korsanları, Fortra’nın dosya aktarım ürünündeki sıfırıncı gün (zero-day) bir açığı (CVE-2023-0669) istismar ederek müşteri ortamlarında yetkisiz hesaplar oluşturmuş ve çok sayıda kuruluştan veri çalmıştı.

      Jaguar Land Rover, Siber Saldırı Sonrası Üretimi Askıya Aldı

      Jaguar Land Rover (JLR), yakın zamanda yaşanan bir siber saldırının ardından üretim faaliyetlerini üçüncü haftaya kadar askıya alacağını ve en az 24 Eylül’e kadar operasyonların durdurulacağını açıkladı fakat henüz tam anlamıyla üretim faaliyetleri devreye giremedi.

      Jaguar Land Rover (JLR), İngiltere’nin Coventry kentindeki Whitley bölgesinde merkezi bulunan lüks araç üreticisidir. Şirket, Jaguar ve Land Rover markalarını birleştirmektedir. 2008 yılından bu yana Hindistan merkezli Tata Motors’a ait olan JLR, daha önce Ford’un mülkiyetindeydi. JLR, 120’den fazla ülkede araç satmakta olup en büyük pazarları Avrupa, Kuzey Amerika ve Çin’dir.

      Eylül ayının başında Jaguar Land Rover, üretim ve perakende operasyonlarını aksatan bir siber saldırıyı önlemek amacıyla sistemlerini kapattı. Saldırı, Solihull üretim tesisindeki sistemleri de etkiledi.

      İngiltere’deki bayiler, saldırının araç tescil işlemleri ve yedek parça tedarikini engellediğini bildirdi.

      Şirket ilk açıklamasında, müşteri verilerinin ihlal edilmediğini belirtti:

      “JLR bir siber olaydan etkilendi. Etkisinin azaltılması için sistemlerimizi proaktif olarak kapatarak hemen önlem aldık. Şu anda küresel uygulamalarımızı kontrollü bir şekilde yeniden başlatmak için yoğun bir şekilde çalışıyoruz. Bu aşamada müşteri verilerinin çalındığına dair bir kanıt yok, ancak perakende ve üretim faaliyetlerimiz ciddi şekilde aksadı.”

      Otomobil üreticisi olayla ilgili teknik detayları açıklamadı, ancak yakın zamanda Birleşik Krallık’taki perakende firmalarına saldıran “Scattered Lapsus$ Hunters” grubuJLR saldırısının sorumluluğunu üstlendi.

      Geçtiğimiz hafta JLR, siber saldırının aynı zamanda bir veri ihlaline yol açtığını doğruladı, ancak hangi tür verilerin sızdırıldığına dair detay paylaşmadı:

      Bu hafta otomobil üreticisiüretim durdurmasının dördüncü haftaya uzatıldığını duyurdu. JLR, küresel operasyonların kontrollü şekilde yeniden başlatılmasının ek süre gerektirdiğini belirtti:

      Jaguar Land Rover’ın kapanması, haftalık en az 50 milyon sterlin üretim kaybına neden oluyor; bu da haftada yaklaşık 1.000 aracın üretilememesi anlamına geliyor.

      Jaguar Land Rover (JLR), tedarikçilerine, ciddi bir siber saldırının ardından fabrikalardaki üretimin en erken 24 Eylül’e kadar yeniden başlamayacağını bildirdi, ancak sektör kaynakları bu aksaklığın Kasım ayına kadar sürebileceği konusunda uyarıyor.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.


      Yayınlayan: Yayın Tarihi:

      03 Eylül 2025

      Siber Güvenlik Bülteni - Ağustos 2025

       

      Bültenimizin Ağustos Ayı konu başlıkları; 
        • Salesforce Veri Hırsızlığının Son Kurbanı Google Oldu
        • 1,2 Milyondan Fazla İnternete Bağlı Sağlık Cihazı Hasta Verilerini Tehlikeye Atıyor
        • Üretim Sektörü Risk Altında
        • Cisco, Kritik Güvenlik Zafiyetleri
        • Kuzey Kore’nin Siber Operasyonları Hacklendi

        Salesforce Veri Hırsızlığının Son Kurbanı Google Oldu

        Google, fidye yazılımı grubu ShinyHunters tarafından gerçekleştirilen ve devam eden Salesforce CRM veri hırsızlığı saldırılarının son kurbanı oldu.

        Haziran ayında, Google, 'UNC6040' olarak sınıflandırdıkları bir tehdit aktörünün, şirket çalışanlarını sesli kimlik avı (vishing) sosyal mühendislik saldırılarıyla hedef alarak Salesforce örneklerine sızdığını ve müşteri verilerini indirdiğini duyurmuştu. Bu veriler daha sonra verilerin sızdırılmasını engellemek için şirketlere fidye ödetmek için kullanılıyor.

        Google, Haziran ayında kendi Salesforce CRM örneklerinden birinin ihlal edilmesinin ardından aynı saldırının kurbanı olduğunu ve müşteri verilerinin çalındığını söyledi.

        Google’ın güncellemesinde şunlar yazıyordu:

        Haziran ayında, Google’ın kurumsal Salesforce örneklerinden biri bu gönderide açıklanan benzer UNC6040 faaliyetinden etkilendi. Google faaliyete yanıt verdi, bir etki analizi gerçekleştirdi ve hafifletme adımlarına başladı.

        "Bu örnek, küçük ve orta ölçekli işletmeler için iletişim bilgilerini ve ilgili notları saklamak için kullanılıyordu. Analiz, tehdit aktörü tarafından erişim kesilmeden önce kısa bir zaman diliminde verilerin alındığını ortaya koydu.”

        "Tehdit aktörü tarafından ele geçirilen veriler, işletme adları ve iletişim bilgileri gibi temel ve büyük ölçüde halka açık iş bilgileriyle sınırlıydı."

        Google, bu saldırıların arkasındaki tehdit aktörlerini 'UNC6040' veya 'UNC6240' olarak sınıflandırıyor. Ancak, bu saldırıları takip eden araştırmacılar, saldırıların arkasındaki kötü şöhretli tehdit aktörü ShinyHunters olduğunu öğrendi.

        Yıllardır faaliyette olan ShinyHunters, PowerSchool, Oracle Cloud, Snowflake veri hırsızlığı saldırıları, AT&T, NitroPDF, Wattpad, MathWay ve daha birçok şirketteki veri hırsızlığından sorumlu.

        Medyaya yaptığı açıklamada ShinyHunters, çok sayıda Salesforce örneğine sızdığını ve saldırıların hâlâ devam ettiğini iddia etti.

        Tehdit aktörü, bir trilyon dolarlık bir şirkete sızdıklarını ve fidye istemek yerine sadece verileri sızdırmayı düşündüklerini iddia etti. Bu şirketin Google olup olmadığı henüz belirsiz.

        Bu saldırılardan etkilenen diğer şirketler için tehdit aktörü, verilerin kamuya sızdırılmasını önlemek amacıyla onlardan fidye ödemelerini talep eden e-postalar gönderiyor.

        Tehdit aktörü, şirketlerle özel olarak pazarlığı bitirdikten sonra, verileri herkese açık olarak bir hacker forumunda sızdırmayı veya satmayı planlıyor.

        Araştırmacılar, verilerinin sızdırılmasını önlemek için 4 Bitcoin veya yaklaşık 400.000 dolar ödeyen bir şirket olduğunu öğrendi.

        Bu saldırılardan etkilenen diğer şirketler arasında Adidas, Qantas, Allianz Life, Cisco ve LVMH'nin alt kuruluşları olan Louis Vuitton, Dior ve Tiffany & Co. yer alıyor.

        1,2 Milyondan Fazla İnternete Bağlı Sağlık Cihazı Hasta Verilerini Tehlikeye Atıyor

        Yeni bir araştırmaya göre 1,2 milyondan fazla internete bağlı sağlık cihazı ve sistemi, hasta verilerini riske atıyor.

        En çok etkilenen 10 bölge (çoğunlukla Avrupa, ABD ve Güney Afrika):

        • Amerika Birleşik Devletleri (174 bin+)
        • Güney Afrika (172 bin+)
        • Avustralya (111 bin+)
        • Brezilya (82 bin+)
        • Almanya (81 bin+)
        • İrlanda (81 bin+)
        • Birleşik Krallık (77 bin+)
        • Fransa (75 bin+)
        • İsveç (74 bin+)
        • Japonya (48 bin+)
        Araştırma, 70’in üzerinde farklı tıbbi cihaz ve sistemini kapsıyor. Bunlar arasında MR, BT (CT), röntgenler, DICOM görüntüleyiciler, kan testi sistemleri, hastane yönetim sistemleri ve diğer erişilebilir tıbbi altyapılar bulunuyor.

        Cihazların savunmasız olmasının başlıca nedenleri:
        • Yanlış yapılandırmalar ve güvensiz yönetim ayarları
        • Varsayılan ya da zayıf parolalar
        • Güncellenmemiş veya yamalanmamış yazılım/firmware açıkları
        Araştırmacılar, birçok sistemde temel kimlik doğrulamanın bile olmadığını ve bazılarının hala “admin” veya “123456” gibi fabrika ayarı parolaları kullandığını ortaya çıkardı.

        Eski ve yamalanmamış yazılımlar ise kritik cihazları istismara açık hale getiriyor. Bu hatalar yalnızca hasta gizliliğini tehlikeye atmıyor, aynı zamanda dolandırıcılık, şantaj veya ağ ihlali için siber suçlulara yol açıyor.

        Bir taramada, bir hastanın göğüs ve beyin MR sonuçları, isimleri ve tıbbi geçmişiyle birlikte ortaya çıktı. Veriler, kişisel sağlık bilgileri (PHI) ve kişisel tanımlayıcı bilgileri (PII) içeriyor.

        Araştırmacılar ayrıca beyin taramalarını, hasta isimleri ve tarihleriyle birlikte buldular. Aynı yöntemle göz muayeneleri, diş röntgenleri, kan testleri, akciğer MR’ları gibi birçok başka tıbbi görüntüye erişildi.

        Çok sayıda tıbbi belge, yıllar öncesine kadar giden kayıtlar dahil, internet üzerinden açık şekilde erişilebilir durumdaydı.

        Bulgular, sağlıkta siber güvenliğin yalnızca bir IT sorunu değil, aynı zamanda hasta güvenliği meselesi olduğunu gösteriyor.

        Uzmanlar, tıbbi sistemlerin yalnızca güvenli ve doğru şekilde yapılandırılmış ağlara, gerçekten gerekli olduğunda bağlanması gerektiğini belirtiyor.

        Uzak MR operasyonlarının personel eksikliklerini gidermek ve uzman desteği sağlamak için yaygınlaştığı kabul ediliyor. Ancak, birçok sistem hala yeterli siber güvenlik önlemleri olmadan internete açık durumda.

        Araştırmada önerilen önlemler:

        Bunlar sayesinde sağlık kuruluşları, siber güvenlik risklerini ciddi şekilde azaltabilir. Uzak sağlık hizmetleri yaygınlaştıkça ve cihazlar internete bağlandıkça, dijital altyapının korunması kritik önem taşıyor.

        Üretim Sektörü Risk Altında

        Üretim sektörü artık siber saldırganlar tarafından en çok hedef alınan endüstrilerden biri haline geldi. Son yıllarda saldırılarda önemli bir artış yaşanıyor. Bu durumun başlıca nedenleri arasında, sektörün eski endüstriyel kontrol sistemlerine (ICS) olan bağımlılığı, Endüstri 4.0 ile artan bağlantı ve tedarik zinciri risklerine karşı savunmasızlık yer alıyor.      

        Üretim sektöründeki bir siber ihlalin sonuçları oldukça ağır olabilir. Bu sonuçlar, üretim aksamalarından kaynaklanan maliyetleri, sözleşme cezalarını, itibar kaybını, fidye maliyetlerini ve hatta makinelere fiziksel zararı içerebilir.
         
        1. Neden Üretim Sektörü Özellikle Savunmasız?

        • Üretim, diğer sektörlerde nadir rastlanan özgün siber güvenlik zorluklarıyla karşılaşıyor.
        • 2024 yılında sektöre yönelik siber saldırılar %71 artmış durumda.
        2. Karşılaşılan Temel Tehditler
        • Endüstriyel Kontrol Sistemleri (ICS): SCADA, PLC ve HMI gibi sistemler eski ve yerleşik güvenlikten yoksun.
        • Endüstri 4.0 / IoT Bağlantıları: Fabrikalardaki dijital dönüşüm, verim artırsa da siber saldırı risklerini büyütüyor.
        • Tedarik Zinciri Açıkları: Tedarikçi kaynaklı kod güvenliği, ana sistemlerde de risk yaratabilir.
        • Yoğun Dış İletişim: Uluslararası tedarikçiler ve müşterilerle yüzlerce irtibat, oltalama (phishing) gibi saldırılar için zemin sağlıyor.
        • IT Karmaşası: Sahada yüksek teknoloji kullanımı, R&D, lojistik, personel mobil cihazları gibi çeşitli sistemler saldırı yüzeyini genişletiyor.
        • Zayıf Fiziksel Güvenlik: Fiziki erişim kontrollerinin yetersiz olduğu birçok fabrika, içeriden tehdide açık durumda.
        3. Saldırı Neden Bu Kadar Çekici?
        • Kesintinin maliyeti: Üretim hatlarının durması saatler içinde onbinlerce dolara mal olabilir. Bu da fidye ödemeye iten güç oluyor.
        • Ticari casusluk: Tasarım ve fikri mülkiyet üreticiler için değerli — hem rakipler hem de devletler için cezbedici bir hedef.
        • Siber Aktivizm ve Kolay Hedef: Güvenlik seviyesi diğer sektörlere göre düşüktür; bu da mesela aktivist grupların ilgisini çekebilir.
        4. Tehditlerin Yükselen Trendi
        • 2021’den bu yana saldırılar hız kazandı: 2021’de üretim sektörü tüm siber saldırıların %22’sine hedef oldu; 2024’te saldırılar %71 arttı; 2025’in ilk çeyreğinde fidye saldırıları %46 daha arttı.

         
        Sektörün geleceği, bugün alınan önlemlere bağlı. Geleceğin akıllı fabrikaları, ancak güvenli temellerle yükselebilir.

        Cisco, Kritik Güvenlik Zafiyetleri

        Cisco, etkilenen sistemlerde uzaktan kod çalıştırmaya izin verebilecek kritik bir güvenlik zafiyetini ele almak için güvenlik güncellemeleri yayınladı.

        ZafiyetCVE-2025-20265 kimliğiyle tanımlandı (CVSS skoru: 10.0) ve RADIUS alt sistemi uygulamasını etkiliyor. Bu zafiyet, kimlik doğrulama yapılmamış, uzaktan bir saldırganın cihaz tarafından çalıştırılacak rastgele shell komutları enjekte etmesine olanak tanıyabilir.

        Cisco, sorunun kimlik doğrulama aşamasında kullanıcı girişinin uygun şekilde işlenmemesinden kaynaklandığını belirtti. Bu nedenle, saldırgan, RADIUS sunucusunda doğrulanan özel hazırlanmış girişler gönderebilir.

        Şirketin yayınladığı uyarıda şöyle deniyor:

        "Başarılı bir istismar, saldırganın yüksek ayrıcalık seviyesinde komut çalıştırmasına izin verebilir. Bu güvenlik açığından faydalanabilmek için, Cisco Secure FMC Yazılımının web tabanlı yönetim arayüzü, SSH yönetimi veya her ikisi için RADIUS kimlik doğrulaması ile yapılandırılmış olması gerekir."

        Etkilenen sürümler: Cisco Secure FMC Yazılımı 7.0.7 ve 7.7.0, RADIUS kimlik doğrulaması etkinse.

        Şirket tarafından sağlanan yamaları uygulamak dışında çözüm yok.

        CVE-2025-20265 dışında, Cisco ayrıca bir dizi yüksek öncelikli hatayı da çözdü:

        • CVE-2025-20217 (CVSS skoru: 8.6) – Cisco Secure Firewall Threat Defense Yazılımı Snort 3 Hizmet Dışı Bırakma Açığı
        • CVE-2025-20222 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Firepower 2100 Serisi IPv6 üzerinden IPsec Hizmet Dışı Bırakma Açığı
        • CVE-2025-20224CVE-2025-20225CVE-2025-20239 (CVSS skoru: 8.6) – Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı IKEv2 Hizmet Dışı Bırakma Açıkları
        • CVE-2025-20133CVE-2025-20243 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Uzaktan Erişim SSL VPN Hizmet Dışı Bırakma Açıkları
        • CVE-2025-20134 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı SSL/TLS Sertifika Hizmet Dışı Bırakma Açığı
        • CVE-2025-20136 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı NAT DNS Denetimi Hizmet Dışı Bırakma Açığı
        • CVE-2025-20263 (CVSS skoru: 8.6) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Web Servisleri Hizmet Dışı Bırakma Açığı
        • CVE-2025-20148 (CVSS skoru: 8.5) – Cisco Secure Firewall Management Center Yazılımı HTML Enjeksiyon Açığı
        • CVE-2025-20251 (CVSS skoru: 8.5) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı VPN Web Sunucusu Hizmet Dışı Bırakma Açığı
        • CVE-2025-20127 (CVSS skoru: 7.7) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Firepower 3100 ve 4200 Serileri TLS 1.3 Hizmet Dışı Bırakma Açığı
        • CVE-2025-20244 (CVSS skoru: 7.7) – Cisco Secure Firewall Adaptive Security Appliance ve Secure Firewall Threat Defense Yazılımı Uzaktan Erişim VPN Web Sunucusu Hizmet Dışı Bırakma Açığı

        Hiçbir açık şu anda aktif olarak kötüye kullanılmamış olsa da, ağ cihazlarının saldırganların hedefi haline gelmesi göz önüne alındığında, kullanıcıların hemen yazılımlarını en güncel sürüme güncellemeleri kritik önem taşıyor.


        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Kuzey Kore’nin Siber Operasyonları Hacklendi

        Saber ve Cyborg isimlerini kullanan hacker’lar, ünlü Kimsuki Grubu ile bağlantılı bir Kuzey Koreli siber operatörü başarılı bir şekilde hacklediklerini iddia ediyor.

        Ele geçirilen veriler adeta bir altın madeni – dahili araçlar, eğitim kılavuzları, kimlik bilgileri ve e-posta adresleri.

        Sızdırılanlar, casusluk taktikleri ve kripto para hırsızlığı kampanyaları hakkında detaylı bir tablo sunuyor. Ve tüm bunlar, yalnızca tek bir ele geçirilmiş iş istasyonundan ortaya çıktı. Evet, sadece bir bilgisayar Kuzey Kore’nin geniş siber operasyonlarını açığa çıkardı.

        Fortinet VPN’leri Saldırı Altında

        Bu ayın başından itibaren Fortinet SSL VPN’lerine yönelik brute force saldırılarında ciddi bir artış görüldü. Ve bu da bitmedi. Tehdit aktörleri artık FortiManager servislerini de hedef alıyor – ikinci dalga koordineli saldırılarla devam ediyor.

        Bu strateji açık bir modeli işaret ediyor: “Önce çevreyi aş, sonra yönetim sistemlerine yatay olarak ilerle.” Uzak erişim tehditleri artıyor – ve VPN’ler doğrudan hedefte.

        Nasıl Güvende Kalınır?

        • VPN’lerinizi hemen sıkılaştırın.
        • FortiManager’a erişimi kısıtlayın.
        • MFA (Multi-Factor Authentication) uygulayın.
        • Giriş denemelerini sınırlandırın.
        • Yönetim portlarına gelen olağandışı trafiği izleyin.
        • Direkt TINA Çözümleri ile hepsinden kurtulabilirsiniz.
         
        ShinyHunters + Scattered Spider: Tehlikeli İkili

        İki siber suç çetesi – ShinyHunters ve Scattered Spider – artık güçlerini birleştiriyor.

        Sosyal mühendislik ve şantaj taktiklerini harmanlayarak yıkıcı sonuçlar doğuruyorlar.

        Araç setleri şunları içeriyor:
        • Telefon tabanlı oltalama (vishing)
        • Sahte IT destek aramaları
        • Oltalama e-postaları
        • Sahte tek oturum açma (SSO) portalları

        Hedefleri; kullanıcıları kandırmak, sistemlere sızmak ve ardından verileri sızdırma tehdidiyle kurumları baskı altına almak. Ve hedefler arasında perakende, havacılık, teknoloji, finansal hizmetler gibi büyük sektörler var.


        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Yayınlayan: Yayın Tarihi:
        Kaydol: Yorumlar (Atom)

        Popüler Yayınlar