İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
SearchInform Çözümleri ile Kurumsal Bilgi Güvenliği
Veri Merkezi 
ISA/IEC 62443 Endüstriyel Otomasyon ve Kontrol Sistemlerinin Güvenliği
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı
DİĞER 
2026 20. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
20. Hafta Siber Güvenlik Haberleri
Haftanın Siber Güvenlik Terimi
|
Terim |
Açıklama |
|
Local Privilege Escalation (LPE) |
Yerel Ayrıcalık Yükseltme, bir işletim sisteminde zaten düşük yetkilere sahip olan bir kullanıcının veya zararlı yazılımın, sistemdeki güvenlik açıklarını ya da yapılandırma hatalarını kullanarak en yüksek yetki seviyesine (Windows'ta Administrator / SYSTEM, Linux/Unix'te ise root) ulaşması durumudur. |
Haftanın Exploitleri
|
Tarih |
Başlık |
Tür/Faaliyet |
Hedef |
|
14-05-2026 |
Yığın Tampon Taşması |
PJPROJECT 2.16 |
|
|
14-05-2026 |
Uzaktan Kod Yürütme |
Apache HertzBeat 1.8.0 |
|
|
14-05-2026 |
SSTI |
WordPress Eklentisi Supsystic İletişim Formu 1.7.36 |
|
|
15-05-2026 |
Uzaktan Kod Yürütme |
Windows 2026.14 için Uzaktan Sunrise Yardımcısı |
|
|
15-05-2026 |
Kimlik Doğrulaması Gerektirmeyen Dosya/Dizin Listeleme |
Windows 2026.14 için Uzaktan Sunrise Yardımcısı |
|
|
15-05-2026 |
NTLMv2 Hash Ele Geçirme |
Windows Ekran Alıntısı Aracı |
Haftanın Zafiyetleri
|
Tarih |
Başlık |
Tür/Faaliyet |
Platform |
|
14-05-2026 |
CVE-2026-42945, CVE-2026-42946, CVE-2026-40701, CVE-2026-42934 |
DoS |
NGINX Plus ve NGINX Open |
|
14-05-2026 |
LPE |
Linux Çekirdeği |
|
|
14-05-2026 |
Kimlik doğrulama atlatma |
PraisonAI |
|
|
14-05-2026 |
Kimlik doğrulama atlatma |
Cisco Catalyst SD-WAN kontrol cihazı |
|
|
15-05-2026 |
Siteler arası komut dosyası çalıştırma |
Microsoft Exchange Server |
|
|
15-05-2026 |
CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118 |
Ayrıcalık yükseltme ve kalıcı erişim sağlama |
OpenClaw |
|
19-05-2026 |
CVE-2026-2743, CVE-2026-7864, CVE-2026-44125, -, CVE-2026-44129 |
Uzaktan kod yürütme ve sanal cihazdan rastgele e-postaları okuma |
SEPPMail Secure E-Mail Gateway |
|
20-05-2026 |
Bypass |
Microsoft |
Haftanın Zararlı Yazılımları
|
Tarih |
Başlık |
Tür/Faaliyet |
Hedef |
|
19-05-2026 |
Android reklam dolandırıcılığı |
Android |
Haftanın Veri İhlalleri
|
Tarih |
Başlık |
Tür |
Platform |
|
19-04-2026 |
Veri ihlali |
Kaynak kod |
Haber Yazısı 1
Windows Sıfır Gün Açıkları BitLocker Atlatma Yöntemlerini ve CTFMON Ayrıcalık Yükseltmesini Ortaya Çıkarıyor
Tarih: 14 Mayıs 2026
Daha önce Microsoft Defender'ı hedef alan üç farklı sıfır gün açığını (BlueHammer dâhil) sızdıran "Chaotic Eclipse" (diğer adıyla Nightmare-Eclipse) isimli araştırmacı, Microsoft'un zafiyet bildirim süreçlerine tepki olarak iki yeni sıfır gün açığı daha yayımlamıştır. YellowKey ve GreenPlasma kod adları verilen bu yeni zafiyetler, Windows 11 ve Windows Server 2022/2025 platformlarında BitLocker disk şifrelemesini devre dışı bırakmayı ve doğrudan SYSTEM yetkileriyle komut satırı (shell) elde etmeyi mümkün kılmaktadır. Araştırmacının Haziran 2026 yama döngüsü için "büyük bir sürpriz" vadetmesi, Microsoft ekosistemindeki gerilimi tırmandırmaktadır.
Sızıntının teknik olarak en çarpıcı unsuru, Windows Kurtarma Ortamı'ndaki (WinRE) bir hatadan beslenen YellowKey zafiyetidir. Güvenlik uzmanı Will Dormann tarafından da doğrulanan bu açık, bir USB sürücüdeki işlemsel NTFS (FsTx) bitlerinin, sistemdeki başka bir birimde (X: sürücüsü) yer alan winpeshl.ini dosyasını silebilmesine neden olmaktadır. Bu mantıksal hata tetiklendiğinde, TPM+PIN korumaları aktif olsa dahi korumalı ortam yerine BitLocker kilidi açılmış yetkili bir cmd.exe ekranı gelmektedir. İkinci sıfır gün açığı olan GreenPlasma ise Windows İşbirlikçi Çeviri Çerçevesi (CTFMON) üzerinde keyfi bellek bölüm nesneleri oluşturarak normal şartlarda kısıtlı olan dizinlere erişim sağlamakta ve SYSTEM seviyesine yetki yükseltme potansiyeli taşımaktadır. Bunlara ek olarak, Fransız siber güvenlik şirketi Intrinsec, eski önyükleme yöneticisi (boot manager) sürümlerinin imza doğrulama mantığını manipüle ederek BitLocker korumasını beş dakikadan kısa sürede kıran bir Sürüm Düşürme (Downgrade) saldırı zincirini (CVE-2025-48804) detaylandırmıştır.
Sonuç olarak, gerek YellowKey gerekse sürüm düşürme saldırıları, hedef sistemlere fiziksel erişimi olan saldırganların BitLocker şifrelemesini tamamen anlamsız kılabileceğini göstermektedir. Hataya neden olan meşru PCA 2011 sertifikalarının Microsoft tarafından Haziran 2026'da tamamen tedavülden kaldırılacak olması bu nedenle kritik bir öneme sahiptir. Kurumların, yaklaşan 26 Haziran 2026 son tarihinden önce tüm cihaz envanterini yeni güven çıpalarına (CA 2023 sertifikaları) taşıması, önyükleme öncesi (pre-boot) BitLocker PIN kontrollerini zorunlu kılması ve fiziksel güvenliği sıkılaştırması, sızdırılan bu sıfır gün açıkları kapatılana kadar en etkili savunma hatlarıdır.
Haberin ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
Kurumsal Altyapılarda Kritik Yama Dalgası: Ivanti, Fortinet ve SAP’tan Acil Güvenlik Uyarıları
Tarih: 18 Mayıs 2026
Mayıs 2026 ortası itibarıyla Ivanti, Fortinet, SAP, VMware ve n8n firmaları; kimlik doğrulamayı atlama, hassas veri sızıntısı ve uzaktan kod yürütme (RCE) imkanı tanıyan bir dizi kritik güvenlik açığını gidermek üzere yamalar yayımlamıştır. Güncelleme listesinin başında 9.6 gibi yüksek CVSS puanlarına sahip Ivanti ve SAP zafiyetleri yer alırken, iş akışı otomasyon aracı n8n'de arka arkaya keşfedilen zincirleme RCE açıkları dikkat çekmektedir. Söz konusu sistemlerin kurumsal ağlardaki merkezi rolleri, bu yamaların acilen uygulanmasını zorunlu kılmaktadır.
Ağ ve uygulama katmanında en dikkat çeken zafiyet, Ivanti Xtraction'ı etkileyen CVE-2026-8043 (CVSS: 9.6) zafiyetidir; bu açık uzaktan kimliği doğrulanmış bir saldırganın web dizinine rastgele HTML yazmasına ve istemci taraflı saldırılar başlatmasına izin vermektedir. Fortinet cephesinde ise FortiAuthenticator (CVE-2026-44277) ve FortiSandbox (CVE-2026-26083) ürünlerinde kimlik doğrulaması yapılmamış saldırganların HTTP istekleriyle doğrudan cihaz üzerinde yetkisiz komut çalıştırmasını sağlayan 9.1 puanlık iki RCE açığı kapatılmıştır. SAP tarafında ise S/4HANA üzerindeki SQL enjeksiyonu (CVE-2026-34260) ve SAP Commerce bulut yapılandırmasındaki eksik kimlik doğrulama kontrolü (CVE-2026-34263) sunucu tarafında tam denetim riski yaratmaktadır. Sanallaştırma tarafında ise VMware Fusion'da ortaya çıkan bir TOCTOU (Zamanlama) zafiyeti (CVE-2026-41702), standart bir kullanıcının saniyeler içinde root yetkilerine ulaşmasına zemin hazırlamaktadır. Son olarak otomasyon platformu n8n, xml2js kütüphanesinden ve sayfalama parametrelerinden kaynaklanan, sistemde global prototip kirliliği (prototype pollution) yaratarak RCE'ye yol açan 5 kritik açığı (CVSS: 9.4) ardışık güncellemelerle (1.123.43, 2.20.7, 2.22.1) yamalamıştır.
Özetlemek gerekirse; Fortinet'in kimlik doğrulama servisleri, SAP'nin kurumsal veri tabanları ve n8n gibi tüm iş akışlarını birbirine bağlayan entegrasyon araçları siber saldırganlar için en kazançlı hedef noktalarıdır. Özellikle n8n kullanan geliştirme ve operasyon ekiplerinin, yayınlanan baypas kodlarına karşı sistemlerini en güncel sürümlere yükseltmesi hayati önem taşımaktadır. Kurumların, internete açık olan FortiAuthenticator ve SAP Commerce panellerine erişimi sınırlandırması, VMware Fusion kullanan uç noktalardaki SETUID izinlerini denetlemesi ve belirtilen yama seviyelerini acilen üretim (production) ortamlarına yansıtması gerekmektedir.
Diğer Tedarikçilerden Yazılım Yamaları
Son birkaç hafta içinde diğer üreticiler de çeşitli güvenlik açıklarını gidermek için güvenlik güncellemeleri yayınladı; bunlar arasında şunlar yer alıyor:
- ABB
- Adobe
- Amazon Web Services
- AMD
- Apple
- ASUS
- Atlassian
- Axis Communications
- AVEVA
- Canon
- Cisco
- CODESYS
- ConnectWise
- Dell
- Devolutions
- Drupal
- F5
- Fortra
- Foxit Software
- Fujitsu
- GitLab
- GnuTLS
- Google Android and Pixel
- Google Chrome
- Google Cloud
- Grafana
- Hikvision
- Hitachi Energy
- Honeywell
- HP
- HP Enterprise (Aruba N. ve Juniper N. dahil)
- Huawei
- IBM
- Intel
- Jenkins
- Lenovo
- Linux dağıtımları AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, ve Ubuntu
- MediaTek
- Meta WhatsApp
- Microsoft
- Mitel
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Firefox, Firefox ESR ve Thunderbird
- NVIDIA
- OPPO
- Palo Alto Networks
- Phoenix Contact
- Phoenix Technologies
- Progress Software
- QNAP
- Qualcomm
- React
- Ricoh
- Samsung
- Schneider Electric
- Siemens
- Sophos
- Spring Framework
- Supermicro
- Synology
- Tenable
- TP-Link
- WatchGuard
- Zoom, and
- Zyxel
Haberin ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 3
Windows Stuxnet’in Saklı Soy ağacı: 20 Yıllık "fast16" Kötü Amaçlı Yazılımı Nükleer Sabotajı Doğruladı
Tarih: 18 Mayıs 2026
Symantec ve Carbon Black ekipleri tarafından yapılan yeni bir analiz, Lua tabanlı fast16 kötü amaçlı yazılımının, nükleer silah tasarım süreçlerini sabote etmek amacıyla geliştirilmiş tarihteki en eski siber silah olduğunu doğrulamıştır. 2005 yılına kadar uzanan geçmişiyle bu araç, meşhur Stuxnet operasyonundan bile en az iki yıl önceye dayanmaktadır. Yazılım, geleneksel BT sistemlerine zarar vermek yerine, nükleer silahların geliştirilmesinde hayati önem taşıyan uranyum şok sıkıştırma simülasyonlarının matematiksel çıktılarını gizlice bozmak üzere tasarlanmıştır.
fast16'nın çalışma mantığı, siber güvenlik dünyasında "akıl almaz" bir alan bilgisinin (domain knowledge) ürünü olarak değerlendirilmektedir. Kötü amaçlı yazılım, mühendislik dünyasında patlama, çarpışma ve malzeme modellemesi için kullanılan LS-DYNA ve AUTODYN yazılımlarını hedef almıştır. İçerisinde barındırdığı 101 kanca (hooking) kuralı sayesinde, simüle edilen malzemenin yoğunluğu 30 g/cm³ eşiğini (sadece bir nükleer içe doğru patlama/implosion sırasında uranyumun ulaşabileceği şok sıkıştırma değeri) geçtiğinde matematiksel hesaplamaları manipüle etmektedir. Araştırmacılar, yazılımın zaman içinde 10 farklı simülasyon sürümünü destekleyecek şekilde güncellendiğini saptamıştır. Hedef alınan kurum, anormallikleri fark edip yazılımın eski sürümlerine geri döndüğünde bile, saldırganların o eski sürümler için de geriye dönük kanca grupları ekleyerek sabote etmeye devam ettiği anlaşılmıştır. Yazılımın izleri, 2017 yılında The Shadow Brokers tarafından sızdırılan ve NSA bağlantılı Equation Group'a ait olan belgelerde de yer almaktadır.
Sonuç olarak fast16, siber silahların evriminde Stuxnet ile aynı kavramsal kökten (fiziksel bir süreci bozma odaklı mimari) beslenen ilk prototiptir. Siber güvenliğin sadece işletim sistemlerini veya ağları korumaktan ibaret olmadığını; yüksek başarımlı hesaplama (HPC) ve kritik mühendislik simülasyonlarının da manipüle edilebileceğini 20 yıl öncesinden göstermektedir. Bu keşif, devlet destekli aktörlerin hedef aldıkları endüstriyel ve askeri süreçlerin fiziğine, matematiksel modellerine ve Durum Denklemlerine (EOS) kadar uzanan ürkütücü bir uzmanlığa çok uzun zamandır sahip olduklarını açıkça ortaya koymaktadır.
Haberin ayrıntılarına buradan ulaşabilirsiniz.