28 Ocak 2026

Siber Güvenlik Bülteni - Ocak 2026

 

Bültenimizin Ocak Ayı konu başlıkları; 
    • Kritik MongoDB Zafiyeti: MongoBleed 
    • Yamalı Fortinet Cihazları da Hackleniyor: Kritik SSO Açığı
    • Korean Air Tedarikçi Kaynaklı Siber Saldırıyla Sarsıldı
    • Sahte Mavi Ekran Tuzağı: Oteller ClickFix Saldırısı Altında
    • Veeam Backup & Replication’da Kritik RCE Açığı

    Kritik MongoDB Zafiyeti: MongoBleed

    Saldırganlar, MongoDB’deki kritik bir güvenlik açığını aktif olarak istismar ederek, etkilenen bir sunucunun belleğinden doğrudan hassas bilgileri çalıyor.

    Saldırıların, güvenlik açığı için yayımlanan kanıt amaçlı exploit kodunun (PoC) kamuya açık hale gelmesinden yalnızca üç gün sonra29 Aralık’ta başladığı görülüyor.

    CVE-2025-14847 olarak tanımlanan ve “MongoBleed” adı verilen bu güvenlik açığı, uzaktaki saldırganların herhangi bir kimlik doğrulama olmaksızın sunucu belleğinden açık metin kimlik bilgilerini, kimlik doğrulama token’larını ve hassas müşteri verilerini çıkarmasına olanak tanıyor. PoC’yi test eden uzmanlar, kodun tamamen işlevsel ve güvenilir olduğunu belirtti; bu durum, kendi kendini yöneten (self-managed) MongoDB örnekleri çalıştıran kurumlar için ciddi bir tehdit oluşturuyor.

    MongoBleed Güvenlik Tehdidi

    Bu hafta yayımlanan bir raporda, uzmanlar etkilenen kurumları normal yama döngülerini beklemek yerine açığı derhal gidermeye çağırdı ve şu ifadeye yer verildi:
    “Sızıntının doğası göz önüne alındığında, yalnızca yamalamak yeterli değildir; organizasyonlara, giderme öncesinde açığa çıkmış olabilecek tüm veritabanı ve uygulama kimlik bilgilerini de değiştirmesi tavsiye edilir.”

    MongoDB Inc., güvenlik açığını ilk kez 19 Aralık’ta kamuoyuna duyurdu. Bir hafta içinde, yani 26 Aralık’ta, işlevsel exploit kodu çevrimiçi olarak yayımlandı; yalnızca üç gün sonra ise ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) açığın gerçek saldırılarda aktif olarak istismar edildiğini doğruladı. MongoDB, bu zafiyete 10 üzerinden 8,7 CVSS etki puanı verdi; ancak uzmanlar, açığın etkilerinin etkilenen organizasyonlar için kritik seviyede olduğuna dikkat çekti.

    Özel olarak MongoBleed, birçok üretim ortamında yaygın bir yapılandırma olan Zlib sıkıştırma algoritmasını ağ mesajları için kullanan MongoDB sunucularındaki bir bellek sızıntısını istismar ediyor. Bir saldırgan, Zlib sıkıştırması kullanan özel hazırlanmış ağ paketleri aracılığıyla MongoDB sunucusunu bellek içeriğini sızdırmaya zorlayabiliyor; bu nedenle açık “MongoBleed” olarak adlandırılıyor.

    Bu güvenlik açığını özellikle tehlikeli kılanhiçbir kimlik doğrulama gerektirmemesidir. Uzaktaki herhangi bir saldırgan, geçerli kimlik bilgilerine ya da özel yetkilere ihtiyaç duymadan bu açığa ağ üzerinden erişebilir. Sızdırılan bellek, parolalar, API anahtarları ve eşzamanlı diğer veritabanı oturumlarından gelen veriler dahil olmak üzere yüksek değerli bilgi içerebilir.

    Bu açığın tek sınırlayıcı yönü ise, CVE-2025-14847’nin saldırganların yalnızca başlatılmamış (uninitialized) heap belleğini, yani sunucu RAM’inde daha önceki verilerden düzgün şekilde temizlenmemiş alanları çalmasına izin vermesidir. Bu nedenle MongoBleed üzerinden sunucu belleğindeki belirli bir veriyi hedeflemek mümkün değildir.

    MongoDB Verilerini Çalmak İçin Yeni Bir İstismar Aracı

    Uzmanlar, savunmasız MongoDB sunucularına saldırmak için teknik eşiği ciddi şekilde düşüren yeni bir istismar aracı tespit ettiklerini açıkladı. Bu araç, grafiksel bir kullanıcı arayüzüne (GUI) sahip ve daha az deneyimli tehdit aktörlerinin bile:

    • Etkilenen bir sunucudan tek seferde otomatik olarak 10 MB bellek çıkarmasına, veya
    • Veri sızdırma sürecini canlı görsel akış üzerinden izlemesine

    olanak tanıyor. Bu da karmaşık komut satırı işlemlerine veya kodlama bilgisine olan ihtiyacı ortadan kaldırıyor.

    CVE-2025-14847, MongoDB’nin 4.4, 5.0, 6.0, 7.0 ve 8.0 sürüm dallarının tamamını etkiliyor. MongoDB, etkilenen kurumların 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30 sürümlerine yükseltme yapmasını istiyor.

    MongoDB yayımladığı güvenlik duyurusunda şu uyarıyı yaptı:
    “Eğer hemen yükseltme yapamıyorsanız, mongod veya mongos’u Zlib’i açıkça hariç tutan bir networkMessageCompressors ya da net.compression.compressors seçeneğiyle başlatarak MongoDB Sunucusu’nda zlib sıkıştırmasını devre dışı bırakın. Güvenli örnek değerler arasında snappy, zstd veya tamamen devre dışı bırakma yer alır.”

    MongoBleed saldırılarının ortaya çıkışı, yama yönetiminin kurumsal savunma için hala kritik olduğunu ve bir güvenlik açığının duyurulması ile aktif olarak istismar edilmesi arasındaki sürenin giderek daraldığını bir kez daha gösteriyor. Vectra.ai tarafından yapılan 2025 tarihli bir analiz, yeni açıklanan açıkların istismar edilme süresinin 2018–2019 döneminde ortalama 63 gün iken2024 itibarıyla sadece 5 güne düştüğünü ortaya koyuyor. Vectra.ai ayrıca, açıkların %28’inden fazlasının duyurudan sonraki ilk 24 saat içinde istismar edildiğini tespit etti. İstismar geliştirme süreçlerinde yapay zekanın artan kullanımı, bu süreleri daha da kısaltabilir ve güvenlik ekipleri üzerindeki baskıyı artırabilir

    Yamalı Fortinet Cihazları da Hackleniyor: Kritik SSO Açığı

    Yöneticiler, tamamen yamalanmış güvenlik duvarlarının ele geçirildiğini bildirmeye başladıktan günler sonra, FortinetAralık ayı başından beri yamalanmış olması gereken kritik bir FortiCloud SSO kimlik doğrulama atlatma açığını tam olarak gidermek için çalıştığını doğruladı.

    Bu gelişme, Fortinet müşterilerinden gelen ve tehdit aktörlerinin CVE-2025-59718 güvenlik açığına ait bir yama atlatma yöntemini kullanarak tamamen güncel güvenlik duvarlarını ele geçirdiğini bildiren çok sayıda raporun ardından geldi.

    Siber güvenlik uzmanları, yaptığı açıklamada, saldırı kampanyasının 15 Ocak’ta başladığını ve saldırganların otomatik saldırılarla saniyeler içinde VPN erişimine sahip hesaplar oluşturup güvenlik duvarı yapılandırmalarını çaldığını belirtti. Şirket ayrıca bu saldırıların, Aralık ayında Fortinet ürünlerindeki CVE-2025-59718 kritik açığının açıklanmasının ardından belgelenen olaylara çok benzediğini ekledi.

    Perşembe günü Fortinet, bu raporları nihayet doğrulayarak, devam eden CVE-2025-59718 saldırılarının Aralık ayındaki kötü amaçlı faaliyetlerle örtüştüğünü ve açığı tamamen yamalamak için çalıştığını açıkladı.

    Etkilenen Fortinet müşterileri, saldırganların 104. 28 .244 .114 IP adresinden cloud-init@mail[.]io üzerinden yapılan bir SSO oturum açma işleminin ardından yönetici (admin) kullanıcılar oluşturduğunu gösteren günlük (log) kayıtlarını da paylaştı. Bu göstergeler, uzmanların devam eden FortiGate saldırılarını ve Aralık ayındaki gerçek ortam (in-the-wild) istismarlarını analiz ederken tespit ettiği IOC’lerle ve Fortinet’in Perşembe günü paylaştığı bulgularla örtüşüyor.

    Fortinet Bilgi Güvenliği Direktörü (CISO) Carl Windsor şu açıklamayı yaptı:
    “Son dönemde az sayıda müşteri, önceki sorunla çok benzer beklenmedik oturum açma faaliyetleri bildirdi. Ancak son 24 saat içinde, saldırı anında en güncel sürüme tamamen yükseltilmiş cihazların da istismar edildiğini tespit ettik. Bu durum, yeni bir saldırı yoluna işaret ediyor.”

    Windsor sözlerine şöyle devam etti:
    “Fortinet ürün güvenliği ekibi sorunu tespit etti ve şirket bu durumu gidermek için bir düzeltme üzerinde çalışıyor. Düzeltmenin kapsamı ve zaman çizelgesi netleştiğinde bir güvenlik duyurusu yayımlanacak. Şu an için yalnızca FortiCloud SSO istismarları gözlemlenmiş olsa da, bu sorunun tüm SAML SSO uygulamaları için geçerli olduğunu vurgulamak gerekir.”

    Fortinet: Yönetici erişimini kısıtlayın, FortiCloud SSO’yu devre dışı bırakın

    Fortinet, CVE-2025-59718 açığı tamamen giderilene kadar, müşterilere uç ağ (edge) cihazlarına İnternet üzerinden yapılan yönetici erişimini kısıtlamalarını tavsiye ediyor. Bunun için, cihazların yönetim arayüzlerine erişebilecek IP adreslerini sınırlayan yerel bir politika (local-in policy) uygulanması öneriliyor.

    Yöneticilerin ayrıca, Fortinet cihazlarında FortiCloud SSO özelliğini devre dışı bırakmaları gerekiyor. Bunun için System → Settings → Switch yoluna gidilerek “Allow administrative login using FortiCloud SSO” seçeneğinin kapatılması isteniyor.

    Cihazlarını istismar sonrası izler açısından kontrol ederken IOC’lerden herhangi birini tespit eden Fortinet müşterilerine“sistemi ve yapılandırmayı ele geçirilmiş kabul etmeleri”kimlik bilgilerini (LDAP/AD hesapları dahil) değiştirmeleri ve bilinen temiz bir yapılandırma sürümünden geri yükleme yapmaları tavsiye ediliyor.

    İnternet güvenliği izleme kuruluşu Shadowserver, şu anda FortiCloud SSO etkin halde internete açık yaklaşık 11.000 Fortinet cihazını takip ediyor. CISA da 16 Aralık’ta CVE-2025-59718’i aktif olarak istismar edilen güvenlik açıkları listesine ekledi ve federal kurumlara bir hafta içinde yama uygulama talimatı verdi.

    Korean Air Tedarikçi Kaynaklı Siber Saldırıyla Sarsıldı

    Güney Koreli havayolu şirketi Korean Air, eski iştiraki ve halihazırdaki ikram ve duty-free tedarikçisi Korean Air Catering & Duty-Free (KC&D)’ye yönelik bir siber saldırının ardından, 30.000 çalışana ait kaydın açığa çıktığını duyurdu. KC&D, Korean Air’e ek olarak Asya’dan ve dünyanın diğer bölgelerinden birçok büyük havayoluna da hizmet veriyor.

    Korea JoongAng Daily’nin aktardığına göre, KC&D kısa süre önce Korean Air’i bilgilendirerek, havayolunun çalışanlarına ait bilgilerin ihlal edildiğini bildirdi.

    Korean Air’in açıklamasına göre, saldırganlar KC&D üzerinden yaklaşık 30.000 mevcut ve eski çalışana ait bilgileri ele geçirdi. Sızdırılan veriler arasında isimler ve banka hesap numaraları bulunuyor. Havayolu, müşteri verilerinin etkilenmediğini özellikle vurguladı.

    Açıklanan olayın, yakın zamanda ortaya çıkan Oracle E-Business Suite (EBS) saldırı kampanyasıyla bağlantılı olduğu düşünülüyor. Bu kampanyada siber suçlular, EBS için sıfır gün (zero-day) güvenlik açıklarını istismar ederek, kurumsal yönetim yazılımını kullanan 100’den fazla kuruluşta depolanan verilere erişim sağladı.

    Saldırıların FIN11 tehdit grubu kümelenmesi tarafından gerçekleştirildiği düşünülse de, Cl0p fidye yazılımı grubu saldırının sorumluluğunu kamuoyuna açık şekilde üstlendi. Cl0p, Tor tabanlı sızıntı sitesinde mağdur kuruluşların isimlerini yayımladı ve fidye ödemeyi reddeden şirketlerden çalındığı iddia edilen verileri paylaştı.

    KC&D, 21 Kasım’da Cl0p’un sızıntı sitesine eklendi. Siber suçlular, o tarihten bu yana şirketten çalındığı iddia edilen dosyaları içeren yaklaşık 500 GB’lık arşivi kamuoyuna açıkladı.

    Oracle EBS saldırı kampanyası, onlarca büyük kuruluşu etkiledi ve havacılık sektöründeki tek mağdur KC&D değilAmerican Airlines’ın iştiraki Envoy Air, doğrulanan ilk mağdurlar arasında yer aldı.

    Oracle saldırısından etkilenen bazı kuruluşlar, veri ihlalinin yalnızca çalışan bilgileriyle sınırlı olduğunu belirtirken; bazıları ise sistemlerinden milyonlarca kişiye ait kişisel verinin çalındığını kabul etti.

    Korean Air veri ihlaline ilişkin haberler, Güney Kore’nin bir diğer büyük havayolu Asiana Airlines’ınyaklaşık 10.000 çalışana ait bilgilerin bilgisayar korsanları tarafından ele geçirilmiş olabileceğini bildirmesinden sadece günler sonra geldi. Asiana’daki siber güvenlik olayının Oracle EBS kampanyasıyla bağlantılı olduğuna dair herhangi bir bulgu bulunmuyor.

    ABD Dışişleri Bakanlığı ise Clop’un saldırılarını herhangi bir yabancı hükümete bağlayabilecek bilgi sağlayanlara 10 milyon dolara kadar ödül verileceğini duyurdu.

    Sahte Mavi Ekran Tuzağı: Oteller ClickFix Saldırısı Altında

    Avrupa’daki konaklama sektörünü hedef alan yeni bir ClickFix sosyal mühendislik kampanyası, sahte Windows Mavi Ekran (Blue Screen of Death – BSOD) görüntüleri kullanarak kullanıcıları, zararlı yazılımı kendi elleriyle derleyip çalıştırmaya ikna ediyor.

    BSOD, Windows işletim sisteminin kritik ve kurtarılamaz bir hata ile karşılaştığında sistemi durdurduğunu gösteren çökme ekranıdır.

    ClickFix sosyal mühendislik saldırıları, bir hata ya da sorun varmış gibi davranan ve ardından bunu çözmek için sözde “düzeltmeler” sunan web sayfalarından oluşur. Bu hatalar; sahte hata mesajları, güvenlik uyarıları, CAPTCHA doğrulamaları veya güncelleme bildirimleri olabilir ve ziyaretçiden sorunu çözmek için bilgisayarında bir komut çalıştırması istenir.

    Bu süreçte kurbanlar, saldırganların verdiği kötü amaçlı PowerShell veya kabuk (shell) komutlarını çalıştırarak kendi sistemlerini kendileri enfekte eder.

    Bu yeni ClickFix kampanyasında saldırganlar, Booking.com üzerinden rezervasyonunu iptal eden bir otel müşterisi gibi görünen oltalama e-postaları gönderiyor. Bu e-postalar genellikle otel veya konaklama firmalarına ulaşıyor. İddia edilen iade tutarı, e-postayı alan kişide aciliyet hissi yaratacak kadar yüksek oluyor.

    E-postadaki bağlantıya tıklandığında kurban, low-house[.]com alan adında barındırılan sahte bir Booking.com sitesine yönlendiriliyor. Uzmanlar bu siteyi, “gerçeğine son derece benzeyen bir kopya” olarak tanımlıyor.

    Site, hedef kullanıcıya “Yükleme çok uzun sürüyor” şeklinde sahte bir hata gösteren kötü amaçlı JavaScript barındırıyor ve sayfayı yenilemesi için bir butona tıklamasını istiyor.

    Ancak kullanıcı bu butona tıkladığında, tarayıcı tam ekran moduna geçiyor ve sahte bir Windows BSOD çökme ekranı göstererek ClickFix sosyal mühendislik saldırısını başlatıyor.

    Bu sahte ekran, kullanıcıdan Windows Çalıştır (Run) penceresini açmasını ve ardından CTRL+V tuşlarına basmasını istiyor. Bu işlem, daha önce Windows panosuna kopyalanmış olan kötü amaçlı komutu yapıştırıyor.

    Ardından kullanıcıdan OK butonuna basması ya da Enter tuşuna basarak komutu çalıştırması isteniyor.

    Gerçek BSOD ekranları asla kurtarma talimatları sunmaz, yalnızca bir hata kodu ve yeniden başlatma bildirimi gösterir. Ancak deneyimsiz kullanıcılar veya bir anlaşmazlığı hızla çözmeye çalışan baskı altındaki otel personeli, bu kandırmacayı fark etmeyebilir.

    Yapıştırılan komut çalıştırıldığında, PowerShell üzerinden bir komut devreye girer ve sahte bir Booking.com yönetici sayfası açılır. Aynı anda arka planda, kötü amaçlı bir .NET projesi (v.proj) indirilir ve Windows’un meşru derleyicisi MSBuild.exe kullanılarak derlenir.

    Çalıştırıldığında bu yük; Windows Defender istisnaları ekleryönetici yetkisi almak için UAC istemlerini tetikler, ardından Background Intelligent Transfer Service (BITS) üzerinden ana yükleyiciyi indirir ve Başlangıç klasörüne bir .url dosyası bırakarak kalıcılık sağlar.

    Ortaya çıkan zararlı yazılım (staxs.exe), tehdit aktörleri tarafından enfekte sistemlere uzaktan erişim sağlamak için yaygın olarak kullanılan bir DCRAT uzaktan erişim Truva atıdır (RAT).
    Komuta-kontrol (C2) sunucusuyla ilk bağlantı kurulduğunda, zararlı yazılım tam sistem parmak izini gönderir ve ardından gelecek komutları bekler.

    Bu zararlı yazılım; uzaktan masaüstü erişimi, tuş kaydı (keylogging), ters kabuk (reverse shell) ve bellek içinden ek yüklerin çalıştırılması gibi yeteneklere sahiptir. Uzmanların gözlemlediği vakada saldırganlar ayrıca bir kripto para madencisi de yüklemiştir.

    Uzaktan erişim sağlandıktan sonra, tehdit aktörleri artık hedef ağda kalıcı bir dayanak elde eder. Bu durum, diğer cihazlara yayılmalarına, veri çalmalarına ve ek sistemleri ele geçirmelerine olanak tanır.

    Veeam Backup & Replication’da Kritik RCE Açığı

    Veeam, Backup & Replication yazılımındaki birden fazla güvenlik açığını gidermek için güvenlik güncellemeleri yayımladı. Bu açıklar arasında, uzaktan kod çalıştırmaya (RCE) yol açabilecek “kritik” bir zafiyet de bulunuyor.

    CVE-2025-59470 olarak takip edilen bu güvenlik açığı, 9.0 CVSS puanına sahip.

    Salı günü yayımlanan bültende şu ifadeye yer verildi:
    “Bu güvenlik açığı, bir Backup veya Tape Operator kullanıcısının, kötü amaçlı bir interval veya order parametresi göndererek postgres kullanıcısı yetkileriyle uzaktan kod çalıştırmasına (RCE) olanak tanır.”

    Veeam dokümantasyonuna göre Backup Operator rolüne sahip bir kullanıcı; mevcut işleri başlatıp durdurabilir, yedekleri dışa aktarabilir, yedek kopyalayabilir ve VeeamZip yedekleri oluşturabilir. Tape Operator rolündeki bir kullanıcı ise bant yedekleme veya bant kataloglama işlerini çalıştırabilir; bantları çıkarabilir; bantları içe ve dışa aktarabilir; bantları bir medya havuzuna taşıyabilir; bantları kopyalayabilir veya silebilir ve bant parolası belirleyebilir.

    Başka bir deyişle, bu roller yüksek ayrıcalıklı roller olarak kabul edilir ve kurumların, bu rollerin kötüye kullanılmasını önlemek için zaten yeterli güvenlik önlemlerini alıyor olması gerekir.

    Veeam, CVSS puanına rağmen bu zafiyeti “yüksek önemde” olarak ele aldığını belirtti. Şirket, müşterilerin Veeam’in önerdiği Güvenlik Rehberlerini takip etmesi halinde istismar olasılığının azaldığını ifade etti.

    Şirket ayrıca aynı üründe yer alan üç ek güvenlik açığını daha giderdi:

    • CVE-2025-55125 (CVSS: 7.2) – Bir Backup veya Tape Operator kullanıcısının, kötü amaçlı bir yedek yapılandırma dosyası oluşturarak root yetkileriyle RCE gerçekleştirmesine olanak tanıyan bir zafiyet
    • CVE-2025-59468 (CVSS: 6.7) – Bir Backup Administrator kullanıcısının, kötü amaçlı bir parola parametresi göndererek postgres kullanıcısı yetkileriyle RCE gerçekleştirmesine imkan veren bir zafiyet
    • CVE-2025-59469 (CVSS: 7.2) – Bir Backup veya Tape Operator kullanıcısının root yetkileriyle dosya yazabilmesine olanak tanıyan bir zafiyet

    Tespit edilen dört güvenlik açığının tamamıVeeam Backup & Replication 13.0.1.180 ve önceki tüm 13.x sürümlerini etkiliyor. Bu açıklar, Backup & Replication 13.0.1.1071 sürümünde giderildi.

    Veeam, bu zafiyetlerin halihazırda aktif olarak istismar edildiğine dair bir bilgi paylaşmasa da, yazılımın geçmişte tehdit aktörleri tarafından istismar edilmiş olması nedeniyle kullanıcıların yamaları gecikmeden uygulaması kritik önem taşıyor.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:
    Labels: , , , , ,

    30 Aralık 2025

    Siber Güvenlik Bülteni - Aralık 2025

     

    Bültenimizin Aralık Ayı konu başlıkları; 
      • 5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama 
      • GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası
      • Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor
      • 16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu
      • 2025 Ransomware Saldırıları Özeti

      5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama

      Fortinet, FortiOS SSL VPN’de beş yıllık bir güvenlik zafiyetinin belirli yapılandırmalar altında sahada  aktif olarak kötüye kullanıldığını gözlemlediğini açıkladı.

      Söz konusu zafiyet CVE-2020-12812, FortiOS SSL VPN’de yer alan hatalı kimlik doğrulama zafiyetidir. Bu zafiyet, kullanıcı adının büyük/küçük harf yapısı değiştirilerek, kullanıcının ikinci faktörlü kimlik doğrulama (2FA) istenmeden başarılı şekilde giriş yapmasına olanak tanıyabilir.

      Fortinet, Temmuz 2020’de yaptığı açıklamada durumu şöyle özetlemişti:

      “Bu durum, iki faktörlü kimlik doğrulama ‘user local’ ayarında etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü uzak bir kimlik doğrulama yöntemi (örneğin LDAP) olarak ayarlandığında ortaya çıkar. Sorun, yerel ve uzak kimlik doğrulama mekanizmaları arasındaki tutarsız büyük/küçük harf duyarlılığından kaynaklanmaktadır.”

      Bu zafiyet, o tarihten bu yana birden fazla tehdit aktörü tarafından aktif olarak istismar edilmektedir. Ayrıca ABD hükümeti, 2021 yılında çevre cihazlarını hedef alan saldırılarda silah haline getirilen zafiyetler arasında bunu da listelemiştir.

      Fortinet, 24 Aralık 2025 tarihinde yayımladığı yeni bir güvenlik duyurusunda, CVE-2020-12812’nin başarıyla tetiklenebilmesi için aşağıdaki yapılandırmaların mevcut olması gerektiğini belirtti:

      • FortiGate üzerinde, LDAP’e referans veren ve 2FA etkin olan yerel kullanıcı kayıtları
      • Bu kullanıcıların LDAP sunucusunda bir grubun üyesi olması
      • Kullanıcının üyesi olduğu en az bir LDAP grubunun FortiGate üzerinde tanımlı olması ve bu grubun bir kimlik doğrulama politikasında kullanılması (örneğin yönetici erişimiSSL VPN veya IPSEC VPN)
      Bu ön koşullar sağlandığında, zafiyet şu sonuca yol açar:
      2FA yapılandırılmış LDAP kullanıcıları güvenlik katmanını atlayarak doğrudan LDAP üzerinden doğrulanır. Bunun temel nedeni, FortiGate’in kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alması, LDAP dizininin ise duyarlı olmamasıdır.

      Fortinet durumu şöyle açıklıyor:

      “Kullanıcı ‘jsmith’ yerine ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ gibi birebir aynı olmayan bir büyük/küçük harf kombinasyonu ile giriş yaparsa, FortiGate bu girişi yerel kullanıcı ile eşleştiremez.”

      Bu durumda FortiGate, alternatif kimlik doğrulama seçeneklerini değerlendirmeye başlar:

      Yerel kullanıcıyla eşleşme başarısız olduktan sonra, ikincil yapılandırılmış ‘Auth-Group’ grubunu ve buradaki LDAP sunucusunu bulur. Kimlik bilgileri doğruysa, yerel kullanıcı politikalarındaki ayarlardan (2FA veya hesap devre dışı olsa bile) bağımsız olarak kimlik doğrulama başarılı olur.

      Bu zafiyet, yönetici veya VPN kullanıcılarının 2FA olmadan doğrulanabilmesine neden olabilir.

      Fortinet, bu davranışı düzeltmek için Temmuz 2020’de şu sürümleri yayımlamıştır:
      • FortiOS 6.0.10
      • FortiOS 6.2.4
      • FortiOS 6.4.1

      Bu sürümleri henüz kullanmayan kurumlar, tüm yerel hesaplar için aşağıdaki komutu çalıştırarak kimlik doğrulama atlatma riskini azaltabilir:

      set username-case-sensitivity disable

      FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya daha yeni sürümleri kullanan müşterilere ise şu komut önerilmektedir:

      set username-sensitivity disable

      Fortinet’e göre:

      “username-sensitivity devre dışı bırakıldığında, FortiGate ‘jsmith’, ‘JSmith’, ‘JSMITH’ gibi tüm kombinasyonları aynı kabul eder ve hatalı yapılandırılmış LDAP grup ayarlarına failover yapılmasını engeller.”

      Ek bir önlem olarak, gerekli değilse ikincil LDAP grubunun kaldırılması önerilmektedir. Bu, LDAP üzerinden kimlik doğrulamayı tamamen ortadan kaldıracağı için saldırı vektörünü baştan kapatır; kullanıcı adı yerel kayıtla birebir eşleşmezse kimlik doğrulama başarısız olur.

      Ancak, yeni yayımlanan rehber, saldırıların doğasıkapsamı veya başarılı olup olmadığı konusunda herhangi bir detay içermemektedir. Fortinet ayrıca, 2FA olmadan yönetici veya VPN kullanıcılarının doğrulandığına dair bir bulgu tespit edilmesi halinde, etkilenen müşterilere destek ekibiyle iletişime geçmelerini ve tüm kimlik bilgilerini sıfırlamalarını tavsiye etmektedir.

      GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası

      Palo Alto GlobalProtect portallarını hedef alan oturum açma girişimleri ve SonicWall SonicOS API uç noktalarına yönelik tarama faaliyetleri başlatan yeni bir kampanya gözlemlendi.

      2 Aralık'ta başlayan bu faaliyet, kendi BGP ağını işleten ve bir barındırma sağlayıcısı olarak faaliyet gösteren Alman BT şirketi 3xK GmbH tarafından işletilen altyapıdaki 7.000'den fazla IP adresinden kaynaklandı.

      Saldırganlar başlangıçta GlobalProtect portallarını kaba kuvvet (bruteforce) ve oturum açma girişimleriyle hedef aldı, ardından SonicWall API uç noktalarını taramaya yöneldi.

      Araştırmacılar, bu ani artışın daha önce Eylül sonu ile Ekim ortası arasında kaydedilen tarama girişimlerinde gözlemlenen üç istemci parmak izini (client fingerprints) kullandığını belirtiyor.

      Analiz edilen göstergelere göre, her iki faaliyetin de aynı aktöre ait olduğu belirtilmektedir.

      Bu uç noktaları hedef alan kötü niyetli taramalar, genellikle güvenlik zafiyetlerini ve hatalı yapılandırmaları tespit etmek için yapılır.

      Bu nedenle, savunmacıların bu tür faaliyetlerle ilişkili IP'leri izlemeleri ve engellemeleri tavsiye edilmektedir.

      Ayrıca, kimlik doğrulama yüzeylerinin anormal hız/tekrarlanan başarısızlıklar açısından izlenmesi, yinelenen istemci parmak izlerinin takip edilmesi ve statik itibar listeleri yerine dinamik, bağlam duyarlı engelleme kullanılması önerilmektedir.

      Palo Alto Networks, GlobalProtect arayüzlerine yönelik artan taramalar tespit ettiğini söyledi ve bunun "bir yazılım zafiyetinin istismarı değil, kimlik bilgisi tabanlı saldırıları (credential-based attacks) temsil ettiğini" doğruladı.

      Palo Alto Networks, müşterilerine kimlik bilgilerinin kötüye kullanımına karşı korunmak için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalarını önermektedir.

      Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor

      Ivanti, Endpoint Manager (EPM) için dördü de güvenlik açığı olmak üzere yamalar yayımladığını duyurdu. Bu zafiyetler arasında, uzaktan kod çalıştırmaya (RCE) yol açabilen kritik seviyede bir zafiyet de bulunuyor.

      Söz konusu güvenlik açığı CVE-2025-10573 olarak takip ediliyor ve kimlik doğrulama gerektirmeden istismar edilebilen kalıcı (stored) bir XSS açığı olarak tanımlanıyor.

      Rapid7’nin Ağustos ayında keşfedip raporladığı bu kritik EPM açığı, saldırganların kötü amaçlı payload içeren cihaz tarama verileri göndermesine olanak tanıyor. Bu veriler işlendiğinde, web yönetim paneline gömülüyor.

      Şirketin açıklamasına göre, bir yönetici panel arayüzüne erişip cihaz bilgilerini görüntülediğinde, payload tetikleniyor ve istemci tarafında JavaScript çalıştırılıyor. Bu da saldırganın yöneticinin oturumunun kontrolünü ele geçirmesine imkan tanıyor.

      Bu açık, Ivanti EPM 2024 SU4 SR1 sürümü ile giderildi. Aynı sürüm, üç adet yüksek önem dereceli güvenlik zafiyetini de kapatıyor.

      İlk yüksek seviye zafiyet olan CVE-2025-13659dinamik olarak yönetilen kod kaynaklarının hatalı kontrolü olarak tanımlanıyor. Bu zafiyet, uzaktan ve kimlik doğrulama gerektirmeden saldırganların sunucuya rastgele dosya yazmasına olanak tanıyabilir.

      Ivanti’ye göre, bu zafiyetin başarılı şekilde istismar edilmesi RCE’ye yol açabilir, ancak kullanıcı etkileşimi gereklidir.

      İkinci yüksek seviye zafiyet CVE-2025-13661path traversal (dizin geçişi) zafiyetidir. Uzaktan istismar edilebilir ve hedeflenen dizin dışına rastgele dosya yazılmasına imkan tanır. Bu zafiyetin istismarı kimlik doğrulama gerektirir.

      Üçüncü yüksek seviye zafiyet ise, EPM’in yama yönetimi bileşeninde kriptografik imzaların hatalı doğrulanması olarak tanımlanıyor.

      CVE-2025-13662 olarak izlenen bu zafiyet, uzaktan ve kimlik doğrulama olmadan RCE elde edilmesine imkan tanıyabilir, ancak kullanıcı etkileşimi gerektirir.

      Ivanti, bu zafiyetlerden herhangi birinin şu ana kadar sahada aktif olarak istismar edildiğine dair bilgileri olmadığını belirtiyor. Kullanıcılara, Ivanti EPM’in en güncel sürümüne mümkün olan en kısa sürede yükseltme yapmaları tavsiye ediliyor.

      16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu

      Güvenliği olmayan 16 TB’lık bir MongoDB veritabanı, ağırlıklı olarak LinkedIn benzeri verilerden oluşan yaklaşık 4,3 milyar profesyonel kaydı açığa çıkardı. Bu durum, büyük ölçekli ve yapay zeka destekli sosyal mühendislik saldırılarına imkan tanıyor. Veritabanı keşfedildikten 2 gün sonra güvenli hale getirildi. Bu süre zarfında veritabanına kimlerin eriştiğini bilmek mümkün değil.

      Veri setinde yer alan koleksiyonlar şunlar:

      • intent – 2.054.410.607 kayıt (604,76 GB)
      • profiles – 1.135.462.992 kayıt (5,85 TB)
      • unique_profiles – 732.412.172 kayıt (5,63 TB)
      • people – 169.061.357 kayıt (3,95 TB)
      • sitemap – 163.765.524 kayıt (20,22 GB)
      • companies – 17.302.088 kayıt (72,9 GB)
      • company_sitemap – 17.301.617 kayıt (3,76 GB)
      • address_cache – 8.126.667 kayıt (26,78 GB)
      • intent_archive – 2.073.723 kayıt (620 MB)

      En az üç koleksiyonyaklaşık iki milyara yakın kişisel kaydı açığa çıkardı. Bu veriler arasında isimler, e-posta adresleri, telefon numaraları, LinkedIn bağlantıları, iş unvanları, işverenler, iş geçmişi, eğitim bilgileri, konumlar, yetkinlikler, diller ve sosyal medya hesapları bulunuyor.

      “unique_profiles” veri seti tek başına görsel URL’leri de içeren 732 milyondan fazla kayıt barındırıyor. “people” koleksiyonu ise zenginleştirme metrikleri ve Apollo.io ekosistemiyle bağlantılı Apollo ID’lerini içeriyordu; Apollo’ya ait bir ihlale dair herhangi bir bulguya rastlanmadı.

      Sızdırılan veri setinin kime ait olduğu doğrulanamadı. Araştırmacılar, lead-generation (potansiyel müşteri üretimi) yapan bir şirkete işaret eden bazı ipuçları buldu. Sitemap kayıtlarında “/people” ve “/company” yollarının şirketin web sitesine bağlandığı görüldü. Şirket, 700 milyondan fazla profesyonele erişimi olduğunu iddia ediyor; bu rakam, ifşa edilen “unique_profiles” sayısıyla birebir örtüşüyor. Veritabanı, bildirimden birkaç gün sonra çevrimdışı oldu. Buna rağmen araştırmacılar kesin bir atıfta bulunmaktan kaçındı, zira şirketin kendisi de başka kaynaklardan kazınmış (scraped) olabilir.

      Bu sızıntı son derece tehlikeli, çünkü bu kadar büyük ve yapılandırılmış veri setlerioltalama (phishing), CEO dolandırıcılığı, kurumsal keşif (reconnaissance) ve büyük ölçekli yapay zeka destekli saldırılar için ideal bir zemin oluşturuyor. Milyarlarca kayıt, suçluların kişiselleştirilmiş dolandırıcılıkları otomatikleştirmesinehazırlık süresini kısaltmasına ve Fortune 500 çalışanları dahil yüksek değerli hedeflere odaklanmasına imkan tanıyor.

      2025 Ransomware Saldırıları Özeti

      2025 yılı, fidye yazılımı manzarasının sıradan bir siber suçtanulusal güvenlik ve küresel ekonomik istikrarı tehdit eden stratejik bir tehdide evrildiğini gösterdi. 2024’e göre saldırı sayıları %34 ila %50 arttı, Ocak–Eylül döneminde dünya genelinde 4.701 onaylanmış fidye yazılımı olayı kaydedildi, bu da bu tehdit türünün modern tarihinin en sürekli ve yıkıcı siber risklerinden biri olduğunu ortaya koyuyor.

      2025’te sıradışı bir trend ortaya çıktı: saldırı hacimleri rekor düzeylere ulaşırkenfidye ödeme oranları tarihsel olarak düşük seviyelere geriledi. Bu durum saldırı modeli üzerinde derin bir yapısal değişime yol açtı; fidye yazılımı suç ekonomisinin temel işleyişi, ödeme yapmayan kurum sayısının artmasıyla ciddi şekilde sarsıldı.

      Fidye Yazılımı Ekosisteminde Parçalanma ve Gelişen Taktikler

      2025’te büyük fidye yazılımı organizasyonları üzerindeki kolluk kuvveti baskıları, ekosistemde dramatik bir parçalanma ve merkeziyetsizlik yarattı. Büyük operasyonların faaliyetlerinin durmasıyla birlikte 45 yeni tehdit grubu gözlemlendi ve toplamda en az 85 aktif fidye yazılımı grubu tespit edildi. Bu beş yılın en yüksek seviyesi olarak dikkat çekiyor.

      Bu yayılma, saldırı taktiklerinde sofistike evrimler ile aynı zamana denk geldi: çift ve üçlü şantaj (double & triple extortion)yapay zeka destekli oltalama kampanyaları, bulut altyapısı ve operasyon teknolojisi sistemlerine yönelik hedefli istismarlar gibi karmaşık yöntemler yaygınlaştı.

      Kritik Sektörler Hedefte

      2025’te fidye yazılımı saldırılarının %50’si kritik altyapı sektörlerini hedef aldı: imalat, sağlık, enerji, ulaşım ve finans gibi hizmetler bu saldırıların yarısını oluşturdu. Bu da fidye yazılımını sadece finansal bir suç olmaktan çıkarıp endüstriyel operasyonları kesintiye uğratabilen, kamu güvenliğini tehdit eden bir araca dönüştürdü.

      Ransomware saldırı hacimleri hızla artarken, fidye ödeme oranları dramatik şekilde düşmeye devam etti. Artan yedekleme ve kurtarma yetenekleri, fidye ödemelerinin dosya kurtarmada garanti sağlamadığı farkındalığı ve daha güçlü siber güvenlik duruşları, birçok organizasyonun ödeme yerine kendi kurtarma süreçlerini tercih etmesine yol açtı.

      Bu eğilim, fidye yazılımı suç ekonomisinin varoluşsal bir krizle karşı karşıya olduğunu gösteriyor. Saldırganlar, her dolar için çok daha fazla çaba harcamak zorunda kalıyor; çünkü ödeme yapan kurban oranı dramatik şekilde azalmış durumda.

      Fidye Yazılımı Ekosistemindeki Öne Çıkan Gruplar

      2025’te fidye yazılımı sahnesi yeniden şekillendi:

      • Qilin, 701’den fazla kurbanla en aktif gruplardan biri olarak öne çıktı. Bu grup, çifte şantaj kullanarak şifreleme ve veri sızdırma tehditlerini birleştirdi.
      • Cl0p, sıfır-gün (zero-day) zafiyetleri yoğun şekilde kullanarak tedarik zinciri saldırılarında büyük etki yarattı ve yalnızca veri çalma üzerinden fidye stratejisi benimsedi.
      • LockBit, 5.0 sürümüyle yeniden dirildi ve birçok bölgede yeniden yaygın hale geldi.

      Bu aktörler, uzaktan erişim araçlarının kötüye kullanımı, eski yazılım zafiyetlerinin etkili istismarı ve yapay zeka destekli oltalama gibi çeşitli yöntemler kullanarak operasyonlarını sürdürdüler.

      Veri Sızdırma Siteleri: Psikolojik Baskı Aracı

      2025 boyunca aktif veri sızdırma sitelerinin sayısı rekor kırdı. Bu siteler, fidye taleplerine uymayan kurbanları çevrimiçi veri sızıntılarıyla yüzleştirerek baskı yaratmak için psikolojik savaş aracı haline geldi.

      2025 yılı, fidye yazılımının artık sadece dosya şifreleme ve ödeme talebi olmadığı; ulusal düzeyde operasyonel, ekonomik ve toplumsal güvenliği tehdit eden stratejik bir araç haline geldiğini gösterdi. Kritik sektörlerdeki artan saldırı hacimleri ve daha karmaşık taktikler, kurumların sadece teknik savunmalara değil, aynı zamanda stratejik direnç ve kapsamlı siber risk yönetimine odaklanması gerektiğini ortaya koydu.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Yayınlayan: Yayın Tarihi:
      Labels: , , , , , ,
      Kaydol: Yorumlar (Atom)

      Popüler Yayınlar