2025 46. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

46. Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Haftanın Zafiyetleri

Haftanın Zararı Yazılımları

Haftanın Teknolojik Yenilikleri

Haber Yazısı 1

Microsoft, Aktif Saldırı Altında Olan Windows Kernel Zero-Day'i de İçeren 63 Güvenlik Açığını Düzeltti

Tarih: 12 Kasım 2025

Microsoft, Kasım 2025 güvenlik güncellemesi kapsamında toplam 63 güvenlik açığını giderdiğini duyurdu. Bu açıklardan biri olan CVE-2025-62215, Windows Kernel’de bulunan ve aktif olarak istismar edilen bir sıfır gün zafiyeti olarak ön plana çıkıyor. Şirket, bu kritik hatanın sistemde ayrıcalık yükseltmeye yol açabildiğini ve tehdit aktörleri tarafından halihazırda kullanıldığını doğruladı.

Yayınlanan yamalar arasında 4 kritik, 59 önemli seviye güvenlik açığı bulunuyor. Bunların 29’u ayrıcalık yükseltme, 16’sı RCE, 11’i bilgi sızdırma, 3’ü hizmet reddi, 2’si güvenlik özelliği atlatma ve 2’si kimlik sahtekarlığı kategorilerinde.

Aktif istismara konu olan CVE-2025-62215, Windows Kernel’deki bir senkronizasyon hatasından (race condition) kaynaklanıyor. Düşük ayrıcalıklı bir saldırgan, özel hazırlanmış bir uygulamayla Kernel’in bellek yönetimini manipüle ederek SYSTEM ayrıcalıklarına yükselebiliyor. Bu hata, bellek alanının “iki kez serbest bırakılması” (double free) sonucu çekirdek yığınını bozarak yürütme akışının ele geçirilmesine imkân tanıyor.

Microsoft ve uzmanlar, bu zafiyetin genellikle başka bir açıklığın istismarından sonra, yani bir saldırgan zaten sisteme ilk erişimi sağladıktan sonra kullanıldığı görüşünde. Bu nedenle, sosyal mühendislik, phishing veya başka bir RCE açığıyla birleştirildiğinde tam sistem ele geçirme mümkün hale geliyor.

Güncellemede ayrıca Microsoft Graphics Component ve WSL GUI bileşenlerinde uzaktan kod yürütmeye neden olabilen iki kritik buffer overflow zafiyeti (CVE-2025-60724 ve CVE-2025-62220) de yamalandı.

Bir diğer önemli açık ise, Windows Kerberos’ta keşfedilen ve CheckSum olarak adlandırılan CVE-2025-60704. Bu zafiyet, eksik bir kriptografik doğrulama adımı nedeniyle saldırganların bir adversary-in-the-middle (AitM) saldırısıyla kullanıcıları taklit etmesine ve tüm domaine yönetici düzeyinde erişim elde etmesine imkân tanıyor. Active Directory’de Kerberos delegation özelliği açıksa, tehdit aktörleri kuruluş içinde yanlamasına hareket (lateral movement) yaparak tüm sistemi ele geçirebiliyor.

Microsoft’un bu ayki yama seti, özellikle aktif olarak sömürülen kernel sıfır günü ve domain ele geçirmeye yol açabilen Kerberos zafiyeti nedeniyle kritik önem taşıyor. Uzmanlar, kuruluşların güncellemeleri derhal uygulamasını, özellikle ayrıcalık yükseltme hatalarının diğer RCE açıklıklarıyla zincirlenerek daha tehlikeli saldırılar oluşturabileceği konusunda uyarıyor.

Diğer Üreticilere Ait Güvenlik Yamaları:

- Adobe
- Amazon Web Services
- AMD
- Apple
- ASUS
- Atlassian
- AutomationDirect
- Bitdefender
- Broadcom (VMware dahil)
- Cisco
- Citrix
- ConnectWise
- D-Link
- Dell
- Devolutions
- Drupal
- Elastic
- F5
- Fortinet
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Grafana
- Hitachi Energy
- HP
- HP Enterprise (Aruba Networking ve Juniper Networks dahil)
- IBM
- Intel
- Ivanti
- Jenkins
- Lenovo
- Linux dağıtımları AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, ve Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Firefox and Firefox ESR
- NVIDIA
- Oracle
- Palo Alto Networks
- QNAP
- Qualcomm
- Rockwell Automation
- Ruckus Wireless
- Samba
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Splunk
- Spring Framework
- Supermicro
- Synology
- TP-Link
- WatchGuard, ve
- Zoom

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

CISA, 54.000 Firebox'ı Oturum Açmama Saldırılarına Maruz Bırakan Kritik WatchGuard Fireware Açığını Bildirdi

Tarih: 13 Kasım 2025

CISA, WatchGuard Fireware işletim sisteminde bulunan CVE-2025-9242 kodlu kritik bir güvenlik açığını, aktif olarak istismar edildiğine dair kanıtlar üzerine KEV (Bilinen İstismar Edilen Zafiyetler) listesine ekledi. CVSS 9.3 puanlı bu açık, Firebox cihazlarında uzaktan ve kimlik doğrulaması olmadan keyfi kod çalıştırmaya izin veriyor. Sorun, IKE VPN el sıkışma sürecindeki hatalı uzunluk kontrolünden kaynaklanıyor.

WatchGuard, Eylül ayında yama yayınladı ancak 54 binden fazla Firebox cihazı hâlâ savunmasız durumda. ABD yaklaşık 18.500 savunmasız cihazla başı çekerken, İtalya, İngiltere, Almanya ve Kanada da en çok etkilenen ülkeler arasında.

Şirket, aktif saldırılara dair üç IoC paylaştı: anormal büyük IKE_AUTH istekleri, iked sürecinin askıda kalması ve çökme raporları. ABD federal kurumlarına yamaları 3 Aralık 2025’e kadar uygulamaları talimatı verildi.

CISA aynı zamanda Windows kernel’deki CVE-2025-62215 ve Gladinet Triofox’taki CVE-2025-12480 güvenlik açıklarını da KEV listesine ekledi.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Araştırmacılar Meta, Nvidia ve Microsoft Çıkarım Çerçevelerini Açığa Çıkaran Ciddi Yapay Zeka Hataları Buldu

Tarih: 14 Kasım 2025

Siber güvenlik araştırmacıları, Meta, Nvidia, Microsoft gibi teknoloji devlerinin yanı sıra vLLM ve SGLang gibi açık kaynak projelerde kullanılan büyük yapay zekâ çıkarım çerçevelerinde kritik güvenlik açıkları tespit etti. Bu açıklar, saldırganların uzaktan ve kimlik doğrulaması olmadan keyfi kod çalıştırmasına imkân verebilmektedir.

Oligo Security araştırmacıları, birçok projede aynı hatalı desenin tekrarlandığını belirledi: ZeroMQ üzerinden yapılan güvensiz veri alışverişi ve Python pickle deserializasyonunun yanlış kullanımı. ShadowMQ adı verilen bu model, Meta’nın Llama çerçevesinde keşfedilen CVE-2024-50050 zafiyetinin farklı projelere kopyalanmasıyla yayıldı.

Aynı güvenli olmayan yapı Nvidia TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM ve SGLang gibi sistemlerde de görüldü. Bazı projeler açıkları yamalarken (TensorRT-LLM gibi), bazıları hâlâ savunmasız durumda. Bu zafiyetler sömürüldüğünde saldırganlar yapay zekâ düğümlerini ele geçirerek ayrıcalık yükseltme, model hırsızlığı, kötü amaçlı yazılım yükleme veya kripto madenciliği gibi eylemler gerçekleştirebilir.

Ayrıca, Knostic tarafından yayımlanan ayrı bir rapor, Cursor kod editörünün MCP sunucuları ve kötü amaçlı uzantılar aracılığıyla JavaScript enjeksiyon saldırılarına açık olduğunu gösterdi. Bu yöntemle saldırganlar geliştiricilerin oturum açma bilgilerini çalabiliyor ve editörü kötü amaçlı yazılım dağıtım platformuna dönüştürebiliyor.

Açıkların çoğunun kodun hızlı geliştirilmesi ve güvensiz kod örneklerinin kopyalanması nedeniyle yaygınlaştığı vurgulandı. Uzmanlar, geliştiricilere otomatik çalıştırma özelliklerini devre dışı bırakma, yüklenen uzantıları denetleme, sadece güvenilir MCP sunucularını kullanma ve API izinlerini sınırlama çağrısı yapıyor. Çıkarım motorlarının kritik rolü göz önünde bulundurulduğunda, bu güvenlik açıklarının hızla giderilmesi ve kod güvenliği süreçlerinin güçlendirilmesi büyük önem taşımaktadır.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

1. Siber Güvenlik Terimi
2. Zafiyetler
3. Zararlı Yazılımlar
4. Haber Yazıları
5. Teknolojik Yenilikler