Siber Güvenlik Bülteni - Nisan 2026

 

Bültenimizin Nisan Ayı konu başlıkları;  JanaWare Ransomware Türkiye’de SAP’ten Kritik Yama: SQL Injection Açığı Fortinet’te Kritik Zero-Day Alarmı Storm-1175: Zero-Day ile 24 Saatte Ransomware Vercel İhlali Derinleşiyor: OAuth Zinciriyle Genişleyen Supply Chain Saldırısı

JanaWare Ransomware Türkiye’de

Yeni bir fidye yazılımı ailesi olan JanaWare, Türkiye’deki bilgisayar kullanıcılarını hedef almaya başladı. Bu kampanya, Adwind RAT adlı kötü amaçlı yazılımın özelleştirilmiş bir versiyonunu kullanarak sistemlere sızıyor ve ardından fidye yazılımı yüklenmesini sağlıyor. Araştırmaya göre bu operasyon özellikle Türkiye’deki kullanıcıları hedefliyor ve daha çok küçük ve orta ölçekli işletmeleri etkiliyor. Saldırılar genellikle kimlik avı e-postaları (phishing) ile başlıyor ve bu e-postalarda kötü amaçlı Java arşiv dosyaları gönderiliyor. Kullanıcı bu dosyayı açtığında, sistemine Adwind RAT gizlice yükleniyor ve saldırgana uzaktan erişim sağlanıyor. Bu aşamada fidye yazılımı hemen devreye girmiyor; önce sistem analiz ediliyor ve hedefin değerli olup olmadığı kontrol ediliyor. Araştırmacılara göre bu kampanya en az 2020 yılından beri aktif ve halen devam ediyor. Malware, özellikle Türkiye’deki sistemleri hedef almak için coğrafi konum ve sistem dili kontrolü yapıyor. Sistem Türkçe değilse veya Türkiye dışında ise çalışmayı durdurabiliyor. Saldırılarda kullanılan e-posta içerikleri genellikle Google Drive bağlantıları içeriyor ve kullanıcı bu bağlantıya tıkladığında zararlı Java dosyası indiriliyor. Bu dosya çalıştırıldıktan sonra sistem şifrelenerek fidye talebi oluşturuluyor. Fidye notları genellikle Türkçe yazılıyor ve kurbanlardan iletişim için qTox veya Tor tabanlı kanallar kullanmaları isteniyor. Ransomware talepleri genellikle düşük seviyede, bu da saldırganların büyük kazanç yerine yüksek hacimli küçük ödemeler hedeflediğini gösteriyor. Bu tür saldırılar özellikle zayıf güvenlik önlemlerine sahip kullanıcılar ve KOBİ’ler için ciddi risk oluşturuyor, çünkü basit phishing teknikleri bile yeterli olabiliyor. Uzmanlara göre bu kampanya, büyük kurumsal hedeflerden ziyade küçük ölçekli ama sürekli gelir sağlayan bir saldırı modeli üzerine kurulmuş.

SAP’ten Kritik Yama: SQL Injection Açığı

SAP, Nisan 2026 güvenlik yama günü kapsamında 20 yeni ve güncellenmiş güvenlik notu yayınladığını duyurdu. Giderilen açıklar arasında en kritik olanı, Business Planning and Consolidation ve Business Warehouse bileşenlerini etkileyen CVE-2026-27681 (CVSS skoru: 9.9) olup, rastgele kod çalıştırmaya yol açabilen kritik bir SQL injection zafiyetidir. Araştırmacılara göre “Zafiyetli ABAP programı, düşük yetkili bir kullanıcının keyfi SQL komutları içeren bir dosya yüklemesine ve bu komutların çalıştırılmasına izin veriyor.” “Potansiyel bir saldırı senaryosunda, saldırgan ilgili yükleme fonksiyonunu kötüye kullanarak BW/BPC veri depolarına karşı zararlı SQL komutları çalıştırır. Başarılı bir istismar sonrasında saldırgan: Hassas finansal verileri dışarı çıkarabilir, Raporları, modelleri veya konsolidasyon verilerini değiştirebilir, Veritabanı içeriğini silebilir veya bozabilir, ve büyük çaplı kesintilere neden olabilir.” SAP ayrıca, ERP ve S/4HANA sistemlerini etkileyen yüksek önem dereceli bir yetkilendirme kontrolü eksikliğini gideren bir güvenlik notu da yayınladı. CVE-2026-34256 olarak takip edilen bu açık, bir ABAP programının çalıştırılmasına ve mevcut sekiz karakterlik executable programların yeniden yazılmasına olanak tanıyabilir. Kalan güvenlik notlarından 16 tanesi (15 yeni, 1 güncellenmiş) orta seviyede olup şu riskleri içermektedir: Bilgi sızması (information disclosure) Hizmet engelleme (DoS) XSS saldırıları Kod enjeksiyonu Kötü amaçlı içeriklere yönlendirme Kurbanın tarayıcısında kod çalıştırma Bu açıklar şu bileşenlerde giderilmiştir: BusinessObjects, Business Analytics, Content Management, S/4HANA, Supplier Relationship Management, NetWeaver, HANA Cockpit, HANA Database Explorer, Material Master Application ve S4CORE. Kalan iki güvenlik notu ise NetWeaver ve Landscape Transformation bileşenlerinde bulunan düşük önem dereceli kod enjeksiyonu açıklarını ele almaktadır. SAP, bu açıkların herhangi birinin aktif olarak istismar edildiğine dair bir bilgi paylaşmamıştır. Kullanıcılara güvenlik notlarını mümkün olan en kısa sürede uygulamaları tavsiye edilmektedir.

Fortinet’te Kritik Zero-Day Alarmı

Fortinet, zero-day olarak istismar edilen bir FortiClient Enterprise Management Server (EMS) açığı için acil düzeltmeler yayınladı. Uygunsuz erişim kontrolü (improper access control) sorunu olarak tanımlanan bu kritik seviye açık, CVE-2026-35616 (CVSS skoru: 9.1) olarak takip edilmekte olup uzaktan kod çalıştırma (RCE) için istismar edilebilir. Fortinet’in güvenlik duyurusuna göre, uzaktaki saldırganlar zafiyetli bir FortiClient EMS sistemine özel olarak hazırlanmış istekler göndererek açığı tetikleyebilir. Açıklamaya göre, başarılı istismar için kimlik doğrulaması gerekmemektedir. Şirket, “Fortinet bu açığın gerçek dünyada istismar edildiğini gözlemledi,” uyarısında bulundu. Fortinet, FortiClient EMS 7.4.5 ve 7.4.6 sürümlerindeki açığı gidermek için hotfix yayınladığını, 7.2 sürümünün ise etkilenmediğini açıkladı. Fortinet, “Yakında çıkacak olan FortiClientEMS 7.4.7 sürümü de bu soruna yönelik düzeltme içerecek. Bu arada mevcut hotfix açığı tamamen önlemek için yeterlidir,” dedi. Araştırmacılara göre, bu zafiyet kimlik doğrulaması olmadan API kimlik doğrulama ve yetkilendirme mekanizmalarının atlatılmasına olanak tanıyor. Bu sistemlerin, yeni zero-day açığının yanı sıra, bir haftadan uzun süredir istismar edilen CVE-2026-21643 SQL injection açığına karşı da potansiyel olarak savunmasız olduğu belirtiliyor.

Storm-1175: Zero-Day ile 24 Saatte Ransomware

Storm-1175 tarafından gerçekleştirilen saldırılar, bazı durumlarda henüz kamuya açıklanmamış zero-day açıkları ve yakın zamanda duyurulmuş zafiyetleri kullanarak ilk erişimi sağlamaktadır. Bazı vakalarda tehdit aktörünün, OWASSRF gibi birden fazla açığı zincirleyerek (exploit chaining) sistem içi faaliyetler yürüttüğü görülmüştür. Sisteme sızdıktan sonra, finansal motivasyonlu bu siber suç grubu, birkaç gün içinde, bazı vakalarda ise 24 saatten kısa sürede veri sızdırma (exfiltration) ve Medusa ransomware dağıtımı gerçekleştirmektedir. Bu süreçte grup: Yeni kullanıcı hesapları oluşturarak kalıcılık (persistence) sağlar, Web shell’ler veya meşru uzaktan yönetim yazılımları (RMM) kullanarak yatay hareket (lateral movement) yapar, Kimlik bilgisi hırsızlığı gerçekleştirir, Güvenlik çözümlerinin normal çalışmasını bozarak savunmayı zayıflatır ve ardından ransomware’i devreye alır. 2023’ten bu yana Storm-1175’in 16’dan fazla zafiyeti istismar ettiği tespit edilmiştir: CVE-2023-21529 (Microsoft Exchange Server) CVE-2023-27351 ve CVE-2023-27350 (Papercut) CVE-2023-46805 ve CVE-2024-21887 (Ivanti Connect Secure ve Policy Secure) CVE-2024-1708 ve CVE-2024-1709 (ConnectWise ScreenConnect) CVE-2024-27198 ve CVE-2024-27199 (JetBrains TeamCity) CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 (SimpleHelp) CVE-2025-31161 (CrushFTP) CVE-2025-10035 (Fortra GoAnywhere MFT) CVE-2025-52691 ve CVE-2026-23760 (SmarterTools SmarterMail) CVE-2026-1731 (BeyondTrust) Özellikle CVE-2025-10035 ve CVE-2026-23760 açıklarının, kamuya açıklanmadan önce zero-day olarak istismar edildiği belirtiliyor. 2024 sonu itibarıyla grup, Linux sistemleri hedef alma konusunda belirgin bir eğilim göstermiş, birçok organizasyonda zafiyetli Oracle WebLogic instance’larını istismar etmiştir. Ancak bu saldırılarda kullanılan spesifik zafiyet henüz bilinmemektedir. Microsoft’a göre: “Storm-1175, açıklama ile yama uygulanması arasındaki sürede exploit’leri hızlıca değiştirerek, birçok kurumun korumasız kaldığı bu boşluktan faydalanıyor.” Bu saldırılarda gözlemlenen dikkat çekici taktikler şunlardır: PowerShell ve PsExec gibi LOLBins araçları ve Impacket kullanılarak yatay hareket gerçekleştirilmesi PDQ Deployer ile hem yatay hareket hem de Medusa ransomware dahil payload dağıtımı yapılması Windows Firewall politikalarının değiştirilerek RDP erişiminin açılması ve zararlı payload’ların diğer sistemlere taşınması Impacket ve Mimikatz kullanılarak kimlik bilgisi dump edilmesi Microsoft Defender Antivirus istisnaları tanımlanarak ransomware’in engellenmesinin önüne geçilmesi Bandizip ile veri toplama, Rclone ile veri sızdırma işlemleri gerçekleştirilmesi

Vercel İhlali Derinleşiyor: OAuth Zinciriyle Genişleyen Supply Chain Saldırısı

Uygulama ve web sitesi barındırma devi Vercel, Perşembe günü yaptığı açıklamada, şirketin son veri ihlalini fark etmesinden önce saldırganların bazı müşteri verilerine eriştiğini belirtti. Bu durum, olayın ilk tahmin edilenden daha geniş güvenlik etkileri olabileceğini gösteriyor. Vercel, güvenlik olayı sayfasındaki güncellemede, ilk incelemeyi genişlettikten sonra Nisan başındaki ihlalden önceye ait zararlı faaliyetlere dair kanıtlar bulduğunu açıkladı. Açıklamada şu ifadelere yer verildi: “Bu olaydan bağımsız ve daha önce gerçekleşmiş, az sayıda müşteri hesabında ihlal izleri tespit ettik. Bu durum sosyal mühendislik, zararlı yazılım veya diğer yöntemlerden kaynaklanmış olabilir.” Vercel ayrıca, Nisan ayındaki olay kapsamında daha fazla müşteri hesabının ele geçirildiğini de belirtti, ancak detay paylaşmadı ve yalnızca etkilenen müşterilerin bilgilendirildiğini söyledi. San Francisco merkezli şirket, başlangıçta ihlalin, bir çalışanın Context AI tarafından geliştirilen bir uygulamayı indirmesi sonrası gerçekleştiğini açıklamıştı. Saldırganlar bu uygulamayı kullanarak çalışanın iş hesabına ve ardından Vercel’in sistemlerine erişim sağlamıştı. Yeni güncelleme, ihlalin daha geniş kapsamlı olabileceğini ve daha uzun süredir devam ediyor olabileceğini ortaya koyuyor. Vercel CEO’su Guillermo Rauch, X platformunda yaptığı paylaşımda, saldırganların yalnızca Context AI ihlaliyle sınırlı kalmadığını ve “o girişimin ihlalinin ötesinde de aktif olduklarını” doğruladı. Saldırganlar, ele geçirilen çalışan hesabı üzerinden şirketin bazı iç sistemlerine ve şifrelenmemiş müşteri kimlik bilgilerine erişim sağladı. Rauch’un açıklamaları, daha önce güvenlik araştırmacılarının yaptığı bir iddiayı güçlendiriyor: Context AI çalışanlarından birinin bilgisayarına, Roblox hileleri ararken indirilen bir yazılım aracılığıyla infostealer bulaşmış olabilir. Şu an için kaç müşterinin etkilendiği bilinmiyor. Hem Vercel hem de Context AI, olaydan daha fazla şirketin etkilenmiş olabileceğini ve yeni mağdurların ortaya çıkabileceğini belirtiyor.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Nisan 2025

 

Bültenimizin Nisan Ayı konu başlıkları;  2025'in Öne Çıkan Siber Tehditleri ve Alınan Dersler Güvenlik Sadece Teknoloji Değil: Kuruluşunuzda Siber Farkındalık Kültürü Nasıl Oluşturulur? 2025 Tehdit Ortamı ve Güvenlik Yöneticileri İçin Önemli Notlar Fortinet FortiSwitch Cihazlarında Kritik Kimlik Doğrulama Atlama Güvenlik Açığı SAP NetWeaver'da Kritik Sıfırıncı Gün Güvenlik Açığı

2025'in Öne Çıkan Siber Tehditleri ve Alınan Dersler

Siber tehdit ortamı sürekli bir evrim içinde ve 2025 yılı da bu değişimin hız kesmeden devam ettiği bir yıl olarak öne çıkıyor. Siber saldırıların artık soyut riskler olmaktan çıkıp somut, yıkıcı gerçek dünya etkileri yarattığı bu dönemde, proaktif ve bilgili olmak her zamankinden daha önemli. İşte 2025'in öne çıkan siber güvenlik başlıkları ve alınması gereken önlemler: 1. Yapay Zeka (AI) Destekli Saldırılar Yeni Zirvelerde Yapay zeka teknolojilerinin ilerlemesi, siber suçlulara yeni ve tehlikeli kapılar açtı. Özellikle Deepfake (Derin Sahtekarlık) video ve ses klonlama teknolojileri kullanılarak gerçekleştirilen dolandırıcılıklar, 2025'te ciddi artış gösterdi. Saldırganlar, yöneticilerin veya güvenilir kişilerin ses ve görüntülerini taklit ederek çalışanları manipüle ediyor ve önemli miktarda mali kayba yol açan sahte para transferleri veya bilgi sızdırma eylemleri gerçekleştiriyor. Çıkarılan Ders: Finansal işlemler ve hassas bilgi paylaşımları için çok katmanlı, katı doğrulama protokolleri (telefonla geri arama, video konferans onayı vb.) şart. Çalışanların deepfake teknolojileri ve bunlarla yapılabilecek dolandırıcılıklar konusunda farkındalığının artırılması kritik önem taşıyor. 2. Hizmet Olarak Fidye Yazılımı (RaaS) Tehdidi Büyüyor Fidye yazılımları uzun süredir bir baş belası olsa da, Hizmet Olarak Fidye Yazılımı (RaaS - Ransomware-as-a-Service) modelinin yaygınlaşması tehdidi daha da büyüttü. Bu model, teknik becerisi daha düşük olan saldırganların bile karanlık ağ (dark web) üzerinden gelişmiş fidye yazılımı araçlarını ve altyapısını kiralayarak büyük ölçekli saldırılar düzenlemesini kolaylaştırıyor. Sonuç: Daha fazla kurum hedef alınıyor, operasyonel kesintiler yaşanıyor ve ciddi finansal kayıplar meydana geliyor. Çıkarılan Ders: Fidye yazılımı saldırılarının etkisini azaltmak için düzenli ve güvenilir sızma testleri ve sistem yedeklemeleri hayati önemde. Çalışanlara yönelik sürekli kimlik avı (phishing) eğitimleri ve detaylı, test edilmiş bir Olay Müdahale Planı (Incident Response Plan) olmazsa olmazlardan. Ayrıca bu konuda etkili olan TINA ailesi ürünlerimizi de inceleyebilirsiniz. 3. Tedarik Zinciri Saldırıları Domino Etkisi Yaratıyor Saldırganlar doğrudan büyük hedeflere saldırmak yerine, onların güvendiği daha küçük yazılım veya hizmet sağlayıcılarını hedef alıyor. Bu tedarik zinciri saldırıları, bir taşeron veya hizmet sağlayıcının sistemlerine sızarak, onların müşterisi olan çok sayıda kuruluşa aynı anda ulaşmayı mümkün kılıyor. Tek bir zafiyet, tüm bir ekosistemi etkileyerek operasyonları durma noktasına getirebiliyor. Çıkarılan Ders: İş yapılan üçüncü parti firmaların güvenlik durumlarının düzenli olarak değerlendirilmesi gerekiyor. Tedarik zincirinde kritik noktalara yedeklilik (alternatif sağlayıcılar vb.) oluşturmak ve sözleşmelerde güvenlik maddelerini netleştirmek, bu tür dolaylı saldırıların yıkıcı etkisini azaltabilir. 4. Ufuktaki Tehlike: Kuantum Hesaplama ve Kriptografi Henüz pratik kuantum saldırıları için birkaç yıl olsa da, kuantum bilgisayarların mevcut şifreleme standartlarını (RSA, ECC vb.) kırma potansiyeli artık göz ardı edilemeyecek bir gerçek. Bugün şifrelenen ve uzun yıllar gizli kalması gereken veriler (devlet sırları, ticari sırlar, kişisel veriler) "şimdi çal, sonra çöz" mantığıyla risk altında. Çıkarılan Ders: Kuantum tehdidine karşı hazırlıklara şimdiden başlamak gerekiyor. Kuruluşlar, şifrelenmiş varlıklarının envanterini çıkarmalı, NIST gibi standart belirleyici kuruluşların rehberliğinde kuantum-güvenli kriptografi alternatiflerini değerlendirmeli ve geçiş planlarını oluşturmaya başlamalıdır. 2025 yılı, siber tehditlerin hem daha sofistike hem de daha erişilebilir hale geldiğini gösteriyor. Yapay zeka destekli dolandırıcılıklardan RaaS platformlarına, tedarik zinciri risklerinden kuantum tehdidine kadar uzanan bu geniş yelpazede, kuruluşların sürekli tetikte olması, savunma mekanizmalarını güncel tutması ve en önemlisi bu olaylardan ders çıkararak proaktif adımlar atması gerekiyor. Unutmayalım ki siber güvenlik, sadece teknoloji değil, aynı zamanda insan, süreç ve sürekli öğrenme meselesidir.

Güvenlik Sadece Teknoloji Değil: Kuruluşunuzda Siber Farkındalık Kültürü Nasıl Oluşturulur?

Günümüzün dijital çağında siber güvenlik, her ölçekteki kuruluş için en öncelikli konulardan biri haline geldi. Ancak genellikle gözden kaçan bir gerçek var: En gelişmiş güvenlik araçları bile, çalışanların farkındalığı ve doğru davranışları olmadan tam koruma sağlayamaz. Peki, kuruluşunuzda güçlü bir siber güvenlik farkındalığı kültürü nasıl oluşturulur ve bu süreçte Bilgi Güvenliği Direktörleri (CISO'lar) nasıl bir rol oynamalıdır? CISO'nun Rolü: Farkındalık Şampiyonluğu E bir siber güvenlik yapısı çalışan farkındalığı, davranışı ve katılımına dayanır. Bu noktada CISO'lar, sadece teknik liderler değil, aynı zamanda güvenlik farkındalığının şampiyonları olarak hareket etmelidir. Görevleri, departmanlar arası köprüler kurarak güvenliği sadece IT'nin değil, tüm iş süreçlerinin ayrılmaz bir parçası haline getirmektir. Eğitimde Yeni Yaklaşımlar: Kişiye Özel ve Sürekli Artık yıllık, tek tip uyum kontrol listesi eğitimleri yeterli değil. Gerçek dünya tehditlerine karşı etkili olabilmek için: Eğitimler rollere ve departmanlara özel olarak uyarlanmalıdır. Pazarlama departmanının karşılaştığı risklerle finans departmanının riskleri farklılık gösterebilir. Sürekli öğrenme benimsenmelidir. Bu, mikro öğrenme modülleri, düzenli aralıklarla yapılan simüle edilmiş oltalama (phishing) tatbikatları ve güvenlik tehditleri hakkında düzenli güncellemeler ile sağlanabilir. Başarıyı Ölçmek ve Liderliği Dahil Etmek Bir farkındalık programının ne kadar işe yaradığını anlamak kritik öneme sahiptir. Program etkinliği; katılım oranları, eğitim sonrası değerlendirme puanları ve gerçek olaylara müdahale süreleri gibi metriklerle ölçülmelidir. Aynı zamanda, bu tür programların başarısı için üst yönetimden tam destek (buy-in) almak ve güvenlik uygulamalarını çalışanların günlük iş akışlarına doğal bir şekilde entegre etmek esastır. Sürdürülebilir Bir Güvenlik Kültürü Yaratmak Güvenlik kültürü bir gecede oluşmaz; sürekli çaba gerektirir. Bu çabanın temel taşları şunlardır: Düzenli risk değerlendirmeleri yapmak. Departmanlar arası işbirliğini teşvik etmek. Olumlu güvenlik davranışlarını tanımak ve ödüllendirmek. Güvenlik olayları veya şüpheli durumlar hakkında açık diyaloğu teşvik etmek ve raporlamayı kolaylaştırmak. Bu adımlar, çalışanların kendilerini sorumlu hissettiği bir kolektif güvenlik ve sorumluluk kültürü oluşturmaya yardımcı olur. Unutmayalım ki siber güvenlik zincirinin en güçlü (veya en zayıf) halkası insandır. Teknolojik yatırımlar ne kadar önemli olsa da, çalışanların siber tehditler konusundaki farkındalığını sürekli canlı tutmak, onları doğru davranışlar sergilemeleri için eğitmek ve güvenliği bir kurum kültürü haline getirmek, dijital dünyada dayanıklı ve güvende kalmanın anahtarıdır. Güçlü bir farkındalık programı, sadece bir uyum gerekliliği değil, aynı zamanda kuruluşunuzun en değerli varlıklarından biridir.

2025 Tehdit Ortamı ve Güvenlik Yöneticileri İçin Önemli Notlar

Siber güvenlik tehdit ortamı sürekli evrim geçiriyor ve 2025 yılına girerken, Chief Information Security Officer'lar (CISO) ve teknik liderler için önemli zorlukları da beraberinde getiriyor. Önümüzdeki dönemde karşılaşacağımız temel tehditler ve bu doğrultuda almamız gereken önlemler aşağıda özetlenmiştir: 2025 Yılının Öne Çıkan Siber Tehditleri: Yapay Zeka Destekli Saldırılar: Saldırganlar, yapay zekayı kullanarak oltalama (phishing) kampanyalarını otomatize ediyor, tespit sistemlerini atlatıyor ve zafiyetleri daha hızlı istismar ediyor. Deepfake gibi teknolojilerle geliştirilmiş kimlik sahtekarlığı ve ikna edici sahtekarlık girişimleri artış gösterecek. Gelişmiş Fidye Yazılımları (Ransomware): Fidye yazılımları, sadece veri şifrelemenin ötesine geçerek, operasyonları durdurma ve hassas bilgileri sızdırma tehdidini içeren "çift gasp" (double extortion) gibi daha sofistike taktikler kullanacak. Kritik altyapılar, sağlık hizmetleri ve finans kuruluşları başta olmak üzere birçok sektör hedef alınacak. Tedarik Zinciri Zafiyetleri: Birbirine bağlı sistemler, endüstriler arası zafiyetleri artırarak tedarik zinciri saldırılarını daha olası hale getiriyor. Bir halkadaki zafiyet, tüm zinciri etkileyebiliyor. İleri Seviye Siber Dolandırıcılık: Yapay zeka ile güçlendirilen oltalama, vishing (sesli oltalama) ve deepfake teknolojileri, bireyleri ve kurumları hedef alarak hem teknik sistemleri hem de insan psikolojisini manipüle etmeyi amaçlıyor. CISOs ve Teknik Yönetim İçin Önemli Odaklar: Stratejik Yaklaşım: Siber güvenlik artık sadece teknik bir konu değil, iş sürekliliğini ve yeniliki mümkün kılan stratejik bir iş fonksiyonudur. Teknik yöneticilerin de bu stratejik bakış açısını benimsemesi gerekmektedir. Kısıtlı Bütçelerle Güvenlik Sağlama: Artan risklere rağmen bütçe kısıtlamaları, teknik yönetimden mevcut kaynakları en verimli şekilde kullanmayı ve güçlü bir güvenlik duruşu sergilemesini bekleyecektir. Bu durum, yaratıcı ve maliyet etkin çözümler bulmayı gerektirmektedir. Esneklik ve Direnç (Resilience): Saldırıların kaçınılmaz olabileceği kabul edilerek, hızlı ve etkili bir şekilde toparlanma yetenekleri geliştirmek kritik önem taşıyor. İş sürekliliği planları ve felaket kurtarma planları güncel tutulmalı ve düzenli olarak test edilmelidir. Yapay Zeka Destekli Savunma: Tehdit aktörleri yapay zekayı kullandıkça, savunma mekanizmalarında da yapay zekadan faydalanmak gerekmektedir. Gerçek zamanlı tehdit tespiti ve müdahale için yapay zeka destekli araçların değerlendirilmesi önemlidir. Teknik ve Organizasyonel Boyutlar: Güvenlik, sadece teknik kontrollerle sağlanamaz. Çalışan farkındalığı, güvenlik politikaları ve prosedürler gibi organizasyonel boyutlar da güçlendirilmelidir. Sürekli Eğitim ve Farkındalık: Tehdit ortamının hızla değişmesi, teknik ekiplerin ve tüm çalışanların güncel tehditler ve korunma yöntemleri konusunda sürekli eğitim almasını zorunlu kılmaktadır. 2025 tehdit ortamı, siber güvenliğin her zamankinden daha fazla önceliklendirilmesi gerektiğini göstermektedir. Teknik yöneticiler olarak, bu tehditlere karşı hazırlıklı olmak, proaktif güvenlik stratejileri uygulamak ve organizasyonumuzun siber direncini artırmak hepimizin sorumluluğudur.

Fortinet FortiSwitch Cihazlarında Kritik Kimlik Doğrulama Atlama Güvenlik Açığı

Fortinet, yönetilen FortiSwitch cihazlarını etkileyen kritik (CVSS Puanı: 9.3) bir güvenlik açığı (CVE-2024-48887) için acil güncellemeler yayınlamıştır. Bu güvenlik açığı, doğrulanmamış parola değişikliğine (CWE-620) olanak tanıyarak uzak ve kimliği doğrulanmamış saldırganların özel hazırlanmış istekler aracılığıyla yönetici parolalarını değiştirmesine imkan verir. Tehdit Detayları: Açıklık: Güvenlik açığı, FortiSwitch'in web tabanlı grafiksel kullanıcı arayüzünde (GUI) bulunmaktadır. Etki: Başarılı bir saldırı sonucunda, kimliği doğrulanmamış bir saldırgan, yönetim arayüzüne erişimi olan bir ağdan, kimlik doğrulama mekanizmalarını atlayarak yönetici parolalarını değiştirebilir. Keşif: Güvenlik açığı, Fortinet içerisinden (Daniel Rozeboom, FortiSwitch web UI geliştirme ekibi) keşfedilmiş ve raporlanmıştır. Sömürü Durumu: Bültenin yayınlandığı tarihte (Nisan 2025 başı) bu açığın aktif olarak sömürüldüğüne dair bir kanıt bulunmamaktadır, ancak Fortinet açıklarının geçmişte hedef alındığı göz önüne alındığında risk yüksektir. Etkilenen Sürümler: FortiSwitch 7.6.0 FortiSwitch 7.4.0 ila 7.4.4 arası FortiSwitch 7.2.0 ila 7.2.8 arası FortiSwitch 7.0.0 ila 7.0.10 arası FortiSwitch 6.4.0 ila 6.4.14 arası Çözüm ve Öneriler: Fortinet, aşağıdaki veya daha yeni sürümlere acil yükseltme yapılmasını şiddetle tavsiye etmektedir: FortiSwitch 7.6.1 FortiSwitch 7.4.5 FortiSwitch 7.2.9 FortiSwitch 7.0.11 FortiSwitch 6.4.15 Derhal güncelleme yapamayan kurumlar için geçici çözümler önerilmektedir: Yönetim arayüzlerinden HTTP/HTTPS erişimini devre dışı bırakmak. Sisteme erişimi yalnızca güvenilir ana bilgisayarlarla (trusted hosts) sınırlandırmak. config system admin edit set {trusthost1 | trusthost2 | trusthost3} next end Bu güvenlik açığı, etkilenen FortiSwitch cihazları için önemli bir risk oluşturmaktadır. Kullanıcıların sistemlerini güvence altına almak için belirtilen güncellemeleri mümkün olan en kısa sürede uygulamaları veya geçici çözümleri devreye almaları kritik önem taşımaktadır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

SAP NetWeaver'da Kritik Sıfırıncı Gün Güvenlik Açığı

SAP NetWeaver platformunda, aktif olarak sömürülen, kritik (CVSS Puanı: 10.0) bir sıfırıncı gün (zero-day) güvenlik açığı tespit edilmiştir. CVE-2025-31324 olarak izlenen bu açık, özellikle Visual Composer Metadata Uploader bileşenindeki yetkilendirme eksikliğinden kaynaklanmaktadır. Tehdit Detayları: Açık, kimliği doğrulanmamış saldırganların savunmasız /developmentserver/metadatauploader uç noktası üzerinden kötü amaçlı dosyalar (özellikle JSP web kabukları) yüklemesine izin vermektedir. Bu durum, saldırganlara yüksek ayrıcalıklarla (<sid>adm kullanıcısı) rastgele komut çalıştırma, sistemler üzerinde tam kontrol sağlama, hassas verileri sızdırma ve ağ içinde yatay hareket etme imkanı tanımaktadır. Saldırıların Mart 2025'ten beri devam ettiği ve 10.000'den fazla internete açık SAP uygulamasını etkileyebileceği rapor edilmiştir. Tamamen yamalı sistemlerin dahi hedef alındığı gözlemlenmiştir. Saldırganların Brute Ratel C4 ve Heaven's Gate gibi gelişmiş araç ve teknikler kullandığı belirlenmiştir. Acil Eylem Çağrısı: SAP, bu açığı gidermek için 24 Nisan 2025 tarihinde acil bir güvenlik yaması (Security Note 3594142) yayınlamıştır. Tüm SAP müşterilerinin bu yamayı derhal uygulaması şiddetle tavsiye edilir. Normal yama döngüleri beklenmemelidir. Yama hemen uygulanamıyorsa, geçici çözüm olarak: /developmentserver/metadatauploader uç noktasına erişimin kısıtlanması. Kullanılmıyorsa Visual Composer bileşeninin tamamen devre dışı bırakılması (SAP Note 3593336). Sistem günlüklerinin şüpheli aktivitelere karşı dikkatle izlenmesi gerekmektedir. Bu güvenlik açığı, SAP sistemleri için ciddi bir risk teşkil etmektedir. Belirtilen acil önlemlerin ve güncellemelerin ivedilikle hayata geçirilmesi kritik önem taşımaktadır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Haziran 2024

 

Bültenimizin Haziran Ayı konu başlıkları;  Fortinet, FortiOS Zafiyeti VMware, Kritik vCenter RCE Zafiyeti Botnet, Zyxel NAS Zafiyetini Kullanıyor İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

Fortinet, FortiOS Zafiyeti

Fortinet, FortiOS'un komut satırı yorumlayıcısında çoklu yığın tabanlı arabellek taşması güvenlik açıklarını (CVE-2024-23110) açıkladı. Etkilenen Sürümler ve Çözümler Bu güvenlik açıkları, FortiOS'un çeşitli sürümlerini etkilemektedir. FortiOS 7.4: 7.4.0 ile 7.4.2 sürümleri etkilenmiştir. Kullanıcılar 7.4.3 veya üstü sürüme yükseltmelidir. FortiOS 7.2: 7.2.0 ile 7.2.6 sürümleri etkilenmiştir. Kullanıcılar 7.2.7 veya üstü sürüme yükseltmelidir. FortiOS 7.0: 7.0.0 ile 7.0.13 sürümleri etkilenmiştir. Kullanıcılar 7.0.14 veya üstü sürüme yükseltmelidir. FortiOS 6.4: 6.4.0 ile 6.4.14 sürümleri etkilenmiştir. Kullanıcılar 6.4.15 veya üstü sürüme yükseltmelidir. FortiOS 6.2: 6.2.0 ile 6.2.15 sürümleri etkilenmiştir. Kullanıcılar 6.2.16 veya üstü sürüme yükseltmelidir. FortiOS 6.0: Tüm sürümler etkilenmiştir. Kullanıcılar sabit bir sürüme geçmelidir. Fortinet, sabit sürümlere sorunsuz geçiş sağlamak için yükseltme yolu aracını kullanmayı önermektedir. Araca Fortinet'in Yükseltme Yolu Aracı'ndan erişilebilir. Bu güvenlik açıkları, FortiOS komut satırı yorumlayıcısındaki komut satırı argümanlarının hatalı işlenmesinden kaynaklanmaktadır. Kimliği doğrulanmış bir saldırgan, özel olarak hazırlanmış komut satırı argümanları göndererek bu güvenlik açıklarından yararlanabilir ve yetkisiz kod veya komut çalıştırabilir. Önleme ve Öneriler Fortinet, etkilenen tüm FortiOS sürümlerini kullanan kullanıcıların riskten korunmak için mümkün olan en kısa sürede önerilen sürümlere yükseltmelerini tavsiye eder. Kullanıcılar ayrıca, komut satırı arayüzüne erişimi güvenilir kullanıcılarla sınırlandırmak ve olağandışı etkinlikleri izlemek gibi ağ güvenliği için en iyi uygulamaları takip etmelidir. FortiGate cihazınıza giriş yaparak mevcut FortiOS sürümünü kontrol edin. Yükseltme Yolu Aracını Kullanma Yükseltme Yolu Aracına Erişme: Fortinet’in Yükseltme Yolu Aracı’nı ziyaret edin. Ürün ve Sürümleri Seçme: Mevcut FortiGate ürününüzü, mevcut FortiOS sürümünüzü ve hedef FortiOS sürümünü seçin. Önerilen Yolu Takip Edin: Araç, önerilen bir yükseltme yolu sağlayacaktır. Gerekirse tüm ara yazılım sürümlerini indirin. UYARI: Şubat ayından bu yana Hollanda askeri istihbarat servisi, Çinli tehdit grubunun 2022 ve 2023 yıllarında dünya çapında en az 20.000 FortiGate sistemine erişim elde ettiğini keşfetti; bu, Fortinet'in CVE-2022-42475 güvenlik açığını açıklamasından en az iki ay önceydi. Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

VMware, Kritik vCenter RCE Zafiyeti

VMware, vCenter Server'da uzaktan kod yürütme ve yerel ayrıcalık yükseltme kusurlarını içeren kritik güvenlik açıklarını ele alan bir güvenlik danışma belgesi yayınladı. Üretici CVE-2024-37079, CVE-2024-37080, CVE-2024-37081 olarak adlandırılan üç güvenlik açığı için düzeltmeler yayınladı ve özet olarak şunları içerir: CVE-2024-37079: vCenter Server'ın DCERPC protokolünün uygulanmasında bir yığın taşması güvenlik açığı. Ağ erişimine sahip kötü niyetli bir aktörün özel olarak hazırlanmış paketler göndermesine olanak tanır ve potansiyel olarak uzaktan kod yürütmeye yol açabilir. (CVSS v3.1 puanı: 9.8 “kritik”) CVE-2024-37080: vCenter Server'ın DCERPC protokolünde başka bir yığın taşması güvenlik açığı. CVE-2024-37079'a benzer şekilde, bir saldırganın özel olarak hazırlanmış paketler göndererek yığın taşmasını istismar etmesine ve potansiyel olarak uzaktan kod yürütmeye neden olabilir. (CVSS v3.1 puanı: 9.8 “kritik”) CVE-2024-37081: vCenter Server'da sudo'nun yanlış yapılandırılmasından kaynaklanan bu güvenlik açığı, kimliği doğrulanmış yerel bir kullanıcının bu kusuru kullanarak vCenter Server Appliance'da root ayrıcalıklarına yükseltilmiş yetkilerle erişim sağlamasına izin verir. (CVSS v3.1 puanı: 7.8 “yüksek”) Yukarıdaki kusurlar VMware vCenter Server sürümleri 7.0 ve 8.0 ile VMware Cloud Foundation sürümleri 4.x ve 5.x'i etkilemektedir. VMware vCenter Server 8.0 U2d, 8.0 U1e ve 7.0 U3r sürümlerinde güvenlik güncellemeleri yayınlanmıştır. Cloud Foundation için yamalar KB88287 aracılığıyla sağlanmıştır. Üretici, vCenter Server'ı güncellemenin çalışan iş yüklerini veya sanal makineleri etkilemeyeceğini, ancak güncelleme sırasında vSphere Client ve diğer yönetim arayüzlerinde geçici bir kullanılabilirlik kesintisi yaşanabileceğini belirtiyor.. Üretici, bu güvenlik açıkları için ürün içinde uygulanabilir bir geçici çözüm veya azaltma yöntemi bulunmadığını, bu nedenle önerilen çözümün mümkün olan en kısa sürede güncellemelerin uygulanması olduğunu belirtiyor. VMware, güvenlik bülteninde henüz zafiyetlerin aktif olarak kullanıldığına dair herhangi bir tespit olmadığını belirtiyor. Ancak, vCenter kusurlarının açıklanması durumunda tehdit aktörleri tarafından hedef alınması yaygın bir durum olduğundan, yöneticilerin güncellemeleri mümkün olan en kısa sürede uygulamaları gerekmektedir.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Botnet, Zyxel NAS Zafiyetini Kullanıyor

Shadowserver Foundation, kullanımdan kaldırılmış Zyxel NAS cihazlarında yeni açıklanan kritik seviyedeki bir güvenlik açığının botnet saldırılarında zaten istismar edildiği konusunda uyarıyor. CVE-2024-29973 olarak izlenen bu sorun, kimlik doğrulama gerektirmeden uzaktan istismar edilebilen bir kod enjeksiyon kusuru olarak tanımlanıyor. Geçen yıl, benzer bir kod enjeksiyon hatası olan CVE-2023-27992'yi yamaladığında ortaya çıkmıştı. Bu güvenlik açığını keşfeden ve bildiren uzmanlar, "Bu güvenlik açığını yamalarken, eski yöntemleri kullanan yeni bir uç nokta eklediler ve bunu yaparken, önceki hataların aynısını uyguladılar" şeklinde açıklama yapıyorlar. Araştırmacıya göre, bir saldırgan, uzaktan kod yürütme amacıyla bu güvenlik açığını istismar etmek için savunmasız bir cihaza özel olarak hazırlanmış HTTP POST istekleri gönderebilir. Geçen hafta sonunda, Shadowserver Foundation, bu güvenlik açığını hedef alan ilk istismar girişimlerini Mirai benzeri bir botnet tarafından görmeye başladığını açıkladı. Bu kusuru hedef alan teknik detaylar ve kavram kanıtı (PoC) kodu halka açık olarak mevcut. Zyxel, Haziran ayı başlarında CVE-2024-29973 ve diğer üç hata için yamalar yayınladı, ancak etkilenen ürünler olan NAS326 ve NAS542'nin Aralık 2023'te kullanımdan kaldırıldığını belirtti. Şirket, "CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 güvenlik açıklarının kritik seviye olması nedeniyle, Zyxel bu ürünlerin güvenlik desteğinin sona ermesine rağmen, uzatılmış destek alan müşteriler için yamalar sunmuştur" diye uyardı. NAS326 cihazları için V5.21(AAZF.17)C0 firmware sürümü bu kusurları çözerken, NAS542 ürünleri için Zyxel, hataları V5.21(ABAG.14)C0 firmware sürümünde ele aldı. Kullanıcılara cihazlarını mümkün olan en kısa sürede güncellemeleri ve desteklenen ürünlerle değiştirmeyi düşünmeleri tavsiye edilir. Botnet operatörleri de dahil olmak üzere tehdit aktörlerinin, yamaların yayınlandığı ürünlerindeki güvenlik açıklarını hedef aldığı bilinmektedir.

İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'teki fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve planlı ameliyatların iptal edilmesine neden olduğunu doğruladı. Şirket, fidye yazılım saldırısının kurbanı olduğunu ve NHS uzmanlarının yardımıyla güvenlik ihlalini araştırdıklarını açıkladı. İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'e yapılan fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve 800'den fazla planlı ameliyat ile 700 ayakta tedavi randevusunun iptal edilmesine neden olduğunu doğruladı. Saldırı, Guy’s and St Thomas’ ve King’s College Hospital NHS Foundation Trust'larının yanı sıra güneydoğu Londra'daki birinci basamak sağlık hizmetlerini de olumsuz etkiledi. Saldırının arkasında Qilin fidye grubunun olduğundan şüpheleniliyor. Synnovis, saldırı sonrası sistemlerini kurtarmak için çalışmalarını sürdürüyor, ancak tam iyileşme zaman alacak ve bu süreçte testlerin ve randevuların yeniden planlanması gerekecek. NHS, kan eşleştirme testlerindeki aksaklıklar nedeniyle O tipi kan bağışları için acil bir çağrı yaptı. O Negatif ve O Pozitif kanın kullanımı artırılmış durumda, bu nedenle bağışçılardan kan vermeleri isteniyor. O Negatif kan, acil durumlarda evrensel olarak kullanılabilir ve bu nedenle kritik öneme sahip.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.