İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
Mail Güvenliği 
Veri Merkezi 
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı Hizmeti
UTM 
DİĞER 
2025 27. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
27. Hafta Siber Güvenlik Haberleri
Haftanın Siber Güvenlik Terimi
|
Terim |
Açıklama |
|
RARP (Ters Adres Çözümleme Protokolü) |
RARP, yerel alan ağındaki fiziksel bir makinenin bir ağ geçidi sunucusunun Adres Çözümleme Protokolü tablosundan veya önbelleğinden IP adresini öğrenmeyi talep edebildiği bir protokoldür. |
Haftanın Exploitleri
|
Tarih |
Exploit Başlığı |
Tür |
Platform |
|
02-07-2025 |
RCE |
Moodle 4.4.0 |
|
|
02-07-2025 |
NTLM Authentication |
Microsoft SharePoint 2019 |
|
|
02-07-2025 |
2025-47812 |
RCE |
Wing FTP Server 7.4.3 |
|
02-07-2025 |
RCE |
gogs 0.13.0 |
Haftanın Zafiyetleri
|
Tarih |
Zafiyet Başlığı |
Tür |
Platform |
|
03-07-2025 |
Kök erişimi sağlama |
Cisco Unified CM |
|
|
04-07-2025 |
Kök erişimi sağlama |
Linux sistemler |
Haftanın Zararı Yazılımları
|
Tarih |
Zararlı Yazılım Başlığı |
Tür |
Hedef |
|
03-07-2025 |
Mobil reklam dolandırıcılığı |
Android cihazlar |
|
|
08-07-2025 |
Casus yazılım |
Windows |
Haber Yazısı 1
Açık JDWP Arayüzleri ve Zayıf SSH Yapılandırmaları Yeni Siber Tehditlerin Hedefinde
Tarih: 05.07.2025
Siber güvenlik uzmanları, açığa çıkan Java Hata Ayıklama Teli Protokolü (JDWP) ara yüzlerinin kötüye kullanılmasıyla gerçekleştirilen kripto madenciliği saldırılarına ve SSH açıklarını hedef alan yeni bir DDoS botnet yazılımına karşı kurumları uyardı. Wiz ve NSFOCUS araştırmacılarının yayımladığı raporlara göre, saldırganlar hem kod yürütme hem de kalıcılık mekanizmaları ile sistemlere sızarak büyük çaplı riskler yaratıyor.
1. JDWP Üzerinden Kripto Madenciliği
- JDWP, Java uygulamalarında hata ayıklama amacıyla kullanılan bir protokol olmakla birlikte, kimlik doğrulama mekanizması içermediği için internete açık bırakıldığında ciddi bir güvenlik açığı doğuruyor.
- Tehdit aktörleri, 5005 numaralı port üzerinden JDWP oturumları kurarak kurban sistemlere zararlı yükler bırakıyor.
- Kullanılan yük, özelleştirilmiş XMRig madencisinin değiştirilmiş bir sürümü olup, sistemdeki rekabetçi madencileri etkisiz hale getiriyor, cron işleri ile kalıcılık sağlıyor ve izlerini siliyor.
- GreyNoise verilerine göre, son 24 saat içinde 2.600’den fazla IP adresi JDWP uç noktalarını taradı; bunların %60’ından fazlası kötü niyetli olarak sınıflandırıldı.
2. Hpingbot Botnet ile SSH Üzerinden DDoS Saldırıları
- NSFOCUS'un raporuna göre Hpingbot adlı yeni bir Go tabanlı botnet, zayıf SSH yapılandırmalarını parola püskürtme yoluyla hedef alarak hem Windows hem de Linux sistemlere bulaşıyor.
- Hping3 aracı ile özel TCP/UDP/ICMP paketleri göndererek DDoS saldırıları gerçekleştiren Hpingbot, Pastebin gibi açık platformları kullanarak yük dağıtımı yapıyor.
- Almanya, ABD ve Türkiye en fazla hedef alınan ülkeler arasında.
- Botnet, aynı zamanda Go tabanlı ek bileşenlerle gelişerek yalnızca hizmet kesintisine değil, potansiyel yük dağıtımına da odaklanıyor.
Söz konusu saldırılar, temel güvenlik kontrollerinin yetersizliğinden kaynaklı ciddi zafiyetlerin kötüye kullanılabileceğini bir kez daha ortaya koyuyor.
- JDWP gibi geliştirme ortamı bileşenlerinin üretim sistemlerinde açık bırakılması, siber tehditlere davetiye çıkarıyor.
- SSH güvenliği için güçlü parola politikaları, iki faktörlü kimlik doğrulama ve bağlantı sınırlamaları zorunlu hale geliyor.
Uzmanlar, bu tür tehditlere karşı sistemlerin hem yapılandırma hem de izleme açısından sürekli olarak denetlenmesini ve güvenlik açığı taramalarının düzenli yapılmasını öneriyor.
Haberin ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
CISA, Aktif İstismar Nedeniyle KEV Kataloğuna Dört Kritik Güvenlik Açığı Ekledi
Tarih: 05.07.2025
CISA, aktif olarak istismar edildiği doğrulanan dört yeni güvenlik açığını KEV kataloğuna ekledi. Bu açıklar arasında PHPMailer, Ruby on Rails ve Zimbra gibi yaygın kullanılan yazılımlardaki zafiyetler yer alıyor. CISA, federal kurumların bu açıkları en geç 28 Temmuz 2025’e kadar kapatmalarını zorunlu tutuyor.
KEV kataloğuna eklenen zafiyetler şunlardır:
- CVE-2014-3931: MRLG adlı ağ izleme aracında yer alan bir arabellek taşması zafiyeti
- CVE-2016-10033: PHPMailer kütüphanesinde komut enjeksiyonu yoluyla uzaktan kod çalıştırmaya neden olabilecek bir güvenlik açığı.
- CVE-2019-5418: Ruby on Rails’teki bir yol geçiş zafiyeti sayesinde sistemdeki dosya içeriklerinin sızdırılması.
- CVE-2019-9621: Zimbra’da sunucu taraflı istek sahteciliği (SSRF) açığı ile yetkisiz erişim ve uzaktan kod yürütme imkânı.
CISA, bazı açıklara ilişkin istismar kanıtlarının halka açık olmamasına rağmen, siber tehdit istihbaratı kaynaklarına dayalı olarak bu açıkların aktif kullanıldığını doğruladı. Özellikle CVE-2019-9621’in Çin bağlantılı Earth Lusca adlı bir APT grubu tarafından kullanıldığı Trend Micro tarafından bildirildi.
Ayrıca, bu gelişmeyle eş zamanlı olarak Citrix NetScaler ADC ürününde ortaya çıkan ve “Citrix Bleed 2” olarak anılan CVE-2025-5777 numaralı başka bir kritik zafiyetin de aktif olarak istismar edildiği bildirildi. Araştırmalar, saldırganların bellekten kimlik bilgisi ve oturum belirteçleri sızdırmak için özel HTTP istekleri gönderdiğini ortaya koydu.
CISA’nın KEV listesine yeni açıklar eklemesi, bu zafiyetlerin siber saldırılarda kullanıldığını açıkça ortaya koyuyor. PHPMailer gibi temel yazılım bileşenlerindeki açıklar, sadece kamu kurumları değil, özel sektör için de yüksek risk taşıyor.
Öte yandan, Citrix’teki yeni bellek sızıntısı açığı, tehdit aktörlerinin hassas bilgilere erişimini kolaylaştırarak oturum ele geçirme ve sistem ihlali gibi sonuçlar doğurabiliyor.
Uzmanlar, sistem yöneticilerinin hem CISA uyarılarını hem de ürün tedarikçilerinin yama yayınlarını yakından takip etmesini ve acil güncellemeleri uygulamasını öneriyor.
Haberin ayrıntılarına buradan ulaşabilirsiniz.