Siber Güvenlik Bülteni - Mayıs 2026

 

Bültenimizin Mayıs Ayı konu başlıkları;  Kritik FortiClient EMS Açığı: EKZ Infostealer Tehlikesi Microsoft Exchange Server'da Kritik Sıfırıncı Gün cPanel ve WHM'de Kritik Güvenlik Açığı: Sunucular Tehdit Altında SonicWall Güvenlik Duvarlarında Kritik Açıklar Tedarik Zinciri Saldırganlarının Yeni Hedefi GitHub

Kritik FortiClient EMS Açığı: EKZ Infostealer Tehlikesi

Nisan ayında yamalanan kritik bir FortiClient Endpoint Management Server (EMS) zafiyeti, bilgi çalan zararlı yazılımlar (infostealer) dağıtmak amacıyla düzenlenen yeni saldırılarda istismar edildi. CVE-2026-35616 olarak takip edilen (9.1 CVSS skoruna sahip) bu zafiyet, uzaktan kod çalıştırma (RCE) amacıyla hazırlanmış özel istekler vasıtasıyla uzaktan istismar edilebiliyor ve kimlik doğrulaması gerektirmiyor. Fortinet, Nisan ayının başlarında bu güvenlik açığı için acil yamalar (hotfix) yayınlamış, zafiyetin süreç içerisinde bir sıfırıncı gün (zero-day) olarak istismar edildiği konusunda uyarıda bulunmuş ve acil yama uygulanması çağrısında bulunmuştu. Yamalanmamış FortiClient EMS kurulumları, şu anda sahte bir Fortinet uç nokta yaması gibi gizlenmiş EKZ Infostealer zararlı yazılımını dağıtan bir kampanyada hedef alınıyor. Araştırmacılar, "Gözlemlenen çalıştırma modeli, tehdit aktörlerinin, yönetilen uç noktalara kötü amaçlı PowerShell komutları göndermek için meşru yönetim operasyonlarına benzeyen bir yöntemle FortiClient'ın kendi yönetim yolunu kullandığını gösteriyor," diyor. Araştırmacılar, FortiClient EMS'in FortiClient cihazları, politikaları ve yapılandırmaları için merkezi bir yönetim platformu olarak işlev görmesi nedeniyle, cihaza erişimin saldırganlara yönetilen her uç noktada kod çalıştırma olanağı sağladığına dikkat çekiyor. Bu saldırılarda dağıtılan bilgi çalan zararlı yazılım; kimlik bilgisi, çerez (cookie) ve otomatik doldurma verilerini çalmak için Chrome, Microsoft Edge, Firefox ile diğer Chromium ve Gecko tabanlı tarayıcıları hedef alıyor. Toplanan veriler HTTP üzerinden dışarı sızdırılıyor. Kuruluşların, CVE-2026-35616 için Fortinet'in yamalarını mümkün olan en kısa sürede uygulamaları tavsiye ediliyor.

Microsoft Exchange Server'da Kritik Sıfırıncı Gün

Microsoft Patch Tuesday güncellemeleriyle 137 zafiyeti yamaladı ve siber güvenlik sektörü, son güncellemelerin herhangi bir sıfırıncı günü ele almadığını görünce şaşırdı. Ancak, bu durumdan sadece 48 saat sonra, 14 Mayıs'ta bir sıfırıncı gün ifşa edildi. CVE-2026-42897 olarak takip edilen Exchange sıfırıncı günü; Exchange Server Subscription Edition, 2016 ve 2019 sürümlerini etkileyen bir sahtecilik (spoofing) ve XSS sorunu olarak tanımlandı. Microsoft yayınladığı güvenlik bildirisinde, "Microsoft Exchange Server'da web sayfası oluşturma sırasında girdilerin uygunsuz şekilde nötralize edilmesi ('cross-site scripting'), yetkisiz bir saldırganın bir ağ üzerinden sahtecilik (spoofing) yapmasına olanak tanıyor," dedi. Şirket, zafiyetin Exchange Outlook Web Access (OWA) uygulamasını etkilediğini ve bir saldırganın, hedefteki kullanıcıya özel olarak hazırlanmış bir e-posta göndererek bunu istismar edebileceğini belirtti. Microsoft, "Eğer kullanıcı e-postayı Outlook Web Access'te açarsa ve belirli etkileşim koşulları karşılanırsa, tarayıcı bağlamında keyfi JavaScript çalıştırılabilir," açıklamasında bulundu.

cPanel ve WHM'de Kritik Güvenlik Açığı: Sunucular Tehdit Altında

Hackerlar, cPanel ve WHM (WebHost Manager) sunucu ve site yönetim platformundaki kritik önemdeki bir kimlik doğrulama atlatma zafiyetini aylardır istismar ediyor. CVE-2026-41940 olarak takip edilen (9.8 CVSS skoruna sahip) bu zafiyet, 28 Nisan'da cPanel'in acil yama uygulanması çağrısında bulunmasıyla ifşa edildi; cPanel, 11.40'tan sonraki tüm yazılım versiyonlarının etkilendiği uyarısında bulundu. Giriş akışını etkileyen bu güvenlik zafiyeti, uzaktaki ve kimlik doğrulaması yapmamış saldırganların kontrol paneline yönetici erişimi elde etmesine ve sistemin ele geçirilmesine yol açabilir. Kanada Siber Güvenlik Merkezi'nin (Canadian Centre for Cyber Security) belirttiği üzere, sorunun başarıyla istismar edilmesi, bir saldırganın sunucu yapılandırmalarını değiştirmesine ve paylaşımlı barındırma (hosting) sunucularındaki tüm web sitelerini potansiyel olarak tehlikeye atmasına neden olabilir. Uzmanlar, bir Shodan aramasının, saldırılara maruz kalabilecek yaklaşık 1,5 milyon internete açık cPanel örneği gösterdiği konusunda uyarıyor. Esasen bu hata, bir saldırganın oturum dosyasına belirli parametreleri yazmak için bir yetkilendirme başlığı (authorization header) aracılığıyla belirli karakterleri enjekte etmesine ve ardından enjekte edilen kimlik bilgilerini kullanarak kimlik doğrulaması yapmak için dosyanın yeniden yüklenmesini tetiklemesine olanak tanıyor. Barındırma sağlayıcısı KnownHost tarafından yapılan bir Reddit paylaşımına göre, zafiyet 23 Şubat 2026'dan beri aktif olarak istismar ediliyor. Sorundan haberdar edildikten hemen sonra KnownHost, HostPapa, InMotion, Namecheap ve diğer barındırma sağlayıcıları, yamaları güvenli bir şekilde dağıtmak için cPanel ve WHM portlarına erişimi engelledi. Düzeltmeler; cPanel & WHM 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.136.0.5 ve 11.134.0.20 sürümlerine ve WP Squared 136.1.7 sürümüne dahil edildi. cPanel yayınladığı güvenlik bildirisinde, "Eğer sunucunuz cPanel'in bu güncellemeye uygun, desteklenen bir sürümünü çalıştırmıyorsa, etkilenebileceğinden dolayı sunucunuzu mümkün olan en kısa sürede güncellemek için çalışmanız şiddetle tavsiye edilir," notunu düşüyor.

SonicWall Güvenlik Duvarlarında Kritik Açıklar

SonicWall, SonicOS yazılımındaki üç zafiyeti gideren bir güvenlik bildirisi yayınladı. Araştırmacılar tarafından keşfedilen bu kusurlar, saldırganların erişim kontrollerini atlatmasına, kısıtlanmış servislere ulaşmasına veya güvenlik duvarını çökerterek bir hizmet dışı bırakma (DoS) durumuna neden olmasına izin verebilir. Yöneticilerin, ağlarını potansiyel istismarlara karşı güvence altına almak için en son aygıt yazılımı (firmware) güncellemelerini derhal uygulamaları isteniyor. SonicWall SonicOS Zafiyetleri Bildiri, çeşitli nesil SonicWall güvenlik duvarlarını etkileyen üç farklı zafiyeti özetliyor. CVE-2026-0204, 8.0 CVSS skoruna sahip bir hatalı erişim kontrolü kusurudur ve zayıf kimlik doğrulama nedeniyle saldırganların belirli koşullar altında bazı yönetim arayüzü işlevlerine erişmesine olanak tanır. CVE-2026-0205, 6.8 CVSS skoruna sahip kimlik doğrulama sonrası bir dizin geçişi (path-traversal) zafiyetidir ve bir saldırganın normalde kısıtlanmış olan servislere erişmesini sağlar. CVE-2026-0206, 4.9 CVSS skoruna sahip kimlik doğrulama sonrası yığın tabanlı bir arabellek taşması (stack-based buffer overflow) kusurudur ve uzaktaki bir saldırganın güvenlik duvarı cihazını çökertmesine izin verir. Bu zafiyetler; Nesil (Generation) 6, 7 ve 8 ürün gruplarındaki çok çeşitli SonicWall donanım ve sanal güvenlik duvarlarını etkilemektedir. 6.5.5.1-6n ve daha eski sürümleri çalıştıran Nesil 6 donanım güvenlik duvarları savunmasızdır. 7.0.1-5169 veya 7.3.1-7013 ya da daha eski sürümleri çalıştıran Nesil 7 güvenlik duvarları etkilenmektedir. Nesil 7 NSv sanal platformları, 7.0.1-5169 ve 7.3.1-7013 veya daha eski sürümlerde etkilenmektedir. 8.1.0-8017 ve daha eski sürümleri çalıştıran Nesil 8 güvenlik duvarları yama gerektirmektedir. SonicWall, bu güvenlik sorunlarını çözmek için düzeltilmiş aygıt yazılımı sürümleri yayınladı. Yöneticiler, Gen6 cihazları için 6.5.5.2-28n, Gen7 cihazları için 7.3.2-7010 ve Gen8 cihazları için 8.2.0-8009 sürümüne yükseltme yapmalıdır. Ancak acil yama uygulamak mümkün değilse, SonicWall maruz kalan cihazları korumak için geçici bir çözüm (workaround) uygulanmasını şiddetle tavsiye ediyor: Tüm arayüzlerde HTTP ve HTTPS tabanlı güvenlik duvarı yönetimini ve ayrıca SSLVPN'i tamamen devre dışı bırakmalısınız. Yönetimsel kontrolü sürdürmek için, uygun aygıt yazılımı güncellemelerini uygulayana kadar yönetim erişimini yalnızca SSH ile kısıtlayın. Gen6 Cihazları İçin Uyarı Nesil 6 güvenlik duvarlarını çalıştıran kuruluşlar, düzeltilmiş 6.5.5.2-28n sürümüne güncelleme yaparken dikkatli olmalıdır. SonicWall, bu yamalı aygıt yazılımından önceki herhangi bir sürüme sürüm düşürme (downgrade) yapılmaması konusunda açıkça uyarıyor. Gen6 cihazlarında bir aygıt yazılımı sürüm düşürmesi gerçekleştirmek, tüm LDAP kullanıcılarının silinmesine ve tüm Çok Faktörlü Kimlik Doğrulama (MFA) yapılandırmalarının tamamen sıfırlanmasına neden olacaktır. Bir sürüm düşürme işlemi zorunlu hale gelirse, yöneticilerin sonrasında tüm LDAP ve MFA ayarlarını manuel olarak yeniden yapılandırması gerekecektir. Veri kaybını önlemek için yükseltme işlemine başlamadan önce her zaman tam bir yapılandırma yedeği (backup) alın.

Tedarik Zinciri Saldırganlarının Yeni Hedefi GitHub

GitHub, bir çalışanının zararlı bir VS Code eklentisi yüklemesi sonucunda yaklaşık 3.800 dahili deposunun (repository) ihlal edildiğini doğruladı. Şirket, o zamandan beri ismi açıklanmayan trojan barındıran eklentiyi VS Code pazar yerinden kaldırdı ve ele geçirilen cihazı güvence altına aldı. Şirket yaptığı açıklamada, "Dün, bir çalışanımızın cihazında zehirli bir VS Code eklentisini içeren bir siber saldırı tespit ettik ve kontrol altına aldık. Zararlı eklenti sürümünü kaldırdık, uç noktayı (endpoint) izole ettik ve derhal olay müdahale sürecini başlattık," dedi. "Mevcut değerlendirmemiz, bu faaliyetin yalnızca GitHub'a ait dahili depoların dışarı sızdırılmasını kapsadığı yönündedir. Saldırganın ~3.800 depo hakkındaki mevcut iddiaları, şu ana kadarki soruşturmamızla doğrusal olarak tutarlıdır." GitHub henüz saldırıyı resmi olarak bir aktöre bağlamamış olsa da, TeamPCP hacker grubu Salı günü Breached siber suç forumunda GitHub kaynak kodlarına ve "~4.000 özel kod deposuna" eriştiklerini iddia ederek, çalınan veriler için en az 50.000 dolar talep etmişti. Siber suçlular, "Her zaman olduğu gibi bu bir fidye talebi değildir, GitHub'a şantaj yapmakla ilgilenmiyoruz; 1 alıcı çıktığı an verileri kendi tarafımızda imha edeceğiz, görünüşe göre emekliliğimiz yakın, bu yüzden alıcı bulunamazsa verileri ücretsiz olarak sızdıracağız," dedi. "Eğer ilgileniyorsanız, tekliflerinizi aşağıdaki iletişim kanallarına gönderin; 50 bin doların altıyla ilgilenmiyoruz, en iyi teklifi veren her şeyi alacaktır." TeamPCP, daha önce GitHub, PyPI, NPM ve Docker dahil olmak üzere geliştirici kod platformlarını hedef alan büyük tedarik zinciri saldırılarıyla ve yakın zamanda (iki OpenAI çalışanını da etkileyen) "Mini Shai-Hulud" tedarik zinciri kampanyasıyla ilişkilendirilmişti. VS Code eklentileri, Microsoft'un kod editörüne özellikler eklemek veya araçları entegre etmek için VS Code Marketplace'ten (eklentiler için resmi mağaza) yüklenebilen yan programlardır. Pazar yerinde trojan barındıran bir VS Code eklentisinin tespit edilmesi ilk kez yaşanmıyor; zira son birkaç yılda, geliştirici kimlik bilgilerini ve diğer hassas verileri çalmak için kullanılan, milyonlarca kuruluma sahip birden fazla zararlı eklenti görülmüştü. Örneğin geçen yıl, 9 milyon kuruluma sahip VS Code eklentileri güvenlik riskleri nedeniyle kaldırılmış ve meşru geliştirme araçları gibi görünen 10 eklenti daha, kullanıcılara XMRig kripto madencilik yazılımı bulaştırmıştı. Yılın ilerleyen dönemlerinde, WhiteCobra adlı bir tehdit aktörünün mağazayı kripto para çalan 24 eklentiyle doldurmasının ardından, temel fidye yazılımı özelliklerine sahip zararlı bir eklenti daha VS Code pazar yerine sızmıştı. Daha yakın bir zamanda, Ocak ayında, 1,5 milyon kuruluma sahip ve yapay zeka tabanlı kodlama asistanı olarak reklamı yapılan iki zararlı eklenti, ele geçirilen geliştirici sistemlerinden Çin'deki sunuculara veri sızdırmıştı. GitHub'ın bulut tabanlı platformu şu anda 4 milyondan fazla kuruluş (Fortune 100 şirketlerinin %90'ı dahil) ve 420 milyondan fazla kod deposuna katkıda bulunan 180 milyondan fazla geliştirici tarafından kullanılmaktadır.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Eylül 2022

 

Bültenimizin Eylül ayı konu başlıkları;  Microsoft Exchange Zafiyetleri İstismar Edildi LastPass Ağında 4 Gün Uber'de Güvenlik İhlali Cisco'da Fidye Yazılımı Krizi

Microsoft Exchange Zafiyetleri İstismar Edildi

Microsoft, Exchange Server 2013, 2016 ve 2019 versiyonlarında, yakın zamanda ortaya çıkan iki farklı sıfır gün (zero-day) güvenlik açığının istismar edildiğini doğruladı. CVE-2022-41040 (SSRF) ve CVE-2022-41082 (RCE) zafiyetleri ile ilgili (yazımız hazırlanırken henüz bir yama yayınlanmamış idi) gelişmeleri aşağıdaki linkler üzerinden takip edebilirsiniz. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082 Microsoft, Exchange müşterilerinin "URL Rewrite Instructions" konusunun incelenmesini ve uygulanmasını, açık olan Uzak PowerShell portlarının ise engellenmesini öneriyor. Bilinen Saldırı Metotlarını Engelleme için ise; IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions bölümüne engelleme kuralı eklenmesi gerekmekte. Güvenlik Açığı Bulunan Sunucularda; 1. IIS Manager açın 2. Default Web Site'ı genişletin 3. Autodiscover seçin 4. Feature View menüsünde URL Rewrite'ı tıklayın 5. Sağ taraftaki Action bölmesinde, Add Rules'ı tıklayın 6. Request Blocking'i seçin ve tamam'a tıklayın 7. String olarak .*autodiscover\.json.*\@.*Powershell.*” ekleyin ve tamam'a tıklayın. 8. Kuralları genişletin ve ".*autodiscover\.json.*\@.*Powershell.*" kuralını seçin ve Edit under Conditions'a tıklayın. 9. {URL} olan koşul girişini {REQUEST_URI} ile değiştirin. Uzaktan PowerShell erişimini engellemek için ise HTTP: 5985 HTTPS: 5986 portlarını engelleyin. Exchange sunucularınızın ihlalinin kontrol etmek için IIS günlük dosyalarında tarama için aşağıdaki PowerShell komutunu çalıştırabilirsiniz. Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

LastPass Ağında 4 Gün

LastPass, Ağustos ayında yaşadığı güvenlik ihlalinde saldırganların tespit edilip, sistemden temizlenene kadar yaklaşık 4 gün ağda kaldıklarını açıkladı. Geçtiğimiz aylarda LastPass, sistemlerine izinsiz erişim olduğunu tespit ettiğini açıkladı, saldırganların müşteri verilerine veya şifreli parola kasalarına erişimine dairse herhangi bir kanıt olmadığını açıkladı. Ayrıca bu saldırıda saldırganların geliştirme ortamına girdiği de belirtildi. Yapılan araştırmalardan, saldırganın LastPass yazılım geliştiricisinin hesabını ele geçirmesi yoluyla geliştirme ortamına ağ erişimi sağladığı tespit edildi. Bu erişim sonucunda kaynak kodun bir kısmının ve bazı özel teknik bilgilerin de sızdırıldığı düşünülüyor. LastPass'in dünya çapında 30 milyondan fazla kullanıcısı bulunuyor. LastPass kullanıcılarının -henüz devrede değil ise- 2 adımlı doğrulamayı mutlaka devreye almasını öneriyoruz. Kullanıcıların bu türde bir saldırıda alabileceği en etkili önlem 2 adımlı doğrulama sistemini kullanmaktır. Kullanıcıların bu veya benzeri tüm üye olunarak kullandıkları servislerde -eğer varsa- 2 adımlı doğrulamayı mutlaka devreye almasını önermekteyiz.

Uber'de Güvenlik İhlali

Dünyanın en büyük taksi servisi Uber tekrar hacklendi. 2016 yılında hacklenen ve bunu gizleyen ve hackerlara bunun için ödeme yapan Uber yeni bir saldırı ile karşı karşıya kaldı. Bu tür saldırıları gizlemesi ile bilinen Uber, bu seferki saldırının açığa çıkmasıyla bir açıklama yaparak tekrar sessizliğe büründü. Uber çalışanlarından olan bir kişiye yapılan sosyal mühendislik saldırısı ile erişim bilgilerine ulaşıldı ve yetki sağlandı. Bu yetki ile izinsiz şekilde şirkete ait Slack kanallarına, yedeklenmiş dosyalara, müşteri kayıtlarına, Amazon Web Servislerine erişim bilgilerine, şirket sistemlerine ait zafiyet raporları gibi oldukça kritik bilgilere erişildi. Bu bilgilerin sosyal medya üzerinde bir hesap tarafından ekran görüntüleri ile paylaşılmasından sonra da Uber saldırıyı doğruladı. --- Firmalarda personelin, bayilerin veya tedarikçilerin kullanımına özgü olan, halkın geneline açık olmayan sunuculara daha güvenli erişim sağlanabilmesi, bu tip saldırılara karşı ek bir güvenlik katmanı olarak koruma sağlaması amacıyla geliştirdiğimiz son ürünümüz TINA Güvenlik Katmanı hakkında bilgi almak ve İnternet üzerinden gelebilecek olan saldırılara karşı mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşabilmemiz için ONLINE TANITIM talebini buradan başlatabilirsiniz.

Cisco'da Fidye Yazılımı Krizi

Ağustos ayında Cisco bir güvenlik ihlali açıkladı, Yanluowang fidye yazılımı çetesi Mayıs sonunda şirket ağını ihlal ederek, şirket sunucularından birçok veriyi sızdırdı. Cisco güvenlik ekipleri yaptıkları inceleme sonucunda şirket çalışanlarından bir kişinin kişisel hesabına erişim sağlanması sonucunda, 2 adımlı doğrulamanın da sosyal mühendislik ile atlatması yoluyla saldırgan grubun şirket hesaplarına da erişim sağladığını belirtti. Kullanıcının VPN hesabı ile firma ağına sızan saldırgan grup, LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz ve İmpacket gibi araçlar ile de ağa erişimini güçlendirdi. Saldırgan grup, gizli belgeler, teknik şemalar ve kaynak kodu içeren 55 GB'lik dosya sızdırdığını iddia etmekte, ancak Cisco bunu reddederek  çalınan verilerin hassas bilgiler içermediğini ve güvenlik ihlalinin işletme üzerinde hiçbir etkisi olmadığını belirtti.

Siber Saldırılara Karşı TINA Çözümlerimiz

En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.