tina siber saldiri algilama ve engelleme sistemi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
tina siber saldiri algilama ve engelleme sistemi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

05 Ağustos 2025

Siber Güvenlik Bülteni - Temmuz 2025

 

Bültenimizin Temmuz Ayı konu başlıkları; 
    • Türk Savunma Sanayii Hedefte
    • Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı
    • Kritik Sudo Güvenlik Açıkları
    • FortiWeb Kritik SQL Enjeksiyonu Zafiyeti
    • Sophos and SonicWall Kritik RCE Zafiyeti

    Türk Savunma Sanayii Hedefte

    Patchwork olarak bilinen tehdit aktörü, stratejik istihbarat toplama amacıyla Türk savunma sanayii yüklenicilerini hedef alan yeni bir oltalama (spear-phishing) saldırısıyla ilişkilendirildi.
     

    Saldırı, insansız araç sistemleri hakkında daha fazla bilgi edinmek isteyen hedeflere gönderilen, konferans davetiyesi kılığındaki kötü niyetli LNK dosyaları aracılığıyla teslim edilen beş aşamalı bir yürütme zinciri kullanıyor.
     

    Adı açıklanmayan bir hassas güdümlü füze sistemleri üreticisini de hedef alan bu faaliyet, Pakistan ve Türkiye arasındaki derinleşen savunma işbirliği ve son Hindistan-Pakistan askeri çatışmalarıyla aynı zamana denk gelmesi nedeniyle jeopolitik olarak motive edilmiş gibi görünüyor.
     

    APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger ve Zinc Emerson olarak da adlandırılan Patchwork'ün, Hint kökenli devlet destekli bir aktör olduğu değerlendiriliyor. En az 2009'dan beri aktif olduğu bilinen bu hacker grubu, Çin, Pakistan ve Güney Asya'daki diğer ülkelerdeki kuruluşları hedef alma geçmişine sahip.


    Tam bir yıl önce, Knownsec 404 Team, Patchwork’ün Bhutan ile bağlantılı kuruluşları hedef aldığını, burada Brute Ratel C4 framework’ü ile birlikte PGoShell adlı bir arka kapının güncellenmiş versiyonunu dağıttığını belgelemişti.


    2025 yılının başından bu yana, tehdit aktörü Çin üniversitelerine yönelik çeşitli kampanyalarla ilişkilendirildi. Bu saldırılarda ülkenin enerji şebekelerine dair oltalama içerikleri kullanılarak, Rust tabanlı bir yükleyici üzerinden C# ile yazılmış Protego adlı bir truva atı çalıştırılıyor ve bu sayede ele geçirilen Windows sistemlerinden çok çeşitli bilgiler toplanıyor.


    Çinli siber güvenlik firması QiAnXin tarafından Mayıs ayında yayımlanan bir diğer raporda ise, Patchwork ile DoNot Team (diğer adıyla APT-Q-38 veya Bellyworm) arasında altyapı örtüşmeleri tespit edildiği ve iki tehdit kümesi arasında operasyonel bağlantılar olabileceği öne sürüldü.


    Patchwork’ün Türkiye’yi hedef alması, grubun hedefleme alanını genişlettiğine işaret ediyor. Bu kampanyada kötü amaçlı Windows kısayol dosyaları (LNK) içeren oltalama e-postaları, çok aşamalı bir enfeksiyon sürecini başlatmak için kullanılıyor.


    Özellikle, LNK dosyası, harici bir sunucudan ("expouav[.]org") ek yükleri getirmekle sorumlu PowerShell komutlarını çağırmak üzere tasarlanmıştır; bu alan adı 25 Haziran 2025'te oluşturulmuş olup, insansız araç sistemleri üzerine uluslararası bir konferansı taklit eden bir PDF tuzağı barındırmaktadır ve bu konferansın detayları yasal olarak waset[.]org web sitesinde yer almaktadır.


    Uzmanlar “PDF belgesi, yürütme zincirinin geri kalanı arka planda sessizce çalışırken kullanıcıyı oyalamak için tasarlanmış görsel bir yem görevi görüyor. Bu hedefleme, Türkiye'nin küresel İHA ihracat pazarının %65'ini kontrol etmesi ve kritik hipersonik füze yetenekleri geliştirmesi, aynı zamanda Hindistan-Pakistan gerilimlerinin arttığı bir dönemde Pakistan ile savunma bağlarını güçlendirmesiyle aynı zamana denk geliyor.” diye belirtiyor.


    İndirilen bileşenler arasında, planlanmış bir görev (scheduled task) yoluyla DLL side-loading tekniğiyle çalıştırılan kötü amaçlı bir DLL dosyası da yer alıyor. Bu, nihayetinde ele geçirilmiş sistemde kapsamlı bir keşif (reconnaissance) yapan, ekran görüntüsü alan ve bilgileri uzaktaki sunucuya sızdıran bir shellcode'un çalıştırılmasına yol açıyor.


    Bu, bu tehdit aktörünün yeteneklerinde önemli bir evrimi temsil ediyor; Kasım 2024'te gözlemlenen x64 DLL varyantlarındangelişmiş komut yapılarına sahip mevcut x86 PE yürütülebilir dosyalarına geçiş yapıyor. Dropping Elephant, x64 DLL'den x86 PE formatlarına mimari çeşitlendirme ve yasal web sitelerinin taklit edilmesi yoluyla gelişmiş C2 protokolü uygulaması aracılığıyla sürekli operasyonel yatırım ve geliştirme sergiliyor.

    Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı

    Çin merkezli bir tehdit aktörünün, ele geçirilmiş sistemlere fidye yazılımı dağıtmak için Microsoft SharePoint'teki güvenlik açıklarını kullandığı gözlemlendi.

    Microsoft, 23 Temmuz’da yaptığı bir olay güncellemesinde, Storm-2603 olarak izlenen bir grubun, ele geçirilmiş SharePoint on-prem sunucuları üzerinden Warlock fidye yazılımı dağıttığını açıkladı.

    Bu nedenle teknoloji devi, potansiyel olarak etkilenmiş kuruluşlara, fidye yazılımına karşı korumayı da içerecek şekilde risk azaltma (mitigation) çabalarını genişletmeleri yönünde tavsiyede bulundu.

    Storm-2603CVE-2025-53770 ve CVE-2025-53771 kodlu SharePoint on-prem açıklarını istismar ettiği gözlemlenen üç gruptan biri.

    Storm-2603’ün Çin merkezli bir tehdit aktörü olduğu değerlendiriliyor ve daha önce Warlock ve LockBit fidye yazılımlarını dağıttığı biliniyor.

    Microsoft, bu tehdit aktörünün nihai hedeflerini şu aşamada kesin olarak değerlendiremediğini belirtti.

    Bu SharePoint açıklarını istismar eden diğer iki aktör ise, Linen Typhoon ve Violet Typhoon. Bu iki grup da devlet destekli Çinli aktörler olarak biliniyor ve esas olarak hükümet, savunma, teknoloji ve insan hakları kuruluşları gibi hassas veri toplayan sektörlere odaklanıyorlar.

    Bu iki açığın zincirleme şekilde istismar edilmesi, siber güvenlik topluluğu tarafından “ToolShell” olarak adlandırıldı. Saldırı zinciri sofistike görünüyor, tehdit aktörlerinin kimlik kontrollerini atlayarak, ele geçirilen sistemlerde ayrıcalıklı erişim elde ettikleri ifade ediliyor.
     

    Saldırganlar Etkiyi En Üst Seviyeye Çıkarıyor


    Acumen Cyber CTO’su Kevin Robertson, fidye yazılımı dağıtımının, saldırganların bir ağın içine girdikten sonra bunu çok yönlü olarak avantaja çevirmeye çalıştıklarını gösterdiğini söyledi.

    “Fidye yazılımına yönelen saldırganlar, CVE-2025-53770 açığını kullanarak ortamda daha fazla erişim elde ediyor, hassas bilgileri şifreliyor ve ardından büyük bir ödeme umuduyla fidye yazılımı çalıştırıyor,” dedi.

    Mali kazançla genellikle motive olmayan Çin devlet destekli aktörler bile bu fırsatı fidye yazılımı dağıtmak için kullanıyor olabilir.

    Robertson, “Ağlarda keşif yapıp ihtiyaç duydukları bilgilere ulaştıklarında, mağdurlara daha fazla kaos yaratmak için fidye yazılımı bırakıyor olabilirler,” diye ekledi.
     

    SharePoint Mağdur Sayısı 400’ü Aştı


    Microsoft, on-prem SharePoint kullanıcılarına, iki açık tamamen yamalanmış olsa bile sistemin ihlal edilmiş olduğunu varsaymalarını tavsiye etti.

    Kuruluşlara, kriptografik materyalleri döndürmek, profesyonel olay müdahale ekiplerini devreye almak ve gerekirse SharePoint’i internet bağlantısından ayırmak gibi acil önlemler almaları önerildi.

    Eye Security, 23 Temmuz’da yayımladığı raporda, şu ana kadar 400’den fazla SharePoint sisteminin aktif olarak ele geçirildiğini bildirdi.

    Bu istismarlar, 17, 18, 19 ve 21 Temmuz tarihlerinde dört onaylı saldırı dalgası halinde gerçekleşti.

    Eye Security, 21 Temmuz sonrasında ve sonrasında birden fazla saldırı dalgasının yaşandığını, bunun da GitHub’da CVE-2025-53770/CVE-2025-53771 güvenlik açıklarına ait bir proof-of-concept (PoC) istismar betiğinin yayımlanmasının ardından gerçekleştiğini ekledi.

    Raporlara göre, SharePoint saldırı kampanyası kapsamında çok sayıda yüksek profilli ABD devlet kurumu da mağdurlar arasında yer aldı.

    Bloomberg, 23 Temmuz’da yayımladığı haberinde, Ulusal Nükleer Güvenlik İdaresi (National Nuclear Security Administration) ve Eğitim Bakanlığı’nın (Department of Education) kullandığı on-prem SharePoint sunucularının ihlal edildiğini bildirdi. Washington Post ise, Sağlık ve İnsan Hizmetleri Bakanlığı’nın (DHHS) hedef alındığını aktardı.

    NextGov, konuyla ilgili bilgi sahibi kişilerden edindiği bilgilere dayanarak, İç Güvenlik Bakanlığı’nın (Department of Homeland Security - DHS) da Çinli hackerların mağdurları arasında olduğunu belirtti.

    Kritik Sudo Güvenlik Açıkları

    Siber güvenlik araştırmacıları, Linux ve Unix benzeri işletim sistemlerinde kullanılan Sudo komut satırı aracında yerel saldırganların savunmasız makinelerde ayrıcalıklarını root seviyesine yükseltmelerine olanak tanıyabilecek iki güvenlik açığını açıkladı.

    Açıkların kısa tanımları aşağıda yer almaktadır:

    • CVE-2025-32462 (CVSS skoru: 2.8) – Sudo 1.9.17p1 öncesi sürümlerde, sudoers dosyasında belirtilen host mevcut makine ya da "ALL" değilse, belirtilen kullanıcıların, istenmeyen makinelerde komut çalıştırmalarına olanak tanır.
    • CVE-2025-32463 (CVSS skoru: 9.3) – Sudo 1.9.17p1 öncesi sürümlerdekullanıcının denetiminde olan bir dizinden alınan "/etc/nsswitch.conf" dosyası --chroot seçeneğiyle kullanıldığında, yerel kullanıcıların root erişimi elde etmelerine olanak tanır.
    Sudo, düşük ayrıcalıklara sahip kullanıcıların başka bir kullanıcı (örneğin süper kullanıcı) olarak komut çalıştırmasına izin veren bir komut satırı aracıdır. Amaç, en az ayrıcalık ilkesini uygulayarak, kullanıcılara yüksek izinler olmadan yönetimsel eylemleri gerçekleştirme yetkisi vermektir.

    Bu komut, "hangi kullanıcının, hangi makinelerde, hangi komutları hangi kullanıcı olarak çalıştırabileceğini ve belirli komutlar için parola gerekip gerekmediğini" belirleyen "/etc/sudoers" adlı bir dosya aracılığıyla yapılandırılır.

    Açıkları keşfeden ve raporlayan kişi olan Stratascale araştırmacısı Rich MirchCVE-2025-32462’nin 12 yılı aşkın süredir gözden kaçtığını söyledi. Bu açık, kullanıcının farklı bir host için sudo ayrıcalıklarını listelemesini sağlayan Sudo’nun "-h" (host) seçeneğindn kaynaklanmaktadır. Bu özellik, Eylül 2013’te etkinleştirildi.

    Ancak tespit edilen hata, Sudo komutu ilgili olmayan bir uzak host’u referans alarak çalıştırıldığında, uzak makinelerde izin verilen herhangi bir komutun yerel makinede de çalıştırılabilmesine olanak tanıdı.

    “Bu durum, yaygın bir sudoers dosyasının birden fazla makineye dağıtıldığı siteleri özellikle etkiler,” dedi Sudo projesi yöneticisi Todd C. Miller bir güvenlik danışma yazısında. “SSSD dahil LDAP tabanlı sudoers kullanan siteler de benzer şekilde etkilenmektedir.”

    Öte yandan, CVE-2025-32463, Sudo’nun "-R" (chroot) seçeneğini kullanarak, sudoers dosyasında listelenmemiş olsa bile, keyfi komutların root olarak çalıştırılmasına olanak tanıyor. Bu açık, kritik derecede ciddi olarak sınıflandırıldı.

    “Varsayılan Sudo yapılandırması savunmasızdır,” dedi Mirch. “Açık, Sudo’nun chroot özelliğini içerse de, kullanıcı için herhangi bir sudo kuralı tanımlanması gerekmez. Bu nedenle, savunmasız bir sürüm yüklüyse, yerel, düşük ayrıcalıklı herhangi bir kullanıcı potansiyel olarak root ayrıcalıklarını elde edebilir.”

    Başka bir deyişle, bu açık sayesinde saldırgan, sudo’yu belirli bir kullanıcı kök dizini altına yerleştirilmiş "/etc/nsswitch.conf" yapılandırma dosyasını yüklemeye kandırarak, kötü amaçlı bir paylaşımlı kütüphaneyi çalıştırabilir ve bu sayede yükseltilmiş ayrıcalıklarla kötü amaçlı komutlar çalıştırabilir.

    Millerchroot seçeneğinin gelecekteki bir Sudo sürümünden tamamen kaldırılacağını ve kullanıcı tarafından belirtilen kök dizin desteğinin hataya açık olduğunu ifade etti.

    1 Nisan 2025’te sorumlu bir şekilde açıklanan bu açıklar, geçtiğimiz ay yayımlanan Sudo 1.9.17p1 sürümünde giderildi. Sudo birçok Linux dağıtımıyla birlikte geldiğinden, çeşitli Linux dağıtımları da güvenlik danışma yazıları yayımladı:
    • CVE-2025-32462 – AlmaLinux 8, AlmaLinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE ve Ubuntu
    • CVE-2025-32463 – Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE ve Ubuntu

    Kullanıcılara, gerekli yamaları uygulamaları ve Linux masaüstü dağıtımlarının en son paketlerle güncellendiğinden emin olmaları tavsiye edilmektedir.

    FortiWeb Kritik SQL Enjeksiyonu Zafiyeti

    Fortinet, etkilenen FortiWeb sürümlerinde kimliği doğrulanmamış bir saldırganın rastgele veritabanı komutları çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığına yönelik düzeltmeler yayınladı.

    CVE-2025-25257 olarak izlenen bu güvenlik açığı, 10 üzerinden 9.6 CVSS puanına sahiptir.

    Fortinet, bu hafta yayınladığı güvenlik danışmanlığında şu ifadelere yer verdi:

    “FortiWeb’de özel olarak hazırlanmış HTTP veya HTTPS istekleri aracılığıyla yetkisiz SQL kodları veya komutları çalıştırmak için kimliği doğrulanmamış bir saldırganın kullanabileceği bir 'SQL Injection' (CWE-89) zafiyeti tespit edilmiştir.”

    Bu zafiyetin etkilediği sürümler şunlardır:

    • FortiWeb 7.6.0 ila 7.6.3 (7.6.4 veya daha üstüne yükseltilmeli)
    • FortiWeb 7.4.0 ila 7.4.7 (7.4.8 veya daha üstüne yükseltilmeli)
    • FortiWeb 7.2.0 ila 7.2.10 (7.2.11 veya daha üstüne yükseltilmeli)
    • FortiWeb 7.0.0 ila 7.0.10 (7.0.11 veya daha üstüne yükseltilmeli)

    Güvenlik Açığının Detayları


    Bugün yayınlanan bir analizde, watchTowr Labs, sorunun Fortinet ürünleri arasında köprü görevi gören Fabric Connector bileşeniyle ilişkili "get_fabric_user_by_token" adlı bir fonksiyonda yer aldığını belirtti.

    Bu fonksiyon, "fabric_access_check" adlı başka bir fonksiyondan çağrılıyor ve bu da şu üç API uç noktasından tetikleniyor:
    • /api/fabric/device/status
    • /api/v[0-9]/fabric/widget/[a-z]+
    • /api/v[0-9]/fabric/widget

    Sorun, saldırganın özel olarak hazırladığı HTTP isteklerindeki Bearer token Authorization header aracılığıyla gönderdiği girdilerin, yeterli güvenlik kontrolü olmadan doğrudan SQL sorgusuna aktarılmasıyla ortaya çıkıyor. Girdi zararlı olup olmadığını denetlemeye yönelik herhangi bir filtreleme/sterilize yapılmıyor.

    Bu saldırı, daha ileri seviyeye taşınarak uzaktan kod çalıştırma (RCE) seviyesine ulaştırılabiliyor. Saldırgan, veritabanı komutuna SELECT ... INTO OUTFILE ifadesi ekleyerek, sistemde bir dosyaya kötü amaçlı bir payload yazabiliyor. Sorguların "mysql" kullanıcısı yetkisiyle çalıştırılıyor olması bu saldırıyı mümkün kılıyor. Ardından bu dosya, örneğin Python aracılığıyla çalıştırılabilir hale geliyor.
     

    Tavsiyeler ve Çözümler


    Gerekli yamalar uygulanana kadar geçici çözüm olarak, kullanıcıların HTTP/HTTPS yönetim arayüzünü devre dışı bırakmaları tavsiye edilmektedir.

    Fortinet cihazlarındaki açıkların geçmişte tehdit aktörleri tarafından kullanıldığı göz önünde bulundurulduğunda, kullanıcıların potansiyel riskleri azaltmak için en kısa sürede güncellemeleri yapmaları oldukça önemlidir.


    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Sophos and SonicWall Kritik RCE Zafiyeti

    Sophos ve SonicWall, Sophos Firewall ve Secure Mobile Access (SMA) 100 Serisi cihazlarda uzaktan kod çalıştırmaya olanak tanıyabilecek kritik güvenlik açıkları hakkında kullanıcıları uyardı.

    Sophos Firewall'u etkileyen iki güvenlik açığı aşağıda listelenmiştir:

    • CVE-2025-6704 (CVSS puanı: 9.8) – Secure PDF eXchange (SPX) özelliğindeki rastgele dosya yazma güvenlik açığı, SPX’in belirli bir yapılandırmasının etkinleştirilmiş olması ve güvenlik duvarının Yüksek Erişilebilirlik (High Availability – HA) modunda çalışması durumunda, kimlik doğrulama öncesi uzaktan kod yürütmeye yol açabilir.
    • CVE-2025-7624 (CVSS puanı: 9.8) – Eski (şeffaf) SMTP proxy’deki bir SQL enjeksiyonu güvenlik açığı, e-posta için karantina politikası etkinse ve SFOS, 21.0 GA sürümünden daha eski bir sürümden yükseltilmişse uzaktan kod çalıştırmaya yol açabilir.
    Sophos, CVE-2025-6704'ün cihazların yaklaşık %0,05’ini, CVE-2025-7624'ün ise cihazların %0,73’ünü etkilediğini belirtti. Her iki güvenlik açığı da, WebAdmin bileşenindeki yüksek önem dereceli komut enjeksiyonu güvenlik açığıyla (CVE-2025-7382, CVSS puanı: 8.8) birlikte giderildi. Bu açık, HA modunda yardımcı cihazlarda admin kullanıcısı için OTP (tek kullanımlık parola) kimlik doğrulaması etkinleştirildiğinde kimlik doğrulama öncesi kod yürütmeye neden olabilir.

    Şirket ayrıca şu iki güvenlik açığını da yamaladı:
    • CVE-2024-13974 (CVSS puanı: 8.1) – Up2Date bileşenindeki bir iş mantığı güvenlik açığı, saldırganların güvenlik duvarının DNS ortamını kontrol ederek uzaktan kod yürütmesine olanak tanıyabilir.
    • CVE-2024-13973 (CVSS puanı: 6.8) – WebAdmin'deki kimlik doğrulama sonrası bir SQL enjeksiyonu güvenlik açığı, yöneticilerin keyfi kod çalıştırmasına neden olabilir.
    İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), hem CVE-2024-13974 hem de CVE-2024-13973 açıklarını keşfetmiş ve bildirmiştir.

    Aşağıdaki sürümler etkilenmektedir:
    • CVE-2024-13974 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler
    • CVE-2024-13973 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler
    • CVE-2025-6704 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
    • CVE-2025-7624 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
    • CVE-2025-7382 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
    Bu açıklamalar, SonicWall’un SMA 100 Serisi web yönetim arayüzünde (CVE-2025-40599, CVSS puanı: 9.1) kritik bir hatayı detaylandırmasının hemen ardından geldi. Bu hata, uzaktan bir saldırganın yönetici yetkilerine sahip olması durumunda rastgele dosyalar yükleyerek potansiyel olarak uzaktan kod yürütmesine olanak tanır.

    Bu açık, SMA 100 Serisi ürünlerini (SMA 210, 410, 500v) etkiler ve 10.2.2.1-90sv sürümünde giderilmiştir.

    SonicWall ayrıca bu güvenlik açığının henüz kötüye kullanılmadığını, ancak Google Threat Intelligence Group (GTIG) tarafından hazırlanan yakın tarihli bir raporda, UNC6148 adlı bir tehdit aktörünün tamamen yamalanmış SMA 100 serisi cihazları OVERSTEP adlı bir arka kapıyı yerleştirmek için kullandığına dair kanıtlar bulunduğu için potansiyel bir risk olduğunu vurguladı.

    Şirket, SMA 100 Serisi cihazları kullanan müşterilerin aşağıdaki adımları uygulamasını da önermektedir:
    • Dışarıya bakan X1 arayüzünde uzaktan yönetim erişimini devre dışı bırakın (saldırı yüzeyini azaltmak için)
    • Tüm parolaları sıfırlayın ve kullanıcılar ile yöneticiler için OTP (tek kullanımlık parola) bağlantısını yeniden başlatın
    • Tüm kullanıcılar için çok faktörlü kimlik doğrulaması (MFA) uygulayın
    • SMA 100 üzerinde Web Uygulama Güvenlik Duvarı’nı (WAF) etkinleştirin
    SMA 500v sanal ürünü kullanan kuruluşların ise şunları yapmaları gerekmektedir:
    • OVA dosyasının yedeğini alın.
    • Yapılandırmayı dışa aktarın.
    • Mevcut sanal makineyi ve ilişkili tüm sanal diskleri ve anlık görüntüleri kaldırın.
    • SonicWall’dan yeni OVA dosyasını indirip bir hypervisor kullanarak tekrar kurulum yapın.
    • Daha önce dışa aktarılan yapılandırmayı geri yükleyin.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:
    Labels: , , , , , ,

    21 Temmuz 2025

    Kritik Microsoft SharePoint Zafiyeti

    Microsoft SharePoint Server’da tespit edilen yeni bir güvenlik açığı, dünya genelinde aktif olarak istismar ediliyor. CVE-2025-53770 olarak takip edilen bu açık, Temmuz 2025'te yamalanan CVE-2025-49704’ün bir varyantı olup, yetkisiz saldırganlara ağ üzerinden uzaktan kod yürütme (RCE) olanağı tanıyor.

    Microsoft, bu tehdide karşı acil önlemler alınması gerektiğini belirtti.
     

    Teknik Detaylar:

    • Açık Kodu: CVE-2025-53770

    • CVSS Puanı: 9.8 (Kritik)

    • Etkilenen Sistemler: On-premise Microsoft SharePoint Server 2016, 2019 ve Subscription Edition

    • Açığın Türü: Güvensiz veri serileştirilmesi (untrusted deserialization) → kimlik doğrulama öncesi RCE


    Nasıl İstismar Ediliyor?

    Saldırganlar, SharePoint’in serileştirme mantığındaki zafiyeti kullanarak kimlik doğrulama gerektirmeden komut çalıştırabiliyor. Ardından SharePoint sunucusunun MachineKey yapılandırması (ValidationKey & DecryptionKey) ele geçirilerek sahte ama geçerli görünen __VIEWSTATE yükleri oluşturuluyor. Bu sayede:

    • Kalıcı erişim sağlanıyor

    • Yanal hareket (lateral movement) mümkün oluyor

    • Meşru görünüm altında kötü amaçlı etkinlik gizlenebiliyor


    İlişkili Zafiyet Zinciri: ToolShell

    CVE-2025-53770, daha önce bildirilen:

    zafiyetleri ile zincirleme şekilde kullanılabiliyor. Bu saldırı zinciri, “ToolShell” olarak adlandırılıyor. Eye Security tarafından tespit edilen saldırılarda, /_layouts/SignOut.aspx Referer başlığı üzerinden sistemlere giriş sağlandığı belirtiliyor.


    Microsoft'un Önerdiği Geçici Önlemler:

    • AMSI entegrasyonunu etkinleştirin (SharePoint Server 2016/2019 için Eylül 2023 güncellemesinden itibaren varsayılan olarak açık)
    • Defender Antivirus tüm SharePoint sunucularına kurulu olmalı
    • Defender for Endpoint ile davranışsal tespit ve engelleme uygulanmalı
    • AMSI etkin değilse sunucunun internet bağlantısı kesilmeli

    Microsoft, 53770 ve buna bağlı yeni bir açık olan CVE-2025-53771 için güvenlik yamalarını yayınladı. Ancak ele geçirilmiş MachineKey bilgileri yamayla silinmez, bu yüzden etki analizi ve anahtar rotasyonu kritik önem taşır.


    Etkilenen Kuruluşlar:

    • 29 farklı kuruluş (aralarında kamu kurumları ve çok uluslu firmalar var)

    • 85’ten fazla SharePoint sunucusu kötü amaçlı web kabukları ile ele geçirilmiş durumda.

    CISA Uyarıyor:

    ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), saldırıların aktif şekilde devam ettiğini ve ulusal güvenlik açısından önemli bir tehdit oluşturduğunu belirtti. Kurumlara acil aksiyon çağrısında bulunuldu.


    EK Olarak;

    • Microsoft, bu güvenlik açıklarını yamalamış olsa da, önceden ele geçirilmiş sistemlerde kalıcı tehditlerin devam edebileceğini belirtiyor.

    • Yamadan sonra anahtar döndürme (key rotation) ve güvenlik izleme çözümleriyle olay tespiti büyük önem taşır.

    • Kurumlar, SharePoint ortamlarında olağandışı PowerShell aktiviteleri, sistem dosya değişiklikleri ve __VIEWSTATE trafiğini yakın takip etmelidir.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]
    Yayınlayan: Yayın Tarihi:
    Labels: , , ,

    10 Temmuz 2025

    Siber Güvenlik Bülteni - Haziran 2025

     

    Bültenimizin Haziran Ayı konu başlıkları; 
      • Tarihin En Büyük Veri İfşası : 16 Milyar Kullanıcı Bilgisi (Kullanıcı Hesapları)
      • Mirai Botnet Tekrar Sahnede
      • Tedarik Zinciri Zararlı Yazılım
      • Fortinet, Ivanti Yüksek Dereceli Güvenlik Zafiyetleri
      • HPE StoreOnce Sistemlerinde Kritik Güvenlik Açıkları 

      Tarihin En Büyük Veri İfşası : 16 Milyar Kullanıcı Bilgisi (Kullanıcı Hesapları)

      Geçtiğimiz günlerde "tarihin en büyük veri ifşalarından biri" olduğu iddia edilen bir haber yayıldı, bu durum geniş medya kapsamı, uyarılar ve korku yayma ile birlikte geldi. Ancak, bunun sadece daha önce sızdırılmış, bilgi hırsızları tarafından çalınan, veri hırsızlığında ortaya çıkan ve kullanıcı bilgisi doldurma (credential stuffing) saldırılarıyla ele geçirilen kullanıcı bilgilerinin bir derlemesi olduğu anlaşılıyor.

      Açık olmak gerekirse, bu yeni bir veri hırsızlığı ile ilgili web siteleri bu kullanıcı bilgilerini çalmak için yakın zamanda saldırıya uğramadı.

      Bunun yerine, bu çalınan kullanıcı bilgileri muhtemelen bir süredir, hatta yıllardır dolaşımdaydı. Daha sonra bir siber güvenlik firması, araştırmacılar veya saldırganlar tarafından toplandı ve internette açıkta kalan bir veritabanında yeniden paketlendi.

      Kısaca açıkta kalan derlenmiş kullanıcı bilgileri veri kümelerini keşfeden uzmanlar, bunların genellikle bilgi hırsızı zararlı yazılımı ile ilişkilendirilen bir biçimde depolandığını belirtti, ancak örnek paylaşmadılar.

      Bilgi hırsızı (infostealer), enfekte olmuş bir cihazdan kullanıcı bilgilerinikripto para cüzdanlarını ve diğer verileri çalmaya çalışan bir zararlı yazılım türüdür. Yıllar içinde, bilgi hırsızları büyük bir sorun haline gelmiş ve dünya çapında ifşalara yol açmıştır.

      Bu tür zararlı yazılımlar hem Windows hem de Mac'leri etkiler ve çalıştığında, bir cihazda depolanan bulabildiği tüm kullanıcı bilgilerini toplar ve bunları "günlük" adı verilen bir dosyada saklar.

      Bir bilgi hırsızı günlüğü genellikle çok sayıda metin dosyası ve diğer çalınan verileri içeren bir arşivdir. Metin dosyaları, tarayıcılardan, dosyalardan ve diğer uygulamalardan çalınan kullanıcı bilgilerinin listelerini içerir.

      Bir kişi bir bilgi hırsızı ile enfekte olursa ve tarayıcısında binlerce kullanıcı bilgisi kayıtlıysa, bilgi hırsızı bunların hepsini çalar ve günlüğe kaydeder. Bu günlükler daha sonra saldırgana yüklenir, burada kullanıcı bilgileri daha fazla saldırı için kullanılabilir veya siber suç pazarlarında satılabilir. Bilgi hırsızı sorunu o kadar kötü ve yaygın hale geldi ki, ele geçirilmiş kullanıcı bilgilerisaldırganların ağlara sızmasının en yaygın yollarından biri haline geldi.

      Bu sorun ayrıca dünya genelindeki emniyet güçlerini son dönemdeki "Operation Secure" ve LummaStealer'ın çökertilmesi gibi eylemlerde bu siber suç operasyonlarına aktif olarak baskı yapmaya yöneltmiştir. Bilgi hırsızları o kadar bol ve yaygın olarak kullanılıyor ki, saldırganlar siber suç topluluğu arasında itibar kazanmak veya ücretli tekliflerin tanıtımı olarak Telegram, Pastebin ve Discord'da ücretsiz olarak devasa derlemeler yayınlıyor.

      Binlerce, hatta yüz binlerce benzer sızdırılmış arşiv çevrimiçi olarak paylaşılıyor ve bu da milyarlarca kullanıcı bilgisi kaydının ücretsiz olarak yayınlanmasına neden oluyor. Geçmişte benzer kullanıcı bilgisi koleksiyonları yayınlanmıştı; örneğin 9 milyardan fazla kayıt içeren RockYou2024 sızıntısı ve 22 milyondan fazla benzersiz parola içeren "Collection #1". Söylentilere rağmen, bu derlemenin yeni veya daha önce görülmemiş veriler içerdiğine dair hiçbir kanıt yok.

      Ne yapmalısınız?

      En önemli adım, zaten takip ediyor olmanız gereken iyi siber güvenlik alışkanlıklarını benimsemek ve sürdürmektir.

      Bu nedenle, Microsoft Authenticator veya Google Authenticator gibi bir kimlik doğrulama uygulamasıyla birlikte iki faktörlü kimlik doğrulamayı (2FA) kullanmanız çok önemlidir, bu uygulamalar 2FA kodlarınızı yönetmenizi sağlar. Bitwarden ve LastPass gibi bazı parola yöneticileri de kimlik doğrulama işlevi içerir ve her ikisi için de tek bir uygulama kullanmanıza olanak tanır. 2FA etkinleştirildiğinde, bir sitedeki bir parola ele geçirilse bile, saldırganlar 2FA kodunuz olmadan hesaba erişemezler.

      Genel bir kural olarak, 2FA kodlarını SMS metinleri aracılığıyla almaktan kaçınmalısınız, çünkü saldırganlar telefon numaranızı ele geçirmek ve bunları elde etmek için SIM değiştirme saldırıları gerçekleştirebilirler. Bu sızıntıya gelince, bu kadar çok kullanıcı bilgisi sızdırıldığı için, bu makalenin okuyucularından birinin derlemede yer alma ihtimali vardır. Ancak, paniğe kapılmayın ve bu konuda strese girmeyin, tüm parolalarınızı değiştirmek için koşuşturmayın. Bunun yerine, bu fırsatı siber güvenlik alışkanlıklarınızı iyileştirmek için kullanın. Ve eğer birden fazla sitede aynı parolayı kullanıyorsanız, şimdi benzersiz olanlara geçme zamanıdır. Bu şekilde, bu tür sızıntılar sizin için çok daha az tehlikeli hale gelir.

      Bunun yanı sıra doğru parola belirlemekte önemli bir konudur, bu konu ile alakalı blog yazımıza buradan ulaşabilirsiniz. 

      Mirai Botnet Tekrar Sahnede

      Yeni Mirai botnet varyantı, TBK DVR-4104 ve DVR-4216 dijital video kayıt cihazlarındaki bir komut enjeksiyonu güvenlik açığını kullanarak bu cihazları ele geçiriyor.

      CVE-2024-3721 olarak bilinen bu açık, güvenlik araştırmacısı "netsecfish" tarafından Nisan 2024'te açıklanan bir komut enjeksiyonu zafiyetidir. Araştırmacının o dönemde yayımladığı PoC, güvenlik açığı bulunan bir uç noktaya özel olarak hazırlanmış bir POST isteği şeklinde olup, belirli parametrelerin (mdb ve mdc) manipülasyonu yoluyla kabuk komut yürütmesini sağlıyordu.

      Kaspersky şimdi, netsecfish'in PoC'sini kullanan yeni bir Mirai botnet varyantı tarafından Linux honeypot'larında CVE-2024-3721'in aktif olarak istismar edildiğini bildirdi. Saldırganlar, cihazı botnet sürüsüne dahil etmek için komut ve kontrol (C2) sunucusuyla iletişim kuran bir ARM32 kötü amaçlı yazılım binary dosyasını bırakmak için istismardan yararlanıyor. Buradan itibaren, cihazın muhtemelen dağıtılmış hizmet reddi (DDoS) saldırıları yapmak, kötü amaçlı trafiği ve diğer davranışları proxy'lemek için kullanıldığı düşünülüyor.

      Saldırının Etkisi ve Yamalar

      Netsecfish geçen yıl yaklaşık 114.000 internete açık DVR'ın CVE-2024-3721'e karşı savunmasız olduğunu bildirmiştir.

      Rus siber güvenlik firmasının en son Mirai varyantıyla ilişkili gördüğü enfeksiyonların çoğu Çin, Hindistan, Mısır, Ukrayna, Rusya, Türkiye ve Brezilya'yı etkiliyor. 

      TBK Vision'ın CVE-2024-3721 açığını gidermek için güvenlik güncellemeleri yayımlayıp yayımlamadığı veya hala yamalanmamış olup olmadığı belirsizdir.

      DVR-4104 ve DVR-4216'nın Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login ve MDVR markaları altında kapsamlı bir şekilde yeniden markalandığını belirtmekte fayda var, bu nedenle etkilenen cihazlar için yamaların bulunabilirliğini karmaşık hale getirmektedir.

      TBK Vision açığını açıklayan araştırmacı, geçen yıl kullanım ömrü sonu cihazlara yönelik istismarı körükleyen başka açıklar da keşfetti.

      Özellikle, netsecfish 2024 yılında on binlerce EoL D-Link cihazını etkileyen bir arka kapı hesap sorunu ve bir komut enjeksiyonu güvenlik açığını açıkladı.

      Her iki durumda da aktif istismarPoC'nin açıklanmasından sadece birkaç gün sonra tespit edildi. Bu, zararlı yazılım yazarlarının genel kullanıma açık istismarları kendi saldırılarına ne kadar hızlı dahil ettiklerini göstermektedir.

      Tedarik Zinciri Zararlı Yazılım

      Siber güvenlik araştırmacılarıGlueStack ile ilişkili bir düzineden fazla paketi hedef alan ve zararlı yazılım dağıtan bir tedarik zinciri saldırısını tespit etti.

      "lib/commonjs/index.js" dosyasındaki bir değişiklikle tanıtılan zararlı yazılım, bir saldırganın kabuk komutları çalıştırmasınaekran görüntüleri almasına ve enfekte makinelerine dosya yüklemesine olanak tanıyor. Araştırmacılar bu paketlerin haftalık yaklaşık 1 milyon indirmeye sahip olduğunu belirtti.

      Yetkisiz erişim daha sonra kripto para madenciliğihassas bilgi çalma ve hatta hizmetleri kapatma gibi çeşitli takip eylemlerini gerçekleştirmek için kullanılabilir. Araştırmacılar, ilk paket uzlaşmasının 6 Haziran 2025, GMT 21:33'te tespit edildiğini söyledi.

      Etkilenen paketlerin ve sürümlerin listesi aşağıdadır:

      • @gluestack-ui/utils sürüm 0.1.16
      • @gluestack-ui/utils sürüm 0.1.17
      • @react-native-aria/button sürüm 0.2.11
      • @react-native-aria/checkbox sürüm 0.2.11
      • @react-native-aria/combobox sürüm 0.2.8
      • @react-native-aria/disclosure sürüm 0.2.9
      • @react-native-aria/focus sürüm 0.2.10
      • @react-native-aria/interactions sürüm 0.2.17
      • @react-native-aria/listbox sürüm 0.2.10
      • @react-native-aria/menu sürüm 0.2.16
      • @react-native-aria/overlay sürüm 0.3.16
      • @react-native-aria/radio sürüm 0.2.14
      • @react-native-aria/slider sürüm 0.2.13
      • @react-native-aria/switch sürüm 0.2.5
      • @react-native-aria/tabs sürüm 0.2.14
      • @react-native-aria/toggle sürüm 0.2.12
      • @react-native-aria/utils sürüm 0.2.13

      Ayrıca, paketlere enjekte edilen zararlı kod, geçen ay başka bir npm paketi olan "rand-user-agent"ın tehlikeye atılmasının ardından dağıtılan uzaktan erişim Truva atına benzer. Bu da aynı saldırganların bu aktivitenin arkasında olabileceğini gösteriyor.

      Truva atı, sistem bilgilerini ("ss_info") ve ana bilgisayarın genel IP adresini ("ss_ip") toplamak için iki yeni komutu destekleyen güncellenmiş bir sürümdür.

      Proje yöneticileri o zamandan beri erişim jetonunu iptal etti ve etkilenen sürümleri kullanımdan kaldırılmış olarak işaretledi. Zararlı sürümleri indirmiş olabilecek kullanıcıların, olası tehditleri azaltmak için güvenli bir sürüme geri dönmeleri önerilir.

      Şirket yaptığı açıklamada, "Potansiyel etki muazzam boyutta ve zararlı yazılımın kalıcılık mekanizması özellikle endişe verici – saldırganlar, yöneticiler paketleri güncelledikten sonra bile enfekte makinelerde erişimi sürdürüyorlar" dedi.

      Ancak, 9 Haziran 2025'te yayınlanan bir olay raporunda, proje yöneticileri, katkıda bulunanlarından biriyle ilişkili bir genel erişim jetonunun tehlikeye atıldığını ve böylece saldırganların react-native-aria paketlerinin yanı sıra bir @gluestack-ui/utils paketinin npm'ye yayınlamasına izin verdiğini kabul etti.

      Yöneticiler ayrıca, gerekli olmayan tüm katkıda bulunanlar için GitHub depo erişimini iptal ettiklerini ve yayınlama ile GitHub erişimi için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdiklerini söyledi.

      Npm'de Yıkıcı Özelliklere Sahip Kötü Amaçlı Paketler 

      Bu gelişme, Socket'in, meşru yardımcı programlar gibi görünen ancak tüm uygulama dizinlerini silebilen silecekler (wiper) yükleyen iki hileli npm paketi – express-api-sync ve system-health-sync-api – keşfetmesiyle ortaya çıktı.

      "botsailer" hesabı (e-posta: anupm019@gmail[.]com) tarafından yayınlanan paketler, kaldırılmadan önce sırasıyla 112 ve 861 kez indirildi.

      İki paketten ilki olan express-api-sync, iki veritabanı arasında verileri senkronize etmek için bir Express API olduğunu iddia ediyor. Ancak, şüphelenmeyen bir geliştirici tarafından uygulamalarına kurulduktan ve eklendikten sonra, önceden kodlanmış bir anahtar "DEFAULT_123" içeren bir HTTP isteği aldığında zararlı kodun yürütülmesini tetikliyor.

      Anahtarı aldığında, kaynak kodu, yapılandırma dosyaları, varlıklar ve yerel veritabanları dahil olmak üzere mevcut dizinden ve altındaki tüm dosyaları özyinelemeli olarak silmek için Unix komutu "rm -rf *"yi yürütür.

      Diğer paket çok daha karmaşıktır; hem bir bilgi hırsızı hem de bir silici olarak işlev görürken, işletim sisteminin Windows ("rd /s /q .") veya Linux ("rm -rf *") olmasına bağlı olarak silme komutlarını da değiştiriyor.

      npm paketinin dikkate değer bir yönü, gizli bir iletişim kanalı olarak e-postayı kullanması, saldırgan tarafından kontrol edilen posta kutusuna önceden kodlanmış SMTP kimlik bilgileri aracılığıyla bağlanmasıdır. Parola Base64 kodlamasıyla gizlenirken, kullanıcı adı Hindistan merkezli bir emlak ajansıyla ilişkili bir alan adını taşıyan bir e-posta adresini işaret ediyor ("auth@corehomes[.]in").

      Veri sızdırma için SMTP kullanımı sinsidir, çünkü çoğu güvenlik duvarı giden e-posta trafiğini engellemez ve zararlı trafiğin meşru uygulama e-postalarıyla karışmasına olanak tanır.

      Ayrıca, paket "//system/health" ve "//sys/maintenance" uç noktalarını kaydederken, platforma özgü yıkım komutlarını serbest bırakır; ikincisi, ana arka kapı tespit edilirse ve engellenirse bir yedekleme mekanizması olarak işlev görür.

      İki yeni npm paketinin keşfisaldırganların bilgi ve kripto para hırsızlığı için sahte kütüphaneleri kullanmanın ötesine geçerek sistem sabotajına odaklanmaya başladığını gösteriyor – bu, finansal bir fayda sunmadığı için sıra dışı bir gelişmedir.

      PyPI Paketi, Instagram Büyüme Aracı Olarak Kullanıcı Bilgilerini Topluyor

      Bu aynı zamanda, yazılım tedarik zinciri güvenlik firmasınınPyPI (Python Paket Dizini) deposunda Instagram büyüme aracı olduğunu iddia eden yeni bir Python tabanlı kullanıcı bilgisi toplayıcısı imad213'ü keşfetmesiyle ortaya çıktı.

      Araştırmacı, "Zararlı yazılım, gerçek doğasını gizlemek için Base64 kodlaması kullanıyor ve Netlify'de barındırılan bir kontrol dosyası aracılığıyla uzaktan kapatma anahtarı uyguluyor," dedi. "Çalıştırıldığında, kullanıcılardan Instagram kullanıcı bilgilerini istiyor ve takipçi sayılarını artırıyormuş gibi yaparak bunları on farklı üçüncü taraf bot hizmetine yayınlıyor."

      Python kütüphanesi, 21 Mart 2025'te kayda katılan ve Facebook, Gmail, Twitter ve VK kullanıcı bilgilerini toplayabilen (taya, a-b27) veya Apache Bench'i kullanarak dağıtılmış hizmet reddi (DDoS) saldırılarıyla yayın platformlarını ve API'leri hedefleyen (poppo213) üç başka paket yükleyen im_ad__213 (diğer adıyla IMAD-213) adlı bir kullanıcı tarafından yüklendi.

      Hala PyPI'dan indirilebilir olan paketlerin listesi aşağıdadır:

      ·         imad213

      ·         taya

      ·         a-b27 )

      ·         poppo213

      IMAD-213 tarafından "imad213"ün PyPI'ye yüklenmesinden yaklaşık iki gün önce yayınlanan bir GitHub README.md belgesinde, saldırgan, kütüphanenin esas olarak "eğitimsel ve araştırma amaçlı" olduğunu iddia ediyor ve herhangi bir kötüye kullanımdan sorumlu olmadıklarını belirtiyor.

      GitHub açıklaması ayrıca, kullanıcıları ana hesaplarında herhangi bir sorun yaşamamak için sahte veya geçici bir Instagram hesabı kullanmaya teşvik eden "aldatıcı bir güvenlik ipucu" içeriyor.

      Başlatıldığında, zararlı yazılım harici bir sunucuya bağlanır ve bir metin dosyasını ("pass.txt") okur ve yalnızca dosya içeriği "imad213" dizesiyle eşleşirse yürütmeye devam eder. Kapatma anahtarı birden fazla amaca hizmet edebilir; saldırganın kütüphaneyi kimlerin çalıştırma erişimi olduğunu belirlemesine veya kontrol dosyasının bağlamını basitçe değiştirerek indirilen her kopyayı kapatmasına olanak tanır.

      Bir sonraki adımda, kütüphane kullanıcıdan Instagram kullanıcı bilgilerini girmesini ister, bunlar daha sonra "credentials.txt" adlı bir dosyaya yerel olarak kaydedilir ve on farklı şüpheli bot hizmeti web sitesine yayınlanır; bunlardan bazıları muhtemelen aynı kuruluş tarafından işletilen Türk Instagram büyüme araçları ağına bağlanır. Alan adları Haziran 2021'de kaydedilmiştir.

      Fortinet, Ivanti Yüksek Dereceli Güvenlik Zafiyetleri

      Fortinet ve Ivanti Salı günü, ürün portföylerinde birden fazla yüksek ciddiyetli güvenlik açığı da dahil olmak üzere bir düzineden fazla zafiyet için düzeltmeler yayınladığını duyurdu.

      Ivantikimlik bilgisi sızıntılarına yol açabilecek üç yüksek ciddiyetli zafiyeti gidermek için bir Workspace Control (IWC) güncellemesi yayınladı.

      CVE-2025-5353CVE-2025-22463 ve CVE-2025-22455 olarak izlenen bu sorunlar, IWC'nin 10.19.0.0 ve önceki sürümlerindeki sabit kodlanmış anahtarlardan kaynaklanmakta olup, bu durum kimliği doğrulanmış saldırganların depolanan SQL kimlik bilgilerini ve ortam parolalarını çözmesine olanak tanıyabilir.

      Üretici, "Bu güvenlik açıkları kamuya açıklanmadan önce herhangi bir müşterinin istismar edildiğine dair bir bilgimiz yok.” diye belirtiyor.

      Fortinet Salı günü, bir yüksek ve 13 orta ciddiyetli güvenlik kusurunu gidermek için 14 yama yayınladı.

      CVE-2025-31104 olarak izlenen yüksek ciddiyetli sorunFortiADC'deki bir işletim sistemi komut enjeksiyonu hatası olarak tanımlanmakta olup, kimliği doğrulanmış bir saldırganın özel hazırlanmış HTTP istekleri kullanarak rastgele kod yürütmesine olanak tanıyabilir.

      Üretici, FortiOS, FortiClientEMS, FortiClient for Windows, FortiPAM, FortiSRA, FortiSASE, FortiPortal, FortiProxy ve FortiWeb'deki orta ciddiyetli kusurları düzeltti.

      Saldırganlar bu sorunları SSRF saldırıları gerçekleştirmek, yetkisiz oturumları enjekte etmekVPN bağlantılarını yeniden yönlendirmekyetkisiz kaynaklara erişmekSSL-VPN ayarlarına erişmekcihaz bilgilerini görüntülemekSSL-VPN portalına giriş yapmakayrıcalıkları yükseltmek, sisteme SSH anahtar dosyaları eklemek, hedef alınan bir kullanıcı adına işlem yapmak  ve FortiClient üzerinden iptal edilmiş sertifikalarla bağlanmak için istismar edebilirler.

      Fortinet, bu güvenlik açıklarından herhangi birinin sahada istismar edildiğine dair bir bilgi vermemektedir.


      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      HPE StoreOnce Sistemlerinde Kritik Güvenlik Açıkları

      Hewlett Packard Enterprise (HPE), StoreOnce veri yedekleme ve tekilleştirme çözümündeki kimlik doğrulama atlatma ve uzaktan kod yürütme ile sonuçlanabilecek sekiz kadar güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.

      HPE bir danışmanlık belgesinde, "Bu güvenlik açıklarıuzaktan kod yürütmeyebilgi ifşasınasunucu tarafı istek sahteciliğinekimlik doğrulama atlatmayarastgele dosya silmeye ve dizin geçişi güvenlik açıklarına izin vermek üzere uzaktan istismar edilebilir." dedi.

      Bu zafiyet, 4.3.11 öncesi tüm yazılım sürümlerini etkileyen bir kimlik doğrulama atlatma zafiyeti olarak tanımlanmıştır. CVE-2025-37093 olarak izlenen kritik bir güvenlik zafiyetidirGüvenlik açığı, diğerleriyle birlikte, üreticiye 31 Ekim 2024'te bildirilmiştir.

      Araştırmacılara göre, zafiyet machineAccountCheck (bir kimlik doğrulama algoritmasının yanlış uygulanmasından) yönteminin uygulanmasından kaynaklanmaktadır.  "Bir saldırgan, bu güvenlik açığından yararlanarak sistemdeki kimlik doğrulamayı atlayabilir."
      CVE-2025-37093'ün başarılı bir şekilde istismar edilmesi, uzaktan bir saldırganın etkilenen kurulumlarda kimlik doğrulamayı atlamasına izin verebilirGüvenlik açığını daha da ciddi kılan şey, kök bağlamında kod yürütme, bilgi ifşası ve rastgele dosya silme elde etmek için kalan kusurlarla zincirlenebilmesidir.

      • CVE-2025-37089 - Uzaktan Kod Yürütme
      • CVE-2025-37090 - Sunucu Tarafı İstek Sahteciliği
      • CVE-2025-37091 - Uzaktan Kod Yürütme
      • CVE-2025-37092 - Uzaktan Kod Yürütme
      • CVE-2025-37093 - Kimlik Doğrulama Atlatma
      • CVE-2025-37094 - Dizin Geçişi Rastgele Dosya Silme
      • CVE-2025-37095 - Dizin Geçişi Bilgi İfşası
      • CVE-2025-37096 - Uzaktan Kod Yürütme


      Bu açıklama, HPE'nin daha önce açıklanan Apache Tomcat ve Apache HTTP Sunucusu zayıflıklarını gidermek için HPE Telco Hizmet Orkestratörü (CVE-2025-31651, CVSS puanı: 9.8) ve OneView (CVE-2024-38475, CVE-2024-38476, CVSS puanları: 9.8)'daki birden fazla kritik önemdeki kusuru gidermek için yamalar göndermesiyle birlikte geldi.

      Aktif istismar raporları olmasa da, kullanıcıların en uygun koruma için en son güncellemeleri uygulamaları çok önemlidir.
       


      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.


      Yayınlayan: Yayın Tarihi:
      Labels: , , , , ,
      Kaydol: Kayıtlar (Atom)

      Popüler Yayınlar