Siber Güvenlik Bülteni - Aralık 2025

 

Bültenimizin Aralık Ayı konu başlıkları;  5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama  GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor 16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu 2025 Ransomware Saldırıları Özeti

5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama

Fortinet, FortiOS SSL VPN’de beş yıllık bir güvenlik zafiyetinin belirli yapılandırmalar altında sahada  aktif olarak kötüye kullanıldığını gözlemlediğini açıkladı. Söz konusu zafiyet CVE-2020-12812, FortiOS SSL VPN’de yer alan hatalı kimlik doğrulama zafiyetidir. Bu zafiyet, kullanıcı adının büyük/küçük harf yapısı değiştirilerek, kullanıcının ikinci faktörlü kimlik doğrulama (2FA) istenmeden başarılı şekilde giriş yapmasına olanak tanıyabilir. Fortinet, Temmuz 2020’de yaptığı açıklamada durumu şöyle özetlemişti: “Bu durum, iki faktörlü kimlik doğrulama ‘user local’ ayarında etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü uzak bir kimlik doğrulama yöntemi (örneğin LDAP) olarak ayarlandığında ortaya çıkar. Sorun, yerel ve uzak kimlik doğrulama mekanizmaları arasındaki tutarsız büyük/küçük harf duyarlılığından kaynaklanmaktadır.” Bu zafiyet, o tarihten bu yana birden fazla tehdit aktörü tarafından aktif olarak istismar edilmektedir. Ayrıca ABD hükümeti, 2021 yılında çevre cihazlarını hedef alan saldırılarda silah haline getirilen zafiyetler arasında bunu da listelemiştir. Fortinet, 24 Aralık 2025 tarihinde yayımladığı yeni bir güvenlik duyurusunda, CVE-2020-12812’nin başarıyla tetiklenebilmesi için aşağıdaki yapılandırmaların mevcut olması gerektiğini belirtti: FortiGate üzerinde, LDAP’e referans veren ve 2FA etkin olan yerel kullanıcı kayıtları Bu kullanıcıların LDAP sunucusunda bir grubun üyesi olması Kullanıcının üyesi olduğu en az bir LDAP grubunun FortiGate üzerinde tanımlı olması ve bu grubun bir kimlik doğrulama politikasında kullanılması (örneğin yönetici erişimi, SSL VPN veya IPSEC VPN) Bu ön koşullar sağlandığında, zafiyet şu sonuca yol açar: 2FA yapılandırılmış LDAP kullanıcıları güvenlik katmanını atlayarak doğrudan LDAP üzerinden doğrulanır. Bunun temel nedeni, FortiGate’in kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alması, LDAP dizininin ise duyarlı olmamasıdır. Fortinet durumu şöyle açıklıyor: “Kullanıcı ‘jsmith’ yerine ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ gibi birebir aynı olmayan bir büyük/küçük harf kombinasyonu ile giriş yaparsa, FortiGate bu girişi yerel kullanıcı ile eşleştiremez.” Bu durumda FortiGate, alternatif kimlik doğrulama seçeneklerini değerlendirmeye başlar: Yerel kullanıcıyla eşleşme başarısız olduktan sonra, ikincil yapılandırılmış ‘Auth-Group’ grubunu ve buradaki LDAP sunucusunu bulur. Kimlik bilgileri doğruysa, yerel kullanıcı politikalarındaki ayarlardan (2FA veya hesap devre dışı olsa bile) bağımsız olarak kimlik doğrulama başarılı olur. Bu zafiyet, yönetici veya VPN kullanıcılarının 2FA olmadan doğrulanabilmesine neden olabilir. Fortinet, bu davranışı düzeltmek için Temmuz 2020’de şu sürümleri yayımlamıştır: FortiOS 6.0.10 FortiOS 6.2.4 FortiOS 6.4.1 Bu sürümleri henüz kullanmayan kurumlar, tüm yerel hesaplar için aşağıdaki komutu çalıştırarak kimlik doğrulama atlatma riskini azaltabilir: set username-case-sensitivity disable FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya daha yeni sürümleri kullanan müşterilere ise şu komut önerilmektedir: set username-sensitivity disable Fortinet’e göre: “username-sensitivity devre dışı bırakıldığında, FortiGate ‘jsmith’, ‘JSmith’, ‘JSMITH’ gibi tüm kombinasyonları aynı kabul eder ve hatalı yapılandırılmış LDAP grup ayarlarına failover yapılmasını engeller.” Ek bir önlem olarak, gerekli değilse ikincil LDAP grubunun kaldırılması önerilmektedir. Bu, LDAP üzerinden kimlik doğrulamayı tamamen ortadan kaldıracağı için saldırı vektörünü baştan kapatır; kullanıcı adı yerel kayıtla birebir eşleşmezse kimlik doğrulama başarısız olur. Ancak, yeni yayımlanan rehber, saldırıların doğası, kapsamı veya başarılı olup olmadığı konusunda herhangi bir detay içermemektedir. Fortinet ayrıca, 2FA olmadan yönetici veya VPN kullanıcılarının doğrulandığına dair bir bulgu tespit edilmesi halinde, etkilenen müşterilere destek ekibiyle iletişime geçmelerini ve tüm kimlik bilgilerini sıfırlamalarını tavsiye etmektedir.

GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası

Palo Alto GlobalProtect portallarını hedef alan oturum açma girişimleri ve SonicWall SonicOS API uç noktalarına yönelik tarama faaliyetleri başlatan yeni bir kampanya gözlemlendi. 2 Aralık'ta başlayan bu faaliyet, kendi BGP ağını işleten ve bir barındırma sağlayıcısı olarak faaliyet gösteren Alman BT şirketi 3xK GmbH tarafından işletilen altyapıdaki 7.000'den fazla IP adresinden kaynaklandı. Saldırganlar başlangıçta GlobalProtect portallarını kaba kuvvet (bruteforce) ve oturum açma girişimleriyle hedef aldı, ardından SonicWall API uç noktalarını taramaya yöneldi. Araştırmacılar, bu ani artışın daha önce Eylül sonu ile Ekim ortası arasında kaydedilen tarama girişimlerinde gözlemlenen üç istemci parmak izini (client fingerprints) kullandığını belirtiyor. Analiz edilen göstergelere göre, her iki faaliyetin de aynı aktöre ait olduğu belirtilmektedir. Bu uç noktaları hedef alan kötü niyetli taramalar, genellikle güvenlik zafiyetlerini ve hatalı yapılandırmaları tespit etmek için yapılır. Bu nedenle, savunmacıların bu tür faaliyetlerle ilişkili IP'leri izlemeleri ve engellemeleri tavsiye edilmektedir. Ayrıca, kimlik doğrulama yüzeylerinin anormal hız/tekrarlanan başarısızlıklar açısından izlenmesi, yinelenen istemci parmak izlerinin takip edilmesi ve statik itibar listeleri yerine dinamik, bağlam duyarlı engelleme kullanılması önerilmektedir. Palo Alto Networks, GlobalProtect arayüzlerine yönelik artan taramalar tespit ettiğini söyledi ve bunun "bir yazılım zafiyetinin istismarı değil, kimlik bilgisi tabanlı saldırıları (credential-based attacks) temsil ettiğini" doğruladı. Palo Alto Networks, müşterilerine kimlik bilgilerinin kötüye kullanımına karşı korunmak için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalarını önermektedir.

Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor

Ivanti, Endpoint Manager (EPM) için dördü de güvenlik açığı olmak üzere yamalar yayımladığını duyurdu. Bu zafiyetler arasında, uzaktan kod çalıştırmaya (RCE) yol açabilen kritik seviyede bir zafiyet de bulunuyor. Söz konusu güvenlik açığı CVE-2025-10573 olarak takip ediliyor ve kimlik doğrulama gerektirmeden istismar edilebilen kalıcı (stored) bir XSS açığı olarak tanımlanıyor. Rapid7’nin Ağustos ayında keşfedip raporladığı bu kritik EPM açığı, saldırganların kötü amaçlı payload içeren cihaz tarama verileri göndermesine olanak tanıyor. Bu veriler işlendiğinde, web yönetim paneline gömülüyor. Şirketin açıklamasına göre, bir yönetici panel arayüzüne erişip cihaz bilgilerini görüntülediğinde, payload tetikleniyor ve istemci tarafında JavaScript çalıştırılıyor. Bu da saldırganın yöneticinin oturumunun kontrolünü ele geçirmesine imkan tanıyor. Bu açık, Ivanti EPM 2024 SU4 SR1 sürümü ile giderildi. Aynı sürüm, üç adet yüksek önem dereceli güvenlik zafiyetini de kapatıyor. İlk yüksek seviye zafiyet olan CVE-2025-13659, dinamik olarak yönetilen kod kaynaklarının hatalı kontrolü olarak tanımlanıyor. Bu zafiyet, uzaktan ve kimlik doğrulama gerektirmeden saldırganların sunucuya rastgele dosya yazmasına olanak tanıyabilir. Ivanti’ye göre, bu zafiyetin başarılı şekilde istismar edilmesi RCE’ye yol açabilir, ancak kullanıcı etkileşimi gereklidir. İkinci yüksek seviye zafiyet CVE-2025-13661, path traversal (dizin geçişi) zafiyetidir. Uzaktan istismar edilebilir ve hedeflenen dizin dışına rastgele dosya yazılmasına imkan tanır. Bu zafiyetin istismarı kimlik doğrulama gerektirir. Üçüncü yüksek seviye zafiyet ise, EPM’in yama yönetimi bileşeninde kriptografik imzaların hatalı doğrulanması olarak tanımlanıyor. CVE-2025-13662 olarak izlenen bu zafiyet, uzaktan ve kimlik doğrulama olmadan RCE elde edilmesine imkan tanıyabilir, ancak kullanıcı etkileşimi gerektirir. Ivanti, bu zafiyetlerden herhangi birinin şu ana kadar sahada aktif olarak istismar edildiğine dair bilgileri olmadığını belirtiyor. Kullanıcılara, Ivanti EPM’in en güncel sürümüne mümkün olan en kısa sürede yükseltme yapmaları tavsiye ediliyor.

16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu

Güvenliği olmayan 16 TB’lık bir MongoDB veritabanı, ağırlıklı olarak LinkedIn benzeri verilerden oluşan yaklaşık 4,3 milyar profesyonel kaydı açığa çıkardı. Bu durum, büyük ölçekli ve yapay zeka destekli sosyal mühendislik saldırılarına imkan tanıyor. Veritabanı keşfedildikten 2 gün sonra güvenli hale getirildi. Bu süre zarfında veritabanına kimlerin eriştiğini bilmek mümkün değil. Veri setinde yer alan koleksiyonlar şunlar: intent – 2.054.410.607 kayıt (604,76 GB) profiles – 1.135.462.992 kayıt (5,85 TB) unique_profiles – 732.412.172 kayıt (5,63 TB) people – 169.061.357 kayıt (3,95 TB) sitemap – 163.765.524 kayıt (20,22 GB) companies – 17.302.088 kayıt (72,9 GB) company_sitemap – 17.301.617 kayıt (3,76 GB) address_cache – 8.126.667 kayıt (26,78 GB) intent_archive – 2.073.723 kayıt (620 MB) En az üç koleksiyon, yaklaşık iki milyara yakın kişisel kaydı açığa çıkardı. Bu veriler arasında isimler, e-posta adresleri, telefon numaraları, LinkedIn bağlantıları, iş unvanları, işverenler, iş geçmişi, eğitim bilgileri, konumlar, yetkinlikler, diller ve sosyal medya hesapları bulunuyor. “unique_profiles” veri seti tek başına görsel URL’leri de içeren 732 milyondan fazla kayıt barındırıyor. “people” koleksiyonu ise zenginleştirme metrikleri ve Apollo.io ekosistemiyle bağlantılı Apollo ID’lerini içeriyordu; Apollo’ya ait bir ihlale dair herhangi bir bulguya rastlanmadı. Sızdırılan veri setinin kime ait olduğu doğrulanamadı. Araştırmacılar, lead-generation (potansiyel müşteri üretimi) yapan bir şirkete işaret eden bazı ipuçları buldu. Sitemap kayıtlarında “/people” ve “/company” yollarının şirketin web sitesine bağlandığı görüldü. Şirket, 700 milyondan fazla profesyonele erişimi olduğunu iddia ediyor; bu rakam, ifşa edilen “unique_profiles” sayısıyla birebir örtüşüyor. Veritabanı, bildirimden birkaç gün sonra çevrimdışı oldu. Buna rağmen araştırmacılar kesin bir atıfta bulunmaktan kaçındı, zira şirketin kendisi de başka kaynaklardan kazınmış (scraped) olabilir. Bu sızıntı son derece tehlikeli, çünkü bu kadar büyük ve yapılandırılmış veri setleri, oltalama (phishing), CEO dolandırıcılığı, kurumsal keşif (reconnaissance) ve büyük ölçekli yapay zeka destekli saldırılar için ideal bir zemin oluşturuyor. Milyarlarca kayıt, suçluların kişiselleştirilmiş dolandırıcılıkları otomatikleştirmesine, hazırlık süresini kısaltmasına ve Fortune 500 çalışanları dahil yüksek değerli hedeflere odaklanmasına imkan tanıyor.

2025 Ransomware Saldırıları Özeti

2025 yılı, fidye yazılımı manzarasının sıradan bir siber suçtan, ulusal güvenlik ve küresel ekonomik istikrarı tehdit eden stratejik bir tehdide evrildiğini gösterdi. 2024’e göre saldırı sayıları %34 ila %50 arttı, Ocak–Eylül döneminde dünya genelinde 4.701 onaylanmış fidye yazılımı olayı kaydedildi, bu da bu tehdit türünün modern tarihinin en sürekli ve yıkıcı siber risklerinden biri olduğunu ortaya koyuyor. 2025’te sıradışı bir trend ortaya çıktı: saldırı hacimleri rekor düzeylere ulaşırken, fidye ödeme oranları tarihsel olarak düşük seviyelere geriledi. Bu durum saldırı modeli üzerinde derin bir yapısal değişime yol açtı; fidye yazılımı suç ekonomisinin temel işleyişi, ödeme yapmayan kurum sayısının artmasıyla ciddi şekilde sarsıldı. Fidye Yazılımı Ekosisteminde Parçalanma ve Gelişen Taktikler 2025’te büyük fidye yazılımı organizasyonları üzerindeki kolluk kuvveti baskıları, ekosistemde dramatik bir parçalanma ve merkeziyetsizlik yarattı. Büyük operasyonların faaliyetlerinin durmasıyla birlikte 45 yeni tehdit grubu gözlemlendi ve toplamda en az 85 aktif fidye yazılımı grubu tespit edildi. Bu beş yılın en yüksek seviyesi olarak dikkat çekiyor. Bu yayılma, saldırı taktiklerinde sofistike evrimler ile aynı zamana denk geldi: çift ve üçlü şantaj (double & triple extortion), yapay zeka destekli oltalama kampanyaları, bulut altyapısı ve operasyon teknolojisi sistemlerine yönelik hedefli istismarlar gibi karmaşık yöntemler yaygınlaştı. Kritik Sektörler Hedefte 2025’te fidye yazılımı saldırılarının %50’si kritik altyapı sektörlerini hedef aldı: imalat, sağlık, enerji, ulaşım ve finans gibi hizmetler bu saldırıların yarısını oluşturdu. Bu da fidye yazılımını sadece finansal bir suç olmaktan çıkarıp endüstriyel operasyonları kesintiye uğratabilen, kamu güvenliğini tehdit eden bir araca dönüştürdü. Ransomware saldırı hacimleri hızla artarken, fidye ödeme oranları dramatik şekilde düşmeye devam etti. Artan yedekleme ve kurtarma yetenekleri, fidye ödemelerinin dosya kurtarmada garanti sağlamadığı farkındalığı ve daha güçlü siber güvenlik duruşları, birçok organizasyonun ödeme yerine kendi kurtarma süreçlerini tercih etmesine yol açtı. Bu eğilim, fidye yazılımı suç ekonomisinin varoluşsal bir krizle karşı karşıya olduğunu gösteriyor. Saldırganlar, her dolar için çok daha fazla çaba harcamak zorunda kalıyor; çünkü ödeme yapan kurban oranı dramatik şekilde azalmış durumda. Fidye Yazılımı Ekosistemindeki Öne Çıkan Gruplar 2025’te fidye yazılımı sahnesi yeniden şekillendi: Qilin, 701’den fazla kurbanla en aktif gruplardan biri olarak öne çıktı. Bu grup, çifte şantaj kullanarak şifreleme ve veri sızdırma tehditlerini birleştirdi. Cl0p, sıfır-gün (zero-day) zafiyetleri yoğun şekilde kullanarak tedarik zinciri saldırılarında büyük etki yarattı ve yalnızca veri çalma üzerinden fidye stratejisi benimsedi. LockBit, 5.0 sürümüyle yeniden dirildi ve birçok bölgede yeniden yaygın hale geldi. Bu aktörler, uzaktan erişim araçlarının kötüye kullanımı, eski yazılım zafiyetlerinin etkili istismarı ve yapay zeka destekli oltalama gibi çeşitli yöntemler kullanarak operasyonlarını sürdürdüler. Veri Sızdırma Siteleri: Psikolojik Baskı Aracı 2025 boyunca aktif veri sızdırma sitelerinin sayısı rekor kırdı. Bu siteler, fidye taleplerine uymayan kurbanları çevrimiçi veri sızıntılarıyla yüzleştirerek baskı yaratmak için psikolojik savaş aracı haline geldi. 2025 yılı, fidye yazılımının artık sadece dosya şifreleme ve ödeme talebi olmadığı; ulusal düzeyde operasyonel, ekonomik ve toplumsal güvenliği tehdit eden stratejik bir araç haline geldiğini gösterdi. Kritik sektörlerdeki artan saldırı hacimleri ve daha karmaşık taktikler, kurumların sadece teknik savunmalara değil, aynı zamanda stratejik direnç ve kapsamlı siber risk yönetimine odaklanması gerektiğini ortaya koydu.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Temmuz 2025

 

Bültenimizin Temmuz Ayı konu başlıkları;  Türk Savunma Sanayii Hedefte Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı Kritik Sudo Güvenlik Açıkları FortiWeb Kritik SQL Enjeksiyonu Zafiyeti Sophos and SonicWall Kritik RCE Zafiyeti

Türk Savunma Sanayii Hedefte

Patchwork olarak bilinen tehdit aktörü, stratejik istihbarat toplama amacıyla Türk savunma sanayii yüklenicilerini hedef alan yeni bir oltalama (spear-phishing) saldırısıyla ilişkilendirildi.   Saldırı, insansız araç sistemleri hakkında daha fazla bilgi edinmek isteyen hedeflere gönderilen, konferans davetiyesi kılığındaki kötü niyetli LNK dosyaları aracılığıyla teslim edilen beş aşamalı bir yürütme zinciri kullanıyor.   Adı açıklanmayan bir hassas güdümlü füze sistemleri üreticisini de hedef alan bu faaliyet, Pakistan ve Türkiye arasındaki derinleşen savunma işbirliği ve son Hindistan-Pakistan askeri çatışmalarıyla aynı zamana denk gelmesi nedeniyle jeopolitik olarak motive edilmiş gibi görünüyor.   APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger ve Zinc Emerson olarak da adlandırılan Patchwork'ün, Hint kökenli devlet destekli bir aktör olduğu değerlendiriliyor. En az 2009'dan beri aktif olduğu bilinen bu hacker grubu, Çin, Pakistan ve Güney Asya'daki diğer ülkelerdeki kuruluşları hedef alma geçmişine sahip. Tam bir yıl önce, Knownsec 404 Team, Patchwork’ün Bhutan ile bağlantılı kuruluşları hedef aldığını, burada Brute Ratel C4 framework’ü ile birlikte PGoShell adlı bir arka kapının güncellenmiş versiyonunu dağıttığını belgelemişti. 2025 yılının başından bu yana, tehdit aktörü Çin üniversitelerine yönelik çeşitli kampanyalarla ilişkilendirildi. Bu saldırılarda ülkenin enerji şebekelerine dair oltalama içerikleri kullanılarak, Rust tabanlı bir yükleyici üzerinden C# ile yazılmış Protego adlı bir truva atı çalıştırılıyor ve bu sayede ele geçirilen Windows sistemlerinden çok çeşitli bilgiler toplanıyor. Çinli siber güvenlik firması QiAnXin tarafından Mayıs ayında yayımlanan bir diğer raporda ise, Patchwork ile DoNot Team (diğer adıyla APT-Q-38 veya Bellyworm) arasında altyapı örtüşmeleri tespit edildiği ve iki tehdit kümesi arasında operasyonel bağlantılar olabileceği öne sürüldü. Patchwork’ün Türkiye’yi hedef alması, grubun hedefleme alanını genişlettiğine işaret ediyor. Bu kampanyada kötü amaçlı Windows kısayol dosyaları (LNK) içeren oltalama e-postaları, çok aşamalı bir enfeksiyon sürecini başlatmak için kullanılıyor. Özellikle, LNK dosyası, harici bir sunucudan ("expouav[.]org") ek yükleri getirmekle sorumlu PowerShell komutlarını çağırmak üzere tasarlanmıştır; bu alan adı 25 Haziran 2025'te oluşturulmuş olup, insansız araç sistemleri üzerine uluslararası bir konferansı taklit eden bir PDF tuzağı barındırmaktadır ve bu konferansın detayları yasal olarak waset[.]org web sitesinde yer almaktadır. Uzmanlar “PDF belgesi, yürütme zincirinin geri kalanı arka planda sessizce çalışırken kullanıcıyı oyalamak için tasarlanmış görsel bir yem görevi görüyor. Bu hedefleme, Türkiye'nin küresel İHA ihracat pazarının %65'ini kontrol etmesi ve kritik hipersonik füze yetenekleri geliştirmesi, aynı zamanda Hindistan-Pakistan gerilimlerinin arttığı bir dönemde Pakistan ile savunma bağlarını güçlendirmesiyle aynı zamana denk geliyor.” diye belirtiyor. İndirilen bileşenler arasında, planlanmış bir görev (scheduled task) yoluyla DLL side-loading tekniğiyle çalıştırılan kötü amaçlı bir DLL dosyası da yer alıyor. Bu, nihayetinde ele geçirilmiş sistemde kapsamlı bir keşif (reconnaissance) yapan, ekran görüntüsü alan ve bilgileri uzaktaki sunucuya sızdıran bir shellcode'un çalıştırılmasına yol açıyor. Bu, bu tehdit aktörünün yeteneklerinde önemli bir evrimi temsil ediyor; Kasım 2024'te gözlemlenen x64 DLL varyantlarından, gelişmiş komut yapılarına sahip mevcut x86 PE yürütülebilir dosyalarına geçiş yapıyor. Dropping Elephant, x64 DLL'den x86 PE formatlarına mimari çeşitlendirme ve yasal web sitelerinin taklit edilmesi yoluyla gelişmiş C2 protokolü uygulaması aracılığıyla sürekli operasyonel yatırım ve geliştirme sergiliyor.

Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı

Çin merkezli bir tehdit aktörünün, ele geçirilmiş sistemlere fidye yazılımı dağıtmak için Microsoft SharePoint'teki güvenlik açıklarını kullandığı gözlemlendi. Microsoft, 23 Temmuz’da yaptığı bir olay güncellemesinde, Storm-2603 olarak izlenen bir grubun, ele geçirilmiş SharePoint on-prem sunucuları üzerinden Warlock fidye yazılımı dağıttığını açıkladı. Bu nedenle teknoloji devi, potansiyel olarak etkilenmiş kuruluşlara, fidye yazılımına karşı korumayı da içerecek şekilde risk azaltma (mitigation) çabalarını genişletmeleri yönünde tavsiyede bulundu. Storm-2603, CVE-2025-53770 ve CVE-2025-53771 kodlu SharePoint on-prem açıklarını istismar ettiği gözlemlenen üç gruptan biri. Storm-2603’ün Çin merkezli bir tehdit aktörü olduğu değerlendiriliyor ve daha önce Warlock ve LockBit fidye yazılımlarını dağıttığı biliniyor. Microsoft, bu tehdit aktörünün nihai hedeflerini şu aşamada kesin olarak değerlendiremediğini belirtti. Bu SharePoint açıklarını istismar eden diğer iki aktör ise, Linen Typhoon ve Violet Typhoon. Bu iki grup da devlet destekli Çinli aktörler olarak biliniyor ve esas olarak hükümet, savunma, teknoloji ve insan hakları kuruluşları gibi hassas veri toplayan sektörlere odaklanıyorlar. Bu iki açığın zincirleme şekilde istismar edilmesi, siber güvenlik topluluğu tarafından “ToolShell” olarak adlandırıldı. Saldırı zinciri sofistike görünüyor, tehdit aktörlerinin kimlik kontrollerini atlayarak, ele geçirilen sistemlerde ayrıcalıklı erişim elde ettikleri ifade ediliyor.   Saldırganlar Etkiyi En Üst Seviyeye Çıkarıyor Acumen Cyber CTO’su Kevin Robertson, fidye yazılımı dağıtımının, saldırganların bir ağın içine girdikten sonra bunu çok yönlü olarak avantaja çevirmeye çalıştıklarını gösterdiğini söyledi. “Fidye yazılımına yönelen saldırganlar, CVE-2025-53770 açığını kullanarak ortamda daha fazla erişim elde ediyor, hassas bilgileri şifreliyor ve ardından büyük bir ödeme umuduyla fidye yazılımı çalıştırıyor,” dedi. Mali kazançla genellikle motive olmayan Çin devlet destekli aktörler bile bu fırsatı fidye yazılımı dağıtmak için kullanıyor olabilir. Robertson, “Ağlarda keşif yapıp ihtiyaç duydukları bilgilere ulaştıklarında, mağdurlara daha fazla kaos yaratmak için fidye yazılımı bırakıyor olabilirler,” diye ekledi.   SharePoint Mağdur Sayısı 400’ü Aştı Microsoft, on-prem SharePoint kullanıcılarına, iki açık tamamen yamalanmış olsa bile sistemin ihlal edilmiş olduğunu varsaymalarını tavsiye etti. Kuruluşlara, kriptografik materyalleri döndürmek, profesyonel olay müdahale ekiplerini devreye almak ve gerekirse SharePoint’i internet bağlantısından ayırmak gibi acil önlemler almaları önerildi. Eye Security, 23 Temmuz’da yayımladığı raporda, şu ana kadar 400’den fazla SharePoint sisteminin aktif olarak ele geçirildiğini bildirdi. Bu istismarlar, 17, 18, 19 ve 21 Temmuz tarihlerinde dört onaylı saldırı dalgası halinde gerçekleşti. Eye Security, 21 Temmuz sonrasında ve sonrasında birden fazla saldırı dalgasının yaşandığını, bunun da GitHub’da CVE-2025-53770/CVE-2025-53771 güvenlik açıklarına ait bir proof-of-concept (PoC) istismar betiğinin yayımlanmasının ardından gerçekleştiğini ekledi. Raporlara göre, SharePoint saldırı kampanyası kapsamında çok sayıda yüksek profilli ABD devlet kurumu da mağdurlar arasında yer aldı. Bloomberg, 23 Temmuz’da yayımladığı haberinde, Ulusal Nükleer Güvenlik İdaresi (National Nuclear Security Administration) ve Eğitim Bakanlığı’nın (Department of Education) kullandığı on-prem SharePoint sunucularının ihlal edildiğini bildirdi. Washington Post ise, Sağlık ve İnsan Hizmetleri Bakanlığı’nın (DHHS) hedef alındığını aktardı. NextGov, konuyla ilgili bilgi sahibi kişilerden edindiği bilgilere dayanarak, İç Güvenlik Bakanlığı’nın (Department of Homeland Security - DHS) da Çinli hackerların mağdurları arasında olduğunu belirtti.

Kritik Sudo Güvenlik Açıkları

Siber güvenlik araştırmacıları, Linux ve Unix benzeri işletim sistemlerinde kullanılan Sudo komut satırı aracında yerel saldırganların savunmasız makinelerde ayrıcalıklarını root seviyesine yükseltmelerine olanak tanıyabilecek iki güvenlik açığını açıkladı. Açıkların kısa tanımları aşağıda yer almaktadır: CVE-2025-32462 (CVSS skoru: 2.8) – Sudo 1.9.17p1 öncesi sürümlerde, sudoers dosyasında belirtilen host mevcut makine ya da "ALL" değilse, belirtilen kullanıcıların, istenmeyen makinelerde komut çalıştırmalarına olanak tanır. CVE-2025-32463 (CVSS skoru: 9.3) – Sudo 1.9.17p1 öncesi sürümlerde, kullanıcının denetiminde olan bir dizinden alınan "/etc/nsswitch.conf" dosyası --chroot seçeneğiyle kullanıldığında, yerel kullanıcıların root erişimi elde etmelerine olanak tanır. Sudo, düşük ayrıcalıklara sahip kullanıcıların başka bir kullanıcı (örneğin süper kullanıcı) olarak komut çalıştırmasına izin veren bir komut satırı aracıdır. Amaç, en az ayrıcalık ilkesini uygulayarak, kullanıcılara yüksek izinler olmadan yönetimsel eylemleri gerçekleştirme yetkisi vermektir. Bu komut, "hangi kullanıcının, hangi makinelerde, hangi komutları hangi kullanıcı olarak çalıştırabileceğini ve belirli komutlar için parola gerekip gerekmediğini" belirleyen "/etc/sudoers" adlı bir dosya aracılığıyla yapılandırılır. Açıkları keşfeden ve raporlayan kişi olan Stratascale araştırmacısı Rich Mirch, CVE-2025-32462’nin 12 yılı aşkın süredir gözden kaçtığını söyledi. Bu açık, kullanıcının farklı bir host için sudo ayrıcalıklarını listelemesini sağlayan Sudo’nun "-h" (host) seçeneğindn kaynaklanmaktadır. Bu özellik, Eylül 2013’te etkinleştirildi. Ancak tespit edilen hata, Sudo komutu ilgili olmayan bir uzak host’u referans alarak çalıştırıldığında, uzak makinelerde izin verilen herhangi bir komutun yerel makinede de çalıştırılabilmesine olanak tanıdı. “Bu durum, yaygın bir sudoers dosyasının birden fazla makineye dağıtıldığı siteleri özellikle etkiler,” dedi Sudo projesi yöneticisi Todd C. Miller bir güvenlik danışma yazısında. “SSSD dahil LDAP tabanlı sudoers kullanan siteler de benzer şekilde etkilenmektedir.” Öte yandan, CVE-2025-32463, Sudo’nun "-R" (chroot) seçeneğini kullanarak, sudoers dosyasında listelenmemiş olsa bile, keyfi komutların root olarak çalıştırılmasına olanak tanıyor. Bu açık, kritik derecede ciddi olarak sınıflandırıldı. “Varsayılan Sudo yapılandırması savunmasızdır,” dedi Mirch. “Açık, Sudo’nun chroot özelliğini içerse de, kullanıcı için herhangi bir sudo kuralı tanımlanması gerekmez. Bu nedenle, savunmasız bir sürüm yüklüyse, yerel, düşük ayrıcalıklı herhangi bir kullanıcı potansiyel olarak root ayrıcalıklarını elde edebilir.” Başka bir deyişle, bu açık sayesinde saldırgan, sudo’yu belirli bir kullanıcı kök dizini altına yerleştirilmiş "/etc/nsswitch.conf" yapılandırma dosyasını yüklemeye kandırarak, kötü amaçlı bir paylaşımlı kütüphaneyi çalıştırabilir ve bu sayede yükseltilmiş ayrıcalıklarla kötü amaçlı komutlar çalıştırabilir. Miller, chroot seçeneğinin gelecekteki bir Sudo sürümünden tamamen kaldırılacağını ve kullanıcı tarafından belirtilen kök dizin desteğinin hataya açık olduğunu ifade etti. 1 Nisan 2025’te sorumlu bir şekilde açıklanan bu açıklar, geçtiğimiz ay yayımlanan Sudo 1.9.17p1 sürümünde giderildi. Sudo birçok Linux dağıtımıyla birlikte geldiğinden, çeşitli Linux dağıtımları da güvenlik danışma yazıları yayımladı: CVE-2025-32462 – AlmaLinux 8, AlmaLinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE ve Ubuntu CVE-2025-32463 – Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE ve Ubuntu Kullanıcılara, gerekli yamaları uygulamaları ve Linux masaüstü dağıtımlarının en son paketlerle güncellendiğinden emin olmaları tavsiye edilmektedir.

FortiWeb Kritik SQL Enjeksiyonu Zafiyeti

Fortinet, etkilenen FortiWeb sürümlerinde kimliği doğrulanmamış bir saldırganın rastgele veritabanı komutları çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığına yönelik düzeltmeler yayınladı. CVE-2025-25257 olarak izlenen bu güvenlik açığı, 10 üzerinden 9.6 CVSS puanına sahiptir. Fortinet, bu hafta yayınladığı güvenlik danışmanlığında şu ifadelere yer verdi: “FortiWeb’de özel olarak hazırlanmış HTTP veya HTTPS istekleri aracılığıyla yetkisiz SQL kodları veya komutları çalıştırmak için kimliği doğrulanmamış bir saldırganın kullanabileceği bir 'SQL Injection' (CWE-89) zafiyeti tespit edilmiştir.” Bu zafiyetin etkilediği sürümler şunlardır: FortiWeb 7.6.0 ila 7.6.3 (7.6.4 veya daha üstüne yükseltilmeli) FortiWeb 7.4.0 ila 7.4.7 (7.4.8 veya daha üstüne yükseltilmeli) FortiWeb 7.2.0 ila 7.2.10 (7.2.11 veya daha üstüne yükseltilmeli) FortiWeb 7.0.0 ila 7.0.10 (7.0.11 veya daha üstüne yükseltilmeli) Güvenlik Açığının Detayları Bugün yayınlanan bir analizde, watchTowr Labs, sorunun Fortinet ürünleri arasında köprü görevi gören Fabric Connector bileşeniyle ilişkili "get_fabric_user_by_token" adlı bir fonksiyonda yer aldığını belirtti. Bu fonksiyon, "fabric_access_check" adlı başka bir fonksiyondan çağrılıyor ve bu da şu üç API uç noktasından tetikleniyor: /api/fabric/device/status /api/v[0-9]/fabric/widget/[a-z]+ /api/v[0-9]/fabric/widget Sorun, saldırganın özel olarak hazırladığı HTTP isteklerindeki Bearer token Authorization header aracılığıyla gönderdiği girdilerin, yeterli güvenlik kontrolü olmadan doğrudan SQL sorgusuna aktarılmasıyla ortaya çıkıyor. Girdi zararlı olup olmadığını denetlemeye yönelik herhangi bir filtreleme/sterilize yapılmıyor. Bu saldırı, daha ileri seviyeye taşınarak uzaktan kod çalıştırma (RCE) seviyesine ulaştırılabiliyor. Saldırgan, veritabanı komutuna SELECT ... INTO OUTFILE ifadesi ekleyerek, sistemde bir dosyaya kötü amaçlı bir payload yazabiliyor. Sorguların "mysql" kullanıcısı yetkisiyle çalıştırılıyor olması bu saldırıyı mümkün kılıyor. Ardından bu dosya, örneğin Python aracılığıyla çalıştırılabilir hale geliyor.   Tavsiyeler ve Çözümler Gerekli yamalar uygulanana kadar geçici çözüm olarak, kullanıcıların HTTP/HTTPS yönetim arayüzünü devre dışı bırakmaları tavsiye edilmektedir. Fortinet cihazlarındaki açıkların geçmişte tehdit aktörleri tarafından kullanıldığı göz önünde bulundurulduğunda, kullanıcıların potansiyel riskleri azaltmak için en kısa sürede güncellemeleri yapmaları oldukça önemlidir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Sophos and SonicWall Kritik RCE Zafiyeti

Sophos ve SonicWall, Sophos Firewall ve Secure Mobile Access (SMA) 100 Serisi cihazlarda uzaktan kod çalıştırmaya olanak tanıyabilecek kritik güvenlik açıkları hakkında kullanıcıları uyardı. Sophos Firewall'u etkileyen iki güvenlik açığı aşağıda listelenmiştir: CVE-2025-6704 (CVSS puanı: 9.8) – Secure PDF eXchange (SPX) özelliğindeki rastgele dosya yazma güvenlik açığı, SPX’in belirli bir yapılandırmasının etkinleştirilmiş olması ve güvenlik duvarının Yüksek Erişilebilirlik (High Availability – HA) modunda çalışması durumunda, kimlik doğrulama öncesi uzaktan kod yürütmeye yol açabilir. CVE-2025-7624 (CVSS puanı: 9.8) – Eski (şeffaf) SMTP proxy’deki bir SQL enjeksiyonu güvenlik açığı, e-posta için karantina politikası etkinse ve SFOS, 21.0 GA sürümünden daha eski bir sürümden yükseltilmişse uzaktan kod çalıştırmaya yol açabilir. Sophos, CVE-2025-6704'ün cihazların yaklaşık %0,05’ini, CVE-2025-7624'ün ise cihazların %0,73’ünü etkilediğini belirtti. Her iki güvenlik açığı da, WebAdmin bileşenindeki yüksek önem dereceli komut enjeksiyonu güvenlik açığıyla (CVE-2025-7382, CVSS puanı: 8.8) birlikte giderildi. Bu açık, HA modunda yardımcı cihazlarda admin kullanıcısı için OTP (tek kullanımlık parola) kimlik doğrulaması etkinleştirildiğinde kimlik doğrulama öncesi kod yürütmeye neden olabilir. Şirket ayrıca şu iki güvenlik açığını da yamaladı: CVE-2024-13974 (CVSS puanı: 8.1) – Up2Date bileşenindeki bir iş mantığı güvenlik açığı, saldırganların güvenlik duvarının DNS ortamını kontrol ederek uzaktan kod yürütmesine olanak tanıyabilir. CVE-2024-13973 (CVSS puanı: 6.8) – WebAdmin'deki kimlik doğrulama sonrası bir SQL enjeksiyonu güvenlik açığı, yöneticilerin keyfi kod çalıştırmasına neden olabilir. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), hem CVE-2024-13974 hem de CVE-2024-13973 açıklarını keşfetmiş ve bildirmiştir. Aşağıdaki sürümler etkilenmektedir: CVE-2024-13974 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler CVE-2024-13973 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler CVE-2025-6704 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler CVE-2025-7624 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler CVE-2025-7382 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler Bu açıklamalar, SonicWall’un SMA 100 Serisi web yönetim arayüzünde (CVE-2025-40599, CVSS puanı: 9.1) kritik bir hatayı detaylandırmasının hemen ardından geldi. Bu hata, uzaktan bir saldırganın yönetici yetkilerine sahip olması durumunda rastgele dosyalar yükleyerek potansiyel olarak uzaktan kod yürütmesine olanak tanır. Bu açık, SMA 100 Serisi ürünlerini (SMA 210, 410, 500v) etkiler ve 10.2.2.1-90sv sürümünde giderilmiştir. SonicWall ayrıca bu güvenlik açığının henüz kötüye kullanılmadığını, ancak Google Threat Intelligence Group (GTIG) tarafından hazırlanan yakın tarihli bir raporda, UNC6148 adlı bir tehdit aktörünün tamamen yamalanmış SMA 100 serisi cihazları OVERSTEP adlı bir arka kapıyı yerleştirmek için kullandığına dair kanıtlar bulunduğu için potansiyel bir risk olduğunu vurguladı. Şirket, SMA 100 Serisi cihazları kullanan müşterilerin aşağıdaki adımları uygulamasını da önermektedir: Dışarıya bakan X1 arayüzünde uzaktan yönetim erişimini devre dışı bırakın (saldırı yüzeyini azaltmak için) Tüm parolaları sıfırlayın ve kullanıcılar ile yöneticiler için OTP (tek kullanımlık parola) bağlantısını yeniden başlatın Tüm kullanıcılar için çok faktörlü kimlik doğrulaması (MFA) uygulayın SMA 100 üzerinde Web Uygulama Güvenlik Duvarı’nı (WAF) etkinleştirin SMA 500v sanal ürünü kullanan kuruluşların ise şunları yapmaları gerekmektedir: OVA dosyasının yedeğini alın. Yapılandırmayı dışa aktarın. Mevcut sanal makineyi ve ilişkili tüm sanal diskleri ve anlık görüntüleri kaldırın. SonicWall’dan yeni OVA dosyasını indirip bir hypervisor kullanarak tekrar kurulum yapın. Daha önce dışa aktarılan yapılandırmayı geri yükleyin. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Kritik Microsoft SharePoint Zafiyeti

Microsoft SharePoint Server’da tespit edilen yeni bir güvenlik açığı, dünya genelinde aktif olarak istismar ediliyor. CVE-2025-53770 olarak takip edilen bu açık, Temmuz 2025'te yamalanan CVE-2025-49704’ün bir varyantı olup, yetkisiz saldırganlara ağ üzerinden uzaktan kod yürütme (RCE) olanağı tanıyor. Microsoft, bu tehdide karşı acil önlemler alınması gerektiğini belirtti.   Teknik Detaylar: Açık Kodu: CVE-2025-53770 CVSS Puanı: 9.8 (Kritik) Etkilenen Sistemler: On-premise Microsoft SharePoint Server 2016, 2019 ve Subscription Edition Açığın Türü: Güvensiz veri serileştirilmesi (untrusted deserialization) → kimlik doğrulama öncesi RCE Nasıl İstismar Ediliyor? Saldırganlar, SharePoint’in serileştirme mantığındaki zafiyeti kullanarak kimlik doğrulama gerektirmeden komut çalıştırabiliyor. Ardından SharePoint sunucusunun MachineKey yapılandırması (ValidationKey & DecryptionKey) ele geçirilerek sahte ama geçerli görünen __VIEWSTATE yükleri oluşturuluyor. Bu sayede: Kalıcı erişim sağlanıyor Yanal hareket (lateral movement) mümkün oluyor Meşru görünüm altında kötü amaçlı etkinlik gizlenebiliyor İlişkili Zafiyet Zinciri: ToolShell CVE-2025-53770, daha önce bildirilen: CVE-2025-49704 (RCE) CVE-2025-49706 (Spoofing & Auth Bypass) zafiyetleri ile zincirleme şekilde kullanılabiliyor. Bu saldırı zinciri, “ToolShell” olarak adlandırılıyor. Eye Security tarafından tespit edilen saldırılarda, /_layouts/SignOut.aspx Referer başlığı üzerinden sistemlere giriş sağlandığı belirtiliyor. Microsoft'un Önerdiği Geçici Önlemler: AMSI entegrasyonunu etkinleştirin (SharePoint Server 2016/2019 için Eylül 2023 güncellemesinden itibaren varsayılan olarak açık) Defender Antivirus tüm SharePoint sunucularına kurulu olmalı Defender for Endpoint ile davranışsal tespit ve engelleme uygulanmalı AMSI etkin değilse sunucunun internet bağlantısı kesilmeli Microsoft, 53770 ve buna bağlı yeni bir açık olan CVE-2025-53771 için güvenlik yamalarını yayınladı. Ancak ele geçirilmiş MachineKey bilgileri yamayla silinmez, bu yüzden etki analizi ve anahtar rotasyonu kritik önem taşır. Etkilenen Kuruluşlar: 29 farklı kuruluş (aralarında kamu kurumları ve çok uluslu firmalar var) 85’ten fazla SharePoint sunucusu kötü amaçlı web kabukları ile ele geçirilmiş durumda. CISA Uyarıyor: ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), saldırıların aktif şekilde devam ettiğini ve ulusal güvenlik açısından önemli bir tehdit oluşturduğunu belirtti. Kurumlara acil aksiyon çağrısında bulunuldu. EK Olarak; Microsoft, bu güvenlik açıklarını yamalamış olsa da, önceden ele geçirilmiş sistemlerde kalıcı tehditlerin devam edebileceğini belirtiyor. Yamadan sonra anahtar döndürme (key rotation) ve güvenlik izleme çözümleriyle olay tespiti büyük önem taşır. Kurumlar, SharePoint ortamlarında olağandışı PowerShell aktiviteleri, sistem dosya değişiklikleri ve __VIEWSTATE trafiğini yakın takip etmelidir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]