İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
SearchInform Çözümleri ile Kurumsal Bilgi Güvenliği
Veri Merkezi 
ISA/IEC 62443 Endüstriyel Otomasyon ve Kontrol Sistemlerinin Güvenliği
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı
DİĞER 
2026 23. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
23. Hafta Siber Güvenlik Haberleri
Haftanın Siber Güvenlik Terimi
|
Terim |
Açıklama |
|
TOCTOU (Time-of-Check to Time-of-Use) |
Bir programın bir dosyanın güvenliğini kontrol ettiği an (Check) ile o dosyayı kullandığı an (Use) arasındaki milisaniyelik boşlukta, saldırganın dosyayı zararlı bir versiyonla değiştirmesiyle oluşan bir zamanlama zafiyetidir. |
Haftanın Exploitleri
|
Tarih |
Başlık |
Tür/Faaliyet |
Hedef |
|
05-06-2026 |
Kimlik Doğrulaması Gerektirmeyen Kör SQL Enjeksiyonu |
WordPress Contest Gallery 28.1.4 |
|
|
08-06-2026 |
Rastgele Dosya Okuma |
OpenEMR 7.0.2 |
Haftanın Zafiyetleri
|
Tarih |
Başlık |
Tür/Faaliyet |
Platform |
|
04-06-2026 |
Dosya yazmasına ve oradan root yetkisine erişme |
Cisco Unified Communications Manager'da (UCM) |
|
|
05-06-2026 |
Dosya yazmasına ve oradan root yetkisine erişme |
Cisco Catalyst SD-WAN Manager |
|
|
04-06-2026 |
Yetkisiz uzak bağlantı |
Check Point |
|
|
09-06-2026 |
RCE |
LiteLLM |
|
|
09-06-2026 |
Rastgele kod çalıştırma |
Google Chrome'da V8 |
|
|
09-06-2026 |
RCE |
Veeam Backup & Replication |
|
|
10-06-2026 |
Kod enjeksiyonu, DoS |
protobuf.js |
|
|
10-06-2026 |
RCE |
Langflow |
|
|
10-06-2026 |
Komut enjeksiyonu |
FortiSandbox PaaS WEB UI |
|
|
10-06-2026 |
Komut enjeksiyonu, Kimlik doğrulama atlatma |
Ivanti |
|
|
10-06-2026 |
CVE-2026-44748, CVE-2026-27671, CVE-2026-22732, CVE-2026-40128 |
Sunucusunda bellek bozulması, Spring güvenlik açığı, dizin geçişi güvenlik açığı |
SAP, NetWeaver AS ABAP ve ABAP |
Haftanın Zararlı Yazılımları
|
Tarih |
Başlık |
Tür/Faaliyet |
Hedef |
|
04-06-2026 |
Arka kapı |
Masaüstü uygulamaları |
|
|
05-06-2026 |
Casus yazılım |
Android |
|
|
06-06-2026 |
Arka kapı |
Linux sistemler |
|
|
10-06-2026 |
Botnet |
SOHO ve IoT cihazlar |
Haftanın Veri İhlalleri
|
Tarih |
Başlık |
Tür |
Platform |
|
06-06-2026 |
Miasma solucanı, tedarik zincirine yönelik büyük bir saldırıda Microsoft'un 73 GitHub deposunu vurdu |
Tedarik zinciri saldırısı |
Microsoft'un GitHub depoları |
|
10-06-2026 |
Fidye yazılım |
Bulut sistemi |
Haftanın Teknolojik Yenilikleri
|
Tarih |
Başlık |
Tür |
Platform |
|
08-06-2026 |
VS Code otomatik güncelleme süresine 2 saatlik bir gecikme ekledi |
Tedarik zinciri saldırılarını sınırlamak |
Entegre geliştirme ortamı (IDE) |
Haber Yazısı 1
CISA KEV Kataloğuna 4 Yeni Tehdit: Cisco, Chrome, Arista ve SolarWinds Açıkları İstismar Ediliyor
Tarih: 10 Haziran 2026
Haziran 2026 ortası itibarıyla ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA); Cisco Catalyst SD-WAN, Google Chrome V8 motoru, Arista EOS (Genişletilebilir İşletim Sistemi) ve SolarWinds Serv-U dosya sunucu yazılımını etkileyen güvenlik açıklarını KEV kataloğuna eklemiştir. Tehdit aktörlerinin bu açıkları ağlara sızmak, tarayıcı korumalarını aşmak ve servisleri çökertmek için aktif olarak kullandığı doğrulanmıştır. CISA, risk altındaki altyapıları korumak adına federal kurumlara (FCEB) 19 Haziran ve 23 Haziran 2026 tarihlerine kadar geçerli olan çok sıkı yama ve hafifletme (mitigation) talimatları uygulamıştır.
Kataloğa eklenen zafiyetlerin teknik kırılımları, risk profilleri ve çözüm yolları şu şekildedir:
1. Arista Genişletilebilir İşletim Sistemi- EOS (CVE-2026-7473)
- Teknik Detay ve Etki (CVSS: 6.9): Arista EOS'un tünel protokol tiplerini düzgün doğrulamamasından kaynaklanan bir "eksik karşılaştırma" hatasıdır. VXLAN veya GRE tünel uç noktası olarak yapılandırılmış cihazlar, meşru tünel protokolüyle eşleşmeyen ancak cihazın IP'sini hedef alan beklenmedik tünellenmiş paketleri yanlış bir şekilde açıp (decap) iletmektedir. Zafiyet özellikle kurumsal omurgalarda kullanılan 7020R, 7280R/R2 ve 7500R/R2 serisi ürünleri etkilemektedir.
- Arista, mevcut kurumsal yapılandırmaları bozma riskini gerekçe göstererek bu zafiyet için herhangi bir yama planlanmadığını duyurmuştur. Bu durum, sistem yöneticilerini doğrudan manuel koruma önlemleri almaya zorlamaktadır. Sorunu hafifletmek için ya yukarı akış (upstream) cihazlarına ya da beklenmedik kapsül çözmenin gerçekleştiği Arista cihazlarının kendisine Erişim Kontrol Listeleri (ACL) uygulanmalı ve yalnızca meşru tünel trafiğine izin verilmelidir.
- Hafifletme önlemlerinin uygulanması için son tarih 23 Haziran 2026'dır.
2. Cisco Catalyst SD-WAN Manager (CVE-2026-20245)
- Teknik Detay ve Etki (CVSS: 7.8): Yazılımdaki çıktıların yanlış kodlanması veya kaçış (escape) karakterlerinin doğru işlenmemesinden kaynaklanan bir girdi doğrulama zafiyetidir. Ağda yerel kimlik doğrulaması gerçekleştirmiş bir saldırgan, sisteme özel tasarlanmış zararlı bir dosya yükleyerek doğrudan root yetkileriyle rastgele komut yürütebilmektedir (RCE).
- Saldırganın kurumsal ağ yönetim panelinde (SD-WAN Manager) en üst düzey kontrolü ele geçirmesine ve tüm WAN altyapısını manipüle etmesine yol açabilir.
- Yamalanması için belirlenen son tarih 23 Haziran 2026'dır.
3. Google Chrome V8 Motoru (CVE-2026-11645)
- Teknik Detay ve Etki (CVSS: 8.8): Chrome'un JavaScript motoru olan V8'deki bir sınır dışı (out-of-bounds) bellek okuma ve yazma hatasıdır. Uzaktan bir saldırgan, kurbanı özel olarak tasarlanmış kötü amaçlı bir HTML sayfasına yönlendirerek tarayıcının sanal korumalı alanını (sandbox) aşabilir ve hedef sistemde uzaktan kod çalıştırabilir.
- Son kullanıcıları hedef alan oltalama (phishing) veya "su başında bekleme" (watering hole) saldırılarında ilk sızma noktası olarak sıkça silaha dönüştürülen yüksek riskli bir zafiyettir.
- Tarayıcı güncellemelerinin tamamlanması için son tarih 23 Haziran 2026'dır.
4. SolarWinds Serv-U Dosya Sunucusu (CVE-2026-28318)
- Teknik Detay ve Etki (CVSS: 7.5): Çok protokollü dosya sunucu yazılımını etkileyen, kontrolsüz kaynak tüketimine dayalı bir Hizmet Reddi (DoS) zafiyetidir. Saldırganlar, Content-Encoding: deflate başlığını içeren özel olarak hazırlanmış POST istekleri göndererek, hiçbir kimlik doğrulamasına gerek duymadan Serv-U hizmetini saniyeler içinde çökertebilmektedir.
- Geçmişte Serv-U zafiyetlerinin Cl0p fidye yazılımı çetesi gibi finansal motivasyonlu aktörler tarafından yoğun şekilde istismar edildiği bilinmektedir. Sunucunun çökertilmesi kurumsal veri akışını tamamen durdurabilir.
- Sorun SolarWinds Serv-U 15.5.4 HF1 sürümünde giderilmiştir. Yama uygulanana kadar geçici bir acil önlem olarak, Serv-U paneline erişim bilinen güvenli IP'lerle sınırlandırılmalı ve sunucu bu fonksiyona ihtiyaç duymadığı için content-encoding içeren tüm gelen HTTP istekleri WAF veya firewall seviyesinde engellenmelidir.
- Acil yama uygulaması için son tarih 19 Haziran 2026'dır.
Özetlemek gerekirse, KEV kataloğuna eklenen bu son paket siber güvenlik ekiplerine iki farklı ev ödevi vermektedir. Bir yanda Chrome ve Cisco gibi sistemlerin geleneksel yama yönetim süreçleriyle hızla güncellenmesi gerekirken, diğer yanda Arista ve SolarWinds örneklerinde olduğu gibi ağ seviyesinde sıkılaştırma (ACL ve WAF kuralları) yapılması hayati önem taşımaktadır. Arista'nın yama çıkarmayacak olması, kurumsal ağ mimarilerinde "Sıfır Güven" (Zero Trust) ve mikro-bölümlendirme ilkelerinin, üretici yamalarına bel bağlamadan dinamik olarak uygulanması gerektiğini bir kez daha kanıtlamaktadır.
Haberin ayrıntılarına buradan [1] [2] ulaşabilirsiniz.
Haber Yazısı 2
Yama Tarihinde Rekor: Microsoft, 3 Sıfır Gün Dahil 206 Güvenlik Açığını Yamaladı
Tarih: 10 Haziran 2026
Haziran 2026 itibarıyla Microsoft, 39'u "Kritik" seviyede olan ve 3 tanesi halihazırda kamuoyuna sızdırılmış (sıfır gün) toplam 206 zafiyet için rekor bir yama paketi yayımlamıştır. Trend Micro ve Tenable gibi sektör devlerinin analistleri, zafiyet sayısındaki bu kontrol edilemez artışı, yapay zekanın kod tarama süreçlerini muazzam ölçüde hızlandırmasına bağlamaktadır. Pakette yer alan zafiyetlerin dağılımı siber tehdit ortamının ciddiyetini göstermektedir: 63 ayrıcalık yükseltme, 56 uzaktan kod yürütme (RCE), 30 bilgi ifşası ve 27 kimlik avı hatası giderilmiştir.
Teknik açıdan en kritik ve "sıfır etkileşimli" (zero-click) tehditlerin başında, Windows Çekirdeğindeki TCP/IP veri işleme kusurundan beslenen CVE-2026-45657 (CVSS: 9.8) gelmektedir. Saldırganlar, ağ üzerinden özel hazırlanmış TCP/IP paketleri göndererek kullanıcı etkileşimi olmadan SYSTEM yetkileriyle kod yürütebilmektedir. Benzer şekilde, Windows DHCP İstemcisini vuran CVE-2026-44815 (CVSS: 9.8) zafiyeti, ağ trafiğini doğrudan tam bir sistem ihlaline dönüştürebilme potansiyeli taşımaktadır.
İstemci tarafında ise "Chaotic Eclipse" kod adlı araştırmacının sızdırdığı sıfır gün açıkları bu döngüde resmi CVE numaralarına kavuşmuştur:
- YellowKey (CVE-2026-45585- CVSS: 6.8): Fiziksel erişimle BitLocker disk şifrelemesini tamamen atlatmayı sağlayan zafiyet yamalanmıştır. Buna ek olarak bitskrieg olarak bilinen CVE-2026-50507 ve diğer iki BitLocker baypas yöntemi de giderilmiştir.
- GreenPlasma (CVE-2026-45586- CVSS: 7.8): Windows İşbirlikçi Çeviri Çerçevesi (CTFMON) üzerinden yerel kullanıcıların SYSTEM shell elde etmesine izin veren hak yükseltme açığı kapatılmıştır.
- MiniPlasma: 2020 yılındaki eski bir zafiyetin (CVE-2020-17103) eksik kapatılan kısımları bu güncelleme ile kapsamlı şekilde onarılmıştır.
Altyapı tarafında ise web sunucularını saniyeler içinde çökertebilen ve HTTP2/Bomb tekniğiyle (testlerde 45 saniyede 64 GB RAM tükettiği görülen) ilişkilendirilen CVE-2026-49160 (CVSS: 7.5) zafiyeti giderilmiştir. Microsoft, bu saldırı vektörünü sınırlamak adına IIS ve web sunucuları için MaxHeadersCount adlı yeni bir kayıt defteri (registry) sınırı devreye almıştır.
Sonuç olarak, siber güvenlik dünyası yapay zekanın zafiyet keşfini endüstriyel bir ölçeğe taşıdığı bir döneme girmiştir. Öyle ki, 2026'nın henüz ilk yarısında yayımlanan CVE sayısı, 2018 yılının tamamından fazladır. Bu durum, siber güvenlik ekipleri üzerinde muazzam bir test ve kalite kontrol baskısı yaratmaktadır.
Kurumların, DHCP trafiğini işleyen kritik sunucuları ve internete açık IIS web servislerini acilen güncellemesi, HTTP/2-HTTP/3 başlık sınırlandırmalarını (MaxHeadersCount) aktif etmesi gerekmektedir. Ayrıca, Chaotic Eclipse’in Windows Defender üzerinde SYSTEM yetkisi tetikleyen en yeni sıfır gün PoC'si RoguePlanet sızıntısı göz önüne alındığında, uç nokta koruma yazılımlarının yakından izlenmesi ve Haziran 2026 paketinin envanterdeki tüm istemcilere tavizsiz bir şekilde dağıtılması hayati önem taşımaktadır.
Haberin ayrıntılarına buradan ulaşabilirsiniz.