2025 43. ve 44. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

43. ve 44. Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim

Açıklama

CSRF

(cross-site request forgery)

Siteler Arası İstek Sahteciliği (CSRF), bir son kullanıcıyı halihazırda kimliği doğrulanmış bir web uygulamasında istenmeyen eylemler gerçekleştirmeye zorlayan bir saldırıdır.

Haftanın Explotileri

Tarih	Exploit Başlığı	Tür	Platform
29-10-2025	52439	CSRF	Casdoor 2.95.0
31-10-2025	52440	RCE	Flowise 3.0.4

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Tür	Platform
22-10-2025	CVE-2025-6541, CVE-2025-6542	Komut enjeksiyonu	TP-Link Omada gateway
22-10-2025	CVE-2025-7850, CVE-2025-7851	Komut enjeksiyonu, Uygunsuz ayrıcalık yönetimi	TP-Link Omada gateway
22-10-2025	CVE-2025-62518	RCE	Async-Tar Rust kütüphanesi
27-10-2025	ChatGPT Atlas Tarayıcı Açığı	CSRF	ChatGPT Atlas web tarayıcısı
30-10-2025	Brash	Sistemin çökmesi	Chromium tabanlı tarayıcılar
04-11-2025	CVE-2025-43429,-, CVE-2025-43434	Bellek taşması	Safari web tarayıcısı
04-11-2025	CVE-2025-11953	Keyfi kod yürütme	@react-native-community/cli " npm paketi

Haftanın Zararı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Tür	Hedef
28-10-2025	Herodotus	Truva atı	Android
29-10-2025	Npm paketleri (deezcord.js, dezcord.js, dizcordjs, etherdj'ler, ethesjs Etetsjs, nodemonjs, react-router-dom.js, typescriptjs, zustand.js)	Veri hırsızlığı	Windows, macOS ve Linux sistemler
30-10-2025	PhantomRaven	Veri hırsızlığı	GitHub Tokenları
31-10-2025	Airstalk (.NET PowerShell varyantları)	Veri hırsızlığı	MDM
03-11-2025	BankBot-YNRK ve DeliveryRAT	Truva atı, finansal veri hırsızlığı	Android
04-11-2025	SesameOp	Arka kapı	C2 sunucuları

Haftanın Teknolojik Yenilikleri

Tarih	Teknolojik Yenilik Başlığı	Tür	Platform
31-10-2025	Aardvark	Kod kusurlarını otomatik tespiti ve düzeltilmesi	Kaynak kod depoları

Haber Yazısı 1

CISA & NSA, WSUS ve Exchange İçin Acil Güçlendirme Kılavuzu Yayınladı

Tarih: 31 Ekim 2025

CISA ile Ulusal Güvenlik Ajansı (NSA), Avustralya ve Kanada ortaklarıyla birlikte şirket içi Microsoft Exchange Server örneklerini güçlendirmek için acil bir kılavuz yayımladı. Kılavuz, yönetici erişimini kısıtlama, çok faktörlü kimlik doğrulama (MFA), sıkı taşıma güvenliği ve sıfır güven (Zero Trust) ilkelerini vurguluyor.

Aynı dönemde özellikle kritik bir WSUS (Windows Server Update Services) açığı (CVE-2025-59287) aktif istismar edilmeye başlandı. Microsoft, hatayı düzeltmek için acil (out-of-band) güncelleme yayınladı; fakat istismar raporları kısa sürede ortaya çıktı ve saldırganların WSUS sunucularını kullanarak Base64 kodlu PowerShell çalıştırıp veri sızdırdığı tespit edildi. Bu faaliyetler 24 Ekim 2025 civarında belgelendi ve Sophos, Unit 42 ve diğer firmalar tarafından doğrulandı.

Gözlemler şu önemli noktaları içeriyor:

- Saldırının temel yöntemi WSUS’un raporlama/serileştirme işlevlerindeki zafiyeti kullanarak uzaktan, kimlik doğrulamasız RCE (SYSTEM düzeyinde kod yürütme) elde etmek.
- Bazı operasyon zincirlerinde, mmc.exe aracılığıyla cmd.exe tetiklenmesi gibi alternatif saldırı yolları tespit edildi; log yığın izleri ve süreç ağaçları ile olaylar ilişkilendirildi.
- Tehdit aktörleri, çalınan verileri harici webhook.site türü uç noktalara aktardı; etkilenen sektörler arasında üniversiteler, teknoloji, imalat ve sağlık rapor edildi.

CISA kılavuzu, kurumlara WSUS ve Exchange sunucularını hemen tespit edip acil yamaları uygulamalarını, kullanım ömrü sona eren Exchange örneklerini devre dışı bırakmalarını ve yönetici erişimini kısıtlayıp MFA ile şifrelemeyi güçlendirmelerini öneriyor. Ayrıca Exchange için temel güvenlik çizgilerinin uygulanması, EMS/PowerShell erişiminin kontrolü, ASR/AMSI/EDR ve posta-kötü amaçlı yazılım önleme özelliklerinin etkinleştirilmesi tavsiye ediliyor.

CISA/NSA rehberi ve WSUS istismar raporları kurumlara şu çıkarımı veriyor: E-posta ve yama yönetimi altyapıları (Exchange, WSUS) operasyonel çekirdeği oluşturduğundan, bu hizmetlerin korunması kritik öncelik olmalı. Kuruluşlar:

- Açıkça CVE-2025-59287 için Microsoft’un out-of-band güncellemesini uygulamalı veya etkilenmiş WSUS hizmetlerini ağdan izole etmeli.
- Exchange sunucularında yönetim erişimini kısıtlayıp MFA ve Zero Trust ilkelerini hızla hayata geçirmeli; kullanım ömrü sona eren / hibrit olmayan eski Exchange örneklerini devre dışı bırakmayı değerlendirmeli.
- WSUS/Exchange sunucularında SİSTEM düzeyinde şüpheli prosesler, iç içe PowerShell/ Base64 komutlamaları ve olağan dışı ağ trafikleri (ör. webhook.domain çıkışları) gibi göstergeleri (IOC) izleyip araştırmalı.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Microsoft Teams’te Kritik Açıklar: Saldırganlar İş Arkadaşlarını Taklit Edebiliyor

Tarih: 04 Kasım 2025

Siber güvenlik araştırmacıları, Microsoft Teams’te tespit edilen dört güvenlik açığının kullanıcıları ciddi taklit ve sosyal mühendislik saldırılarına maruz bırakabileceği konusunda uyardı. Check Point tarafından yapılan araştırma, bu açıkların iş ortamlarında güveni zedeleyebileceğini ortaya koydu.

Mart 2024’te bildirilen ve Ağustos 2024 – Ekim 2025 arasında kademeli olarak yamalanan bu açıklar, saldırganların Teams mesajlarını “düzenlendi” etiketi olmadan değiştirmesine, bildirimleri manipüle ederek mesajın göndericisini farklı göstermesine ve hatta iş arkadaşlarını taklit etmesine imkân tanıyor

Bu durum, kullanıcıların güvenilir bir kaynaktan geldiğini düşündüğü mesajlardaki kötü amaçlı bağlantılara tıklamasına veya hassas bilgileri paylaşmasına yol açabiliyor. Saldırı senaryoları, hem kurum içi kötü niyetli kişiler hem de harici tehdit aktörleri için etkili bir sosyal mühendislik zemini oluşturuyor. Microsoft, söz konusu hatalardan biri olan CVE-2024-38197 kodlu açığı “orta şiddette” olarak değerlendirse de araştırmacılar bu tür güven zafiyetlerinin dijital iş birliği platformlarında büyük etkiler yaratabileceğini vurguluyor.

Check Point, söz konusu açıkların “iş birliği araçlarında güvenin temelini zayıflattığını” belirterek kuruluşlara Teams yamalarını derhal uygulama çağrısında bulundu. Uzmanlar, dijital ortamda “görmenin artık inanmak anlamına gelmediğini” ve kullanıcıların mesaj kimliklerini doğrulamadan hareket etmemesi gerektiğini hatırlatıyor.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

CISA, Kritik Güvenlik Açıklarının Küresel Saldırılarda Kullanıldığını Doğruladı

Tarih: 04 Kasım 2025

CISA, son günlerde birçok popüler kurumsal yazılımda tespit edilen kritik güvenlik açıklarının aktif olarak istismar edildiğini doğruladı. Lanscope Endpoint Manager, Broadcom VMware ürünleri, Dassault Systèmes DELMIA Apriso ve XWiki sistemlerinde tespit edilen açıklar, dünya genelinde kamu ve özel sektörü etkileyen geniş çaplı tehditler yaratıyor.

CISA’nın KEV kataloğuna eklediği CVE-2025-61932, Motex Lanscope Endpoint Manager’da keyfi kod yürütülmesine yol açan bir hata olarak öne çıktı. Japonya’da bazı kurumlarda bu açığın kullanıldığı teyit edilirken, istismarların sistemlere arka kapı yüklemek için kullanıldığı bildirildi. CISA, federal kurumların bu açığı 12 Kasım 2025 tarihine kadar gidermesini zorunlu tuttu.

Bunun yanı sıra, CVE-2025-41244 kodlu VMware açığı da Çin bağlantılı siber tehdit aktörleri tarafından hedef alındı. Bu açık, VMware Tools ve Aria Operations bileşenlerinde kök düzeyinde ayrıcalık elde edilmesine izin veriyor. NVISO Labs, açığın Ekim 2024’ten beri sıfır gün (zero-day) olarak kullanıldığını ve UNC5174 adlı Çin merkezli bir grup tarafından istismar edildiğini belirtti.

Son olarak, Dassault DELMIA Apriso ve XWiki platformlarında da çok sayıda açık aktif saldırılarda kullanıldı. Bu açıklardan biri, XWiki kullanıcılarının özel hazırlanmış isteklerle uzaktan kod yürütmesi yapmasına, diğeri ise DELMIA Apriso sistemlerinde yetkisiz erişim elde edilmesine yol açabiliyor. Saldırıların bazıları kripto para madenciliği yazılımları yüklemek amacıyla gerçekleştirildi.

CISA, bu gelişmeler ışığında tüm kurumlara güncellemeleri acilen uygulamaları, sistem yapılandırmalarını gözden geçirmeleri ve aktif izleme mekanizmalarını güçlendirmeleri yönünde çağrıda bulundu. Yetkililer, “Bu açıklar yalnızca bireysel sistemleri değil, küresel tedarik zincirlerini de etkileyebilecek ölçekte riskler oluşturuyor” uyarısında bulundu.

Haberin ayrıntılarına buradan [1], [2] ulaşabilirsiniz.