2026 16. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

16. Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim	Açıklama
Quishing (QR Phishing)	Kötü niyetli kişilerin, kullanıcıları kimlik avı sitelerine yönlendirmek veya zararlı yazılım indirmelerini sağlamak için sahte QR kodlar kullanmasıdır.

Haftanın Zafiyetleri

Tarih	Başlık	Tür/Faaliyet	Platform
16-04-2026	CVE-2026-20184, CVE-2026-20147, CVE-2026-20180 ve CVE-2026-20186	Kod yürütme	Cisco, Identity Services ve Webex Services
17-04-2026	CVE-2026-34197	Kod enjeksiyonu	Apache ActiveMQ
20-04-2026	CVE-2026-5760	RCE	SGLang
22-04-2026	CVE-2026-5752	Kök kod yürütme	Cohere AI Terrarium Sandbox

Haftanın Zararlı Yazılımları

Tarih	Başlık	Tür/Faaliyet	Hedef
16-04-2026	PHANTOMPULSE	RAT	Finans ve kripto para sektörü
16-04-2026	PowMix	Botnet	Çek Cumhuriyeti
21-04-2026	NGate	Veri hırsızlığı	Android sistemler
22-04-2026	LOTUSLITE	Veri hırsızlığı	Hindistan'ın bankacılık sektörü

Haftanın Veri İhlalleri

Tarih	Başlık	Tür/Faaliyet	Hedef
20-04-2026	Vercel Veri İhlali	Yetkisiz erişim	Dahili sistemler

Haber Yazısı 1

Anthropic MCP SDK’sında Kritik Zayıflık: 150 Milyon İndirmeyi Etkileyen Sistemik Tehdit

Tarih: 20 Nisan 2026

Siber güvenlik araştırmacıları, Anthropic tarafından geliştirilen ve yapay zeka modellerinin dış araçlarla etkileşimini sağlayan Model Bağlam Protokolü (MCP) mimarisinde, uzaktan kod yürütülmesine (RCE) olanak tanıyan derin bir zayıflık keşfettiklerini duyurmuştur. OX Security tarafından yapılan analiz, bu sorunun tek bir yazılım hatası değil, protokolün tüm dillerdeki (Python, TypeScript, Rust, Java) resmi yazılım geliştirme kitlerine (SDK) sirayet etmiş bir tasarım tercihi olduğunu ortaya koymaktadır. 7.000’den fazla sunucuyu ve 150 milyondan fazla indirmeyi doğrudan etkileyen bu durum, yapay zeka tedarik zinciri güvenliğini temelinden sarsmaktadır.

Güvenlik açığının merkezinde, MCP yapılandırmasının STDIO (standart giriş/çıkış) taşıma arayüzü üzerinden çalışma biçimi yer almaktadır. Protokol, yerel bir sunucu başlatmak amacıyla tasarlanan yapılandırma girdilerini doğrudan işletim sistemi komutu olarak yürütmektedir. Bu "güvensiz varsayılan ayar", saldırganların LiteLLM, LangChain, Flowise ve DocsGPT gibi popüler yapay zeka projelerinde kimlik doğrulaması yapılmamış komut enjeksiyonları gerçekleştirmesine zemin hazırlamaktadır. Araştırmacılar; "sıfır tıklama" istemi enjeksiyonları (prompt injection) veya ağ istekleri aracılığıyla MCP yapılandırmalarının manipüle edilebildiğini ve bu sayede API anahtarları, dahili veritabanları ile sohbet geçmişlerine tam erişim sağlanabildiğini saptamıştır. Anthropic'in bu durumu "beklenen davranış" olarak nitelendirip mimari değişikliği reddetmesi, riskin sorumluluğunu tamamen uygulamayı geliştiren taraflara ve son kullanıcılara bırakmaktadır.

Sonuç olarak, MCP protokolündeki bu tasarımsal zayıflık, bir kez alınan yanlış bir mimari kararın tüm bir ekosisteme nasıl "sessizce" yayılabileceğinin en çarpıcı örneklerinden biridir. CVE-2026-30623 (LiteLLM) ve CVE-2026-26015 (DocsGPT) gibi zafiyetler için yamalar yayınlanmış olsa da protokolün çekirdek yapısı değişmediği sürece yeni tehditlerin ortaya çıkması kaçınılmazdır. Bu risklere karşı koymak adına; MCP özellikli hizmetlerin mutlaka izole edilmiş sanal ortamlarda (sandbox) çalıştırılması, harici yapılandırma girdilerinin "güvenilmez" olarak sınıflandırılması ve hassas hizmetlere yönelik genel IP erişiminin kısıtlanması, yapay zeka altyapısını kullanan kurumlar için artık birer savunma zorunluluğudur.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

CISA’dan Acil Eylem Planı: Cisco SD-WAN ve PaperCut Dahil 8 Kritik Zafiyet KEV’e Eklendi

Tarih: 21 Nisan 2026

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Cisco Catalyst SD-WAN Manager, JetBrains TeamCity ve Zimbra gibi kritik iş platformlarını etkileyen sekiz yeni güvenlik açığının aktif olarak istismar edildiğini duyurmuştur. Bu zafiyetler, siber saldırganlara kimlik doğrulamayı atlama, yetki yükseltme ve rastgele kod yürütme gibi geniş imkanlar tanımaktadır. Federal kurumlar (FCEB) için Cisco açıkları özelinde 23 Nisan 2026, diğer zafiyetler için ise 4 Mayıs 2026 tarihine kadar yama zorunluluğu getirilmiştir.

Listenin en dikkat çekici unsuru, 10.0 tam puan ile Quest KACE SMA sistemindeki CVE-2025-32975 zafiyetidir; bu açık, saldırganların hiçbir kimlik bilgisine sahip olmadan meşru kullanıcıları taklit etmesine olanak tanımaktadır. Ayrıca, Cisco Catalyst SD-WAN üzerindeki üç farklı açık (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133), saldırganların dosya sistemine erişerek yönetici yetkileri elde etmesine zemin hazırlamaktadır. Tehdit aktörü analizi yapıldığında, PaperCut açığının (CVE-2023-27351) Lace Tempest grubu tarafından fidye yazılımı dağıtımı için kullanıldığı, Zimbra açığının (CVE-2025-48700) ise UAC-0233 grubu tarafından Ukrayna merkezli casusluk operasyonlarında tercih edildiği görülmektedir. Bu saldırılar sonucunda posta kutularının tam içeriği, 2FA yedek kodları ve kurumsal yazışmaların sızdırıldığı raporlanmıştır.

CISA'nın bu hamlesi, özellikle "kurumsal yönetim araçlarının" (SD-WAN, TeamCity, KACE) saldırganlar için birincil hedef haline geldiğini tescil etmektedir. Kurumların, belirtilen tarihlere kadar yamaları uygulaması sadece yasal bir zorunluluk değil, aynı zamanda fidye yazılımı gruplarının ve devlet destekli casusluk birimlerinin (Lace Tempest, UAC-0233) ağlara kalıcı erişim sağlamasını engellemek adına hayati bir savunma adımıdır. Özellikle Cisco ve Zimbra kullanıcılarının, sistemlerinde herhangi bir dosya yükleme veya yetkisiz JavaScript yürütme izi olup olmadığını geriye dönük olarak denetlemeleri kritik önem taşımaktadır.