Siber Güvenlik Bülteni - Ocak 2026

 

Bültenimizin Ocak Ayı konu başlıkları;  Kritik MongoDB Zafiyeti: MongoBleed  Yamalı Fortinet Cihazları da Hackleniyor: Kritik SSO Açığı Korean Air Tedarikçi Kaynaklı Siber Saldırıyla Sarsıldı Sahte Mavi Ekran Tuzağı: Oteller ClickFix Saldırısı Altında Veeam Backup & Replication’da Kritik RCE Açığı

Kritik MongoDB Zafiyeti: MongoBleed

Saldırganlar, MongoDB’deki kritik bir güvenlik açığını aktif olarak istismar ederek, etkilenen bir sunucunun belleğinden doğrudan hassas bilgileri çalıyor. Saldırıların, güvenlik açığı için yayımlanan kanıt amaçlı exploit kodunun (PoC) kamuya açık hale gelmesinden yalnızca üç gün sonra, 29 Aralık’ta başladığı görülüyor. CVE-2025-14847 olarak tanımlanan ve “MongoBleed” adı verilen bu güvenlik açığı, uzaktaki saldırganların herhangi bir kimlik doğrulama olmaksızın sunucu belleğinden açık metin kimlik bilgilerini, kimlik doğrulama token’larını ve hassas müşteri verilerini çıkarmasına olanak tanıyor. PoC’yi test eden uzmanlar, kodun tamamen işlevsel ve güvenilir olduğunu belirtti; bu durum, kendi kendini yöneten (self-managed) MongoDB örnekleri çalıştıran kurumlar için ciddi bir tehdit oluşturuyor. MongoBleed Güvenlik Tehdidi Bu hafta yayımlanan bir raporda, uzmanlar etkilenen kurumları normal yama döngülerini beklemek yerine açığı derhal gidermeye çağırdı ve şu ifadeye yer verildi: “Sızıntının doğası göz önüne alındığında, yalnızca yamalamak yeterli değildir; organizasyonlara, giderme öncesinde açığa çıkmış olabilecek tüm veritabanı ve uygulama kimlik bilgilerini de değiştirmesi tavsiye edilir.” MongoDB Inc., güvenlik açığını ilk kez 19 Aralık’ta kamuoyuna duyurdu. Bir hafta içinde, yani 26 Aralık’ta, işlevsel exploit kodu çevrimiçi olarak yayımlandı; yalnızca üç gün sonra ise ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) açığın gerçek saldırılarda aktif olarak istismar edildiğini doğruladı. MongoDB, bu zafiyete 10 üzerinden 8,7 CVSS etki puanı verdi; ancak uzmanlar, açığın etkilerinin etkilenen organizasyonlar için kritik seviyede olduğuna dikkat çekti. Özel olarak MongoBleed, birçok üretim ortamında yaygın bir yapılandırma olan Zlib sıkıştırma algoritmasını ağ mesajları için kullanan MongoDB sunucularındaki bir bellek sızıntısını istismar ediyor. Bir saldırgan, Zlib sıkıştırması kullanan özel hazırlanmış ağ paketleri aracılığıyla MongoDB sunucusunu bellek içeriğini sızdırmaya zorlayabiliyor; bu nedenle açık “MongoBleed” olarak adlandırılıyor. Bu güvenlik açığını özellikle tehlikeli kılan, hiçbir kimlik doğrulama gerektirmemesidir. Uzaktaki herhangi bir saldırgan, geçerli kimlik bilgilerine ya da özel yetkilere ihtiyaç duymadan bu açığa ağ üzerinden erişebilir. Sızdırılan bellek, parolalar, API anahtarları ve eşzamanlı diğer veritabanı oturumlarından gelen veriler dahil olmak üzere yüksek değerli bilgi içerebilir. Bu açığın tek sınırlayıcı yönü ise, CVE-2025-14847’nin saldırganların yalnızca başlatılmamış (uninitialized) heap belleğini, yani sunucu RAM’inde daha önceki verilerden düzgün şekilde temizlenmemiş alanları çalmasına izin vermesidir. Bu nedenle MongoBleed üzerinden sunucu belleğindeki belirli bir veriyi hedeflemek mümkün değildir. MongoDB Verilerini Çalmak İçin Yeni Bir İstismar Aracı Uzmanlar, savunmasız MongoDB sunucularına saldırmak için teknik eşiği ciddi şekilde düşüren yeni bir istismar aracı tespit ettiklerini açıkladı. Bu araç, grafiksel bir kullanıcı arayüzüne (GUI) sahip ve daha az deneyimli tehdit aktörlerinin bile: Etkilenen bir sunucudan tek seferde otomatik olarak 10 MB bellek çıkarmasına, veya Veri sızdırma sürecini canlı görsel akış üzerinden izlemesine olanak tanıyor. Bu da karmaşık komut satırı işlemlerine veya kodlama bilgisine olan ihtiyacı ortadan kaldırıyor. CVE-2025-14847, MongoDB’nin 4.4, 5.0, 6.0, 7.0 ve 8.0 sürüm dallarının tamamını etkiliyor. MongoDB, etkilenen kurumların 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30 sürümlerine yükseltme yapmasını istiyor. MongoDB yayımladığı güvenlik duyurusunda şu uyarıyı yaptı: “Eğer hemen yükseltme yapamıyorsanız, mongod veya mongos’u Zlib’i açıkça hariç tutan bir networkMessageCompressors ya da net.compression.compressors seçeneğiyle başlatarak MongoDB Sunucusu’nda zlib sıkıştırmasını devre dışı bırakın. Güvenli örnek değerler arasında snappy, zstd veya tamamen devre dışı bırakma yer alır.” MongoBleed saldırılarının ortaya çıkışı, yama yönetiminin kurumsal savunma için hala kritik olduğunu ve bir güvenlik açığının duyurulması ile aktif olarak istismar edilmesi arasındaki sürenin giderek daraldığını bir kez daha gösteriyor. Vectra.ai tarafından yapılan 2025 tarihli bir analiz, yeni açıklanan açıkların istismar edilme süresinin 2018–2019 döneminde ortalama 63 gün iken, 2024 itibarıyla sadece 5 güne düştüğünü ortaya koyuyor. Vectra.ai ayrıca, açıkların %28’inden fazlasının duyurudan sonraki ilk 24 saat içinde istismar edildiğini tespit etti. İstismar geliştirme süreçlerinde yapay zekanın artan kullanımı, bu süreleri daha da kısaltabilir ve güvenlik ekipleri üzerindeki baskıyı artırabilir

Yamalı Fortinet Cihazları da Hackleniyor: Kritik SSO Açığı

Yöneticiler, tamamen yamalanmış güvenlik duvarlarının ele geçirildiğini bildirmeye başladıktan günler sonra, Fortinet, Aralık ayı başından beri yamalanmış olması gereken kritik bir FortiCloud SSO kimlik doğrulama atlatma açığını tam olarak gidermek için çalıştığını doğruladı. Bu gelişme, Fortinet müşterilerinden gelen ve tehdit aktörlerinin CVE-2025-59718 güvenlik açığına ait bir yama atlatma yöntemini kullanarak tamamen güncel güvenlik duvarlarını ele geçirdiğini bildiren çok sayıda raporun ardından geldi. Siber güvenlik uzmanları, yaptığı açıklamada, saldırı kampanyasının 15 Ocak’ta başladığını ve saldırganların otomatik saldırılarla saniyeler içinde VPN erişimine sahip hesaplar oluşturup güvenlik duvarı yapılandırmalarını çaldığını belirtti. Şirket ayrıca bu saldırıların, Aralık ayında Fortinet ürünlerindeki CVE-2025-59718 kritik açığının açıklanmasının ardından belgelenen olaylara çok benzediğini ekledi. Perşembe günü Fortinet, bu raporları nihayet doğrulayarak, devam eden CVE-2025-59718 saldırılarının Aralık ayındaki kötü amaçlı faaliyetlerle örtüştüğünü ve açığı tamamen yamalamak için çalıştığını açıkladı. Etkilenen Fortinet müşterileri, saldırganların 104. 28 .244 .114 IP adresinden cloud-init@mail[.]io üzerinden yapılan bir SSO oturum açma işleminin ardından yönetici (admin) kullanıcılar oluşturduğunu gösteren günlük (log) kayıtlarını da paylaştı. Bu göstergeler, uzmanların devam eden FortiGate saldırılarını ve Aralık ayındaki gerçek ortam (in-the-wild) istismarlarını analiz ederken tespit ettiği IOC’lerle ve Fortinet’in Perşembe günü paylaştığı bulgularla örtüşüyor. Fortinet Bilgi Güvenliği Direktörü (CISO) Carl Windsor şu açıklamayı yaptı: “Son dönemde az sayıda müşteri, önceki sorunla çok benzer beklenmedik oturum açma faaliyetleri bildirdi. Ancak son 24 saat içinde, saldırı anında en güncel sürüme tamamen yükseltilmiş cihazların da istismar edildiğini tespit ettik. Bu durum, yeni bir saldırı yoluna işaret ediyor.” Windsor sözlerine şöyle devam etti: “Fortinet ürün güvenliği ekibi sorunu tespit etti ve şirket bu durumu gidermek için bir düzeltme üzerinde çalışıyor. Düzeltmenin kapsamı ve zaman çizelgesi netleştiğinde bir güvenlik duyurusu yayımlanacak. Şu an için yalnızca FortiCloud SSO istismarları gözlemlenmiş olsa da, bu sorunun tüm SAML SSO uygulamaları için geçerli olduğunu vurgulamak gerekir.” Fortinet: Yönetici erişimini kısıtlayın, FortiCloud SSO’yu devre dışı bırakın Fortinet, CVE-2025-59718 açığı tamamen giderilene kadar, müşterilere uç ağ (edge) cihazlarına İnternet üzerinden yapılan yönetici erişimini kısıtlamalarını tavsiye ediyor. Bunun için, cihazların yönetim arayüzlerine erişebilecek IP adreslerini sınırlayan yerel bir politika (local-in policy) uygulanması öneriliyor. Yöneticilerin ayrıca, Fortinet cihazlarında FortiCloud SSO özelliğini devre dışı bırakmaları gerekiyor. Bunun için System → Settings → Switch yoluna gidilerek “Allow administrative login using FortiCloud SSO” seçeneğinin kapatılması isteniyor. Cihazlarını istismar sonrası izler açısından kontrol ederken IOC’lerden herhangi birini tespit eden Fortinet müşterilerine, “sistemi ve yapılandırmayı ele geçirilmiş kabul etmeleri”, kimlik bilgilerini (LDAP/AD hesapları dahil) değiştirmeleri ve bilinen temiz bir yapılandırma sürümünden geri yükleme yapmaları tavsiye ediliyor. İnternet güvenliği izleme kuruluşu Shadowserver, şu anda FortiCloud SSO etkin halde internete açık yaklaşık 11.000 Fortinet cihazını takip ediyor. CISA da 16 Aralık’ta CVE-2025-59718’i aktif olarak istismar edilen güvenlik açıkları listesine ekledi ve federal kurumlara bir hafta içinde yama uygulama talimatı verdi.

Korean Air Tedarikçi Kaynaklı Siber Saldırıyla Sarsıldı

Güney Koreli havayolu şirketi Korean Air, eski iştiraki ve halihazırdaki ikram ve duty-free tedarikçisi Korean Air Catering & Duty-Free (KC&D)’ye yönelik bir siber saldırının ardından, 30.000 çalışana ait kaydın açığa çıktığını duyurdu. KC&D, Korean Air’e ek olarak Asya’dan ve dünyanın diğer bölgelerinden birçok büyük havayoluna da hizmet veriyor. Korea JoongAng Daily’nin aktardığına göre, KC&D kısa süre önce Korean Air’i bilgilendirerek, havayolunun çalışanlarına ait bilgilerin ihlal edildiğini bildirdi. Korean Air’in açıklamasına göre, saldırganlar KC&D üzerinden yaklaşık 30.000 mevcut ve eski çalışana ait bilgileri ele geçirdi. Sızdırılan veriler arasında isimler ve banka hesap numaraları bulunuyor. Havayolu, müşteri verilerinin etkilenmediğini özellikle vurguladı. Açıklanan olayın, yakın zamanda ortaya çıkan Oracle E-Business Suite (EBS) saldırı kampanyasıyla bağlantılı olduğu düşünülüyor. Bu kampanyada siber suçlular, EBS için sıfır gün (zero-day) güvenlik açıklarını istismar ederek, kurumsal yönetim yazılımını kullanan 100’den fazla kuruluşta depolanan verilere erişim sağladı. Saldırıların FIN11 tehdit grubu kümelenmesi tarafından gerçekleştirildiği düşünülse de, Cl0p fidye yazılımı grubu saldırının sorumluluğunu kamuoyuna açık şekilde üstlendi. Cl0p, Tor tabanlı sızıntı sitesinde mağdur kuruluşların isimlerini yayımladı ve fidye ödemeyi reddeden şirketlerden çalındığı iddia edilen verileri paylaştı. KC&D, 21 Kasım’da Cl0p’un sızıntı sitesine eklendi. Siber suçlular, o tarihten bu yana şirketten çalındığı iddia edilen dosyaları içeren yaklaşık 500 GB’lık arşivi kamuoyuna açıkladı. Oracle EBS saldırı kampanyası, onlarca büyük kuruluşu etkiledi ve havacılık sektöründeki tek mağdur KC&D değil. American Airlines’ın iştiraki Envoy Air, doğrulanan ilk mağdurlar arasında yer aldı. Oracle saldırısından etkilenen bazı kuruluşlar, veri ihlalinin yalnızca çalışan bilgileriyle sınırlı olduğunu belirtirken; bazıları ise sistemlerinden milyonlarca kişiye ait kişisel verinin çalındığını kabul etti. Korean Air veri ihlaline ilişkin haberler, Güney Kore’nin bir diğer büyük havayolu Asiana Airlines’ın, yaklaşık 10.000 çalışana ait bilgilerin bilgisayar korsanları tarafından ele geçirilmiş olabileceğini bildirmesinden sadece günler sonra geldi. Asiana’daki siber güvenlik olayının Oracle EBS kampanyasıyla bağlantılı olduğuna dair herhangi bir bulgu bulunmuyor. ABD Dışişleri Bakanlığı ise Clop’un saldırılarını herhangi bir yabancı hükümete bağlayabilecek bilgi sağlayanlara 10 milyon dolara kadar ödül verileceğini duyurdu.

Sahte Mavi Ekran Tuzağı: Oteller ClickFix Saldırısı Altında

Avrupa’daki konaklama sektörünü hedef alan yeni bir ClickFix sosyal mühendislik kampanyası, sahte Windows Mavi Ekran (Blue Screen of Death – BSOD) görüntüleri kullanarak kullanıcıları, zararlı yazılımı kendi elleriyle derleyip çalıştırmaya ikna ediyor. BSOD, Windows işletim sisteminin kritik ve kurtarılamaz bir hata ile karşılaştığında sistemi durdurduğunu gösteren çökme ekranıdır. ClickFix sosyal mühendislik saldırıları, bir hata ya da sorun varmış gibi davranan ve ardından bunu çözmek için sözde “düzeltmeler” sunan web sayfalarından oluşur. Bu hatalar; sahte hata mesajları, güvenlik uyarıları, CAPTCHA doğrulamaları veya güncelleme bildirimleri olabilir ve ziyaretçiden sorunu çözmek için bilgisayarında bir komut çalıştırması istenir. Bu süreçte kurbanlar, saldırganların verdiği kötü amaçlı PowerShell veya kabuk (shell) komutlarını çalıştırarak kendi sistemlerini kendileri enfekte eder. Bu yeni ClickFix kampanyasında saldırganlar, Booking.com üzerinden rezervasyonunu iptal eden bir otel müşterisi gibi görünen oltalama e-postaları gönderiyor. Bu e-postalar genellikle otel veya konaklama firmalarına ulaşıyor. İddia edilen iade tutarı, e-postayı alan kişide aciliyet hissi yaratacak kadar yüksek oluyor. E-postadaki bağlantıya tıklandığında kurban, low-house[.]com alan adında barındırılan sahte bir Booking.com sitesine yönlendiriliyor. Uzmanlar bu siteyi, “gerçeğine son derece benzeyen bir kopya” olarak tanımlıyor. Site, hedef kullanıcıya “Yükleme çok uzun sürüyor” şeklinde sahte bir hata gösteren kötü amaçlı JavaScript barındırıyor ve sayfayı yenilemesi için bir butona tıklamasını istiyor. Ancak kullanıcı bu butona tıkladığında, tarayıcı tam ekran moduna geçiyor ve sahte bir Windows BSOD çökme ekranı göstererek ClickFix sosyal mühendislik saldırısını başlatıyor. Bu sahte ekran, kullanıcıdan Windows Çalıştır (Run) penceresini açmasını ve ardından CTRL+V tuşlarına basmasını istiyor. Bu işlem, daha önce Windows panosuna kopyalanmış olan kötü amaçlı komutu yapıştırıyor. Ardından kullanıcıdan OK butonuna basması ya da Enter tuşuna basarak komutu çalıştırması isteniyor. Gerçek BSOD ekranları asla kurtarma talimatları sunmaz, yalnızca bir hata kodu ve yeniden başlatma bildirimi gösterir. Ancak deneyimsiz kullanıcılar veya bir anlaşmazlığı hızla çözmeye çalışan baskı altındaki otel personeli, bu kandırmacayı fark etmeyebilir. Yapıştırılan komut çalıştırıldığında, PowerShell üzerinden bir komut devreye girer ve sahte bir Booking.com yönetici sayfası açılır. Aynı anda arka planda, kötü amaçlı bir .NET projesi (v.proj) indirilir ve Windows’un meşru derleyicisi MSBuild.exe kullanılarak derlenir. Çalıştırıldığında bu yük; Windows Defender istisnaları ekler, yönetici yetkisi almak için UAC istemlerini tetikler, ardından Background Intelligent Transfer Service (BITS) üzerinden ana yükleyiciyi indirir ve Başlangıç klasörüne bir .url dosyası bırakarak kalıcılık sağlar. Ortaya çıkan zararlı yazılım (staxs.exe), tehdit aktörleri tarafından enfekte sistemlere uzaktan erişim sağlamak için yaygın olarak kullanılan bir DCRAT uzaktan erişim Truva atıdır (RAT). Komuta-kontrol (C2) sunucusuyla ilk bağlantı kurulduğunda, zararlı yazılım tam sistem parmak izini gönderir ve ardından gelecek komutları bekler. Bu zararlı yazılım; uzaktan masaüstü erişimi, tuş kaydı (keylogging), ters kabuk (reverse shell) ve bellek içinden ek yüklerin çalıştırılması gibi yeteneklere sahiptir. Uzmanların gözlemlediği vakada saldırganlar ayrıca bir kripto para madencisi de yüklemiştir. Uzaktan erişim sağlandıktan sonra, tehdit aktörleri artık hedef ağda kalıcı bir dayanak elde eder. Bu durum, diğer cihazlara yayılmalarına, veri çalmalarına ve ek sistemleri ele geçirmelerine olanak tanır.

Veeam Backup & Replication’da Kritik RCE Açığı

Veeam, Backup & Replication yazılımındaki birden fazla güvenlik açığını gidermek için güvenlik güncellemeleri yayımladı. Bu açıklar arasında, uzaktan kod çalıştırmaya (RCE) yol açabilecek “kritik” bir zafiyet de bulunuyor. CVE-2025-59470 olarak takip edilen bu güvenlik açığı, 9.0 CVSS puanına sahip. Salı günü yayımlanan bültende şu ifadeye yer verildi: “Bu güvenlik açığı, bir Backup veya Tape Operator kullanıcısının, kötü amaçlı bir interval veya order parametresi göndererek postgres kullanıcısı yetkileriyle uzaktan kod çalıştırmasına (RCE) olanak tanır.” Veeam dokümantasyonuna göre Backup Operator rolüne sahip bir kullanıcı; mevcut işleri başlatıp durdurabilir, yedekleri dışa aktarabilir, yedek kopyalayabilir ve VeeamZip yedekleri oluşturabilir. Tape Operator rolündeki bir kullanıcı ise bant yedekleme veya bant kataloglama işlerini çalıştırabilir; bantları çıkarabilir; bantları içe ve dışa aktarabilir; bantları bir medya havuzuna taşıyabilir; bantları kopyalayabilir veya silebilir ve bant parolası belirleyebilir. Başka bir deyişle, bu roller yüksek ayrıcalıklı roller olarak kabul edilir ve kurumların, bu rollerin kötüye kullanılmasını önlemek için zaten yeterli güvenlik önlemlerini alıyor olması gerekir. Veeam, CVSS puanına rağmen bu zafiyeti “yüksek önemde” olarak ele aldığını belirtti. Şirket, müşterilerin Veeam’in önerdiği Güvenlik Rehberlerini takip etmesi halinde istismar olasılığının azaldığını ifade etti. Şirket ayrıca aynı üründe yer alan üç ek güvenlik açığını daha giderdi: CVE-2025-55125 (CVSS: 7.2) – Bir Backup veya Tape Operator kullanıcısının, kötü amaçlı bir yedek yapılandırma dosyası oluşturarak root yetkileriyle RCE gerçekleştirmesine olanak tanıyan bir zafiyet CVE-2025-59468 (CVSS: 6.7) – Bir Backup Administrator kullanıcısının, kötü amaçlı bir parola parametresi göndererek postgres kullanıcısı yetkileriyle RCE gerçekleştirmesine imkan veren bir zafiyet CVE-2025-59469 (CVSS: 7.2) – Bir Backup veya Tape Operator kullanıcısının root yetkileriyle dosya yazabilmesine olanak tanıyan bir zafiyet Tespit edilen dört güvenlik açığının tamamı, Veeam Backup & Replication 13.0.1.180 ve önceki tüm 13.x sürümlerini etkiliyor. Bu açıklar, Backup & Replication 13.0.1.1071 sürümünde giderildi. Veeam, bu zafiyetlerin halihazırda aktif olarak istismar edildiğine dair bir bilgi paylaşmasa da, yazılımın geçmişte tehdit aktörleri tarafından istismar edilmiş olması nedeniyle kullanıcıların yamaları gecikmeden uygulaması kritik önem taşıyor.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Aralık 2023

 

Bültenimizin Aralık Ayı konu başlıkları;  Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler MongoDB'de Veri Sızıntısı İsrail - İran Siber Savaş Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler

Birleşik Krallık merkezli siber güvenlik firması Sophos, EOL (Hizmet Dışı) durumuna ulaşan Firewall sürümlerinde sömürülen bir güvenlik açığı için yamalar duyurdu. Önemli düzeyde bir zafiyet olan ve CVE-2022-3236 olarak izlenen bu açığın, ürünün 19.0 MR1 (19.0.1) ve daha eski sürümlerini etkilediği belirlendi. İlk olarak Eylül 2022'de düzeltilen bu zafiyet, yalnızca desteklenen Sophos Firewall sürümlerinde düzeltilmişti. Sophos, güvenlik zafiyetini Firewall'un Kullanıcı Portalı ve Webadmin bileşenlerinde bir kod enjeksiyonu sorunu olarak tanımlıyor ve saldırganların uzaktan kod yürütme (RCE) elde etmelerine olanak tanıdığını belirtiyor. Aralık 2023'te, Sophos Firewall'un bu eski, desteklenmeyen sürümlerindeki bu aynı zafiyetlere karşı yeni saldırı girişimlerini belirledikten sonra, güncellenmiş bir düzeltme sağladığını belirtiyor. Eylül 2022'den sonra örneklerini desteklenen bir sürüme güncelleyen organizasyonlar, bu saldırılara karşı korunmuş olup ek önlemler almalarına gerek yoktur. Ancak, EOL yazılımı çalıştıran cihazlar, yeni saldırılara karşı savunmasızdır ve Sophos, belirli sürümleri düzeltmek için derhal harekete geçmiştir. Bu yamalar, "hotfix kabul et" seçeneği etkinleştirilmiş olan etkilenen organizasyonların yüzde 99'una "otomatik olarak uygulanmıştır," diye belirtiyor. 6 Aralık'tan itibaren Sophos, Firewall sürümleri 19.0 GA, MR1 ve MR1-1; 18.5 GA, MR1, MR1-1, MR2, MR3 ve MR4; ve 17.0 MR10 için hotfix'ler yayınlamaya başlamıştır. Geçen yıl, Sophos, bu açığın Güney Asya bölgesindeki "belirli birkaç organizmayı" hedef alan saldırılarda kullanıldığını uyararak, ayrıntılarını paylaşmamıştı. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

MongoDB'de Veri Sızıntısı

MongoDB, bu ayın başlarında tespit edilen bir siber saldırıda kurumsal sistemlerinin ihlal edildiğini ve müşteri verilerinin tehlikeye atıldığını bildiriyor. MongoDB'den CISO Lena Smart tarafından müşterilere gönderilen e-postalarda, şirketin sistemlerinin Çarşamba akşamı (13 Aralık) hacklendiğini tespit ettikleri ve olayı araştırmaya başladıkları belirtiliyor. "MongoDB, belirli MongoDB kurumsal sistemlerine yetkisiz erişimi içeren bir güvenlik olayını araştırıyor," diye belirtilen MongoDB'nin e-postasında şu ifadelere yer veriliyor: "Buna müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkması da dahildir. Şu anda, müşterilerin MongoDB Atlas'ta depoladığı verilerin herhangi bir maruziyeti olduğunu BİLMİYORUZ." Şirket, saldırganların MongoDB Atlas'ta depolanan müşteri verilerine erişim sağlamadığına inanıyor. Ancak MongoDB, tehdit aktörlerinin keşfedilmeden önce bir süre boyunca sistemlerine erişim sağladığını belirtiyor. Ne yazık ki, genellikle bu tür ihlallerde, tehdit aktörünün uzun süreli erişimi olduğu durumlarda veri hırsızlığı meydana gelir. Müşteri meta verileri açığa çıktığından, MongoDB tüm müşterilerine çok faktörlü kimlik doğrulamayı etkinleştirmelerini, şifreleri değiştirmelerini ve potansiyel hedefe yönelik phishing ve sosyal mühendislik saldırılarına karşı dikkatli olmalarını öneriyor. Şirket, saldırı ile ilgili güncellemeleri MongoDB Alerts web sayfasında paylaşmaya devam edeceğini belirtiyor. Bu web sayfasını, kesintiler ve diğer olaylarla ilgili güncellemeleri paylaşmak için kullandıklarını ifade ediyorlar. Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri yazımıza buradan ulaşabilirsiniz. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

İsrail - İran Siber Savaş

Hacktivist grubu Predatory Sparrow, İran genelindeki benzin istasyonlarına yönelik bir siber saldırının arkasında olduklarını iddia ediyor ve bu saldırının işlemleri aksattığını belirtiyor. İran'daki benzin istasyonlarının yüzde 60 ila 70'ni etkilendiği bildiriliyor. Bu arada, İran'ın petrol istasyonları birliği sözcüsü Reza Navar, devlet haberlerine verdiği demeçte, sorumlu olanın bir yazılım sorunu olduğunu ve bunun çözüldüğünü söyledi. Sürücülere benzin istasyonlarına gitmemelerini tavsiye etti. İran Petrol Bakanı Javad Owji, Reuters'a göre dış müdahalenin olası bir neden olduğunu belirtti. Predatory Sparrow, "ağ üzerindeki faaliyetimizin küçük bir köşesinin kanıtı" olarak adlandırdığı bir dizi ekran görüntüsü yayınladı. Gönderide, resimlerin yakıt istasyonlarının adlarını, ödeme sistemleri bilgilerini, grup ağ içindeyken çekilmiş fotoğrafları ve yakıt istasyonu yönetim sistemini içerdiği belirtiliyor. Pro-İran hacktivist grubu, X (eski adıyla Twitter) üzerindeki mesajlarda siber saldırının kontrollü bir şekilde gerçekleştirildiğini ve potansiyel hasarı sınırlamak için tedbirler alındığını belirtti. "Operasyon başlamadan önce ülke genelindeki acil servislere uyarılar yaptık ve aynı nedenle ülke genelindeki bazı benzin istasyonlarını zarar görmemiş bıraktık, erişim ve yeteneklerimize rağmen operasyonlarını tamamen engelleyebilecek durumda olmamıza rağmen" diye açıklama yaptı. Predatory Sparrow daha önce, 2021 yılında, ulusal bir akaryakıt pompası ağına bağlı İranlı bir ödeme sistemine yönelik bir siber saldırı gerçekleştirmişti. Neden Yapıldı? Rachman, saldırının çeşitli nedenlere sahip olabileceğini, İran hükümetine bir uyarı yapma, gelecekte neler yapabileceklerini gösterme amacı taşıdığını öne sürdü. "Ancak saldırının kendi askeri operasyonları veya istihbarat toplama amaçları için bir ulus devleti tarafından gerçekleştirilmiş olma ihtimalini de düşünmeliyiz" dedi. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

Siber güvenlik tehditleri giderek artmaya devam ediyor, ve fidye yazılım saldırıları Ekim ayına kıyasla yüzde 30 artarak 442'ye ulaştı. Bu sonuç, 2023 yılında beklenenin üzerinde bir artışa işaret ediyor, ve yılın geri kalanında daha fazla dikkatli olmamız gerektiğini gösteriyor. Sektörel Hedeflenme ve Artan Tehditler: Endüstri sektörü, fidye yazılım saldırılarının en çok hedeflenen sektörü olmaya devam ediyor. Kasım ayında tüm saldırıların yüzde 33'ünü oluşturan 146 saldırı ile endüstri sektörü, dijitalleşme çabalarının bir sonucu olarak artan veri miktarı nedeniyle geniş bir yelpazedeki organizasyonlar için çekici bir hedef haline geliyor. Tüketici sektörleri yüzde 18'lik oranla ikinci sırada, sağlık sektörü ise yüzde 11'lik oranla üçüncü sırada yer alıyor. Öne Çıkan Tehdit Aktörleri: LockBit, Kasım ayında en aktif tehdit aktörü olarak belirlendi. Ekim'e göre yüzde 73'lük bir artışla kaydedilen 66 saldırı, bu tehdit aktörünün etkisini sürdürdüğünü gösteriyor. İkinci sırada BackCat ve üçüncü sırada ise Play bulunuyor. Toplam saldırıların yüzde 47'sinden sorumlu olan bu üç tehdit aktörü, siber güvenlik önlemlerini güçlendirmenin ne kadar önemli olduğunu gösteriyor. Bölgesel Dağılım ve Avrupa'daki Artış: Kuzey Amerika, fidye yazılım saldırılarının en çok yoğunlaştığı bölge olmaya devam ediyor. Ancak, Avrupa'da Kasım ayında saldırıların yüzde 31 arttığına dikkat çekmek önemlidir. Asya ise yüzde 10'luk oranla üçüncü sırada yer alıyor. Bu sonuçlar, coğrafi konumun siber güvenlik riskleri üzerindeki etkisini vurguluyor. Carbanak'ın Geri Dönüşü: Kasım ayında dikkat çeken bir diğer gelişme, bankacılık kötü amaçlı yazılım Carbanak'ın fidye yazılım saldırılarına geri dönüşü oldu. 2014 yılında ilk ortaya çıkan Carbanak, evrim geçirerek yeni dağıtım yöntemleri ve işle ilgili yazılım taklitleri kullanarak tekrar sahneye çıktı. Önemli Uyarı ve Öneriler: 2023 yılında toplam fidye yazılım saldırılarının 4.000'ı aşması, siber güvenliğin ne kadar kritik bir konu olduğunu gösteriyor. Özellikle endüstri sektörünün hala fidye yazılım çeteleri için çekici bir hedef olması nedeniyle, siber güvenlik önlemlerini güçlendirmek ve tedarik zinciri dayanıklılığını artırmak önemlidir. Yıl sonuna yaklaşırken, siber tehditlere karşı hazırlıklı olmak ve güvenlik önlemlerimizi güçlendirmek önemlidir. Tatil dönemi öncesinde fidye yazılım gruplarının daha aktif olabileceğini göz önünde bulundurarak, dikkatli olmalı ve siber güvenlik stratejilerimizi güncellemeliyiz.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.