İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
SearchInform Çözümleri ile Kurumsal Bilgi Güvenliği
Veri Merkezi 
ISA/IEC 62443 Endüstriyel Otomasyon ve Kontrol Sistemlerinin Güvenliği
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı
DİĞER 
2026 24. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
24. Hafta Siber Güvenlik Haberleri
Haftanın Siber Güvenlik Terimi
|
Terim |
Açıklama |
|
PLC (Programmable Logic Controller) |
Fabrikalardaki motorlar, vanalar veya sensörler gibi fiziksel cihazları yöneten, endüstriyel ortamlar için özel olarak tasarlanmış sağlamlaştırılmış bilgisayarlardır. Sahadan aldığı verileri işleyerek önceden programlanmış mantığa göre çıktılar üretir. |
Haftanın Zafiyetleri
|
Tarih |
Başlık |
Tür/Faaliyet |
Platform |
|
11-06-2026 |
RCE |
Oracle PeopleSoft |
|
|
13-06-2026 |
RCE |
Splunk Enterprise |
|
|
15-06-2026 |
Kod yürütme |
LiteLLM |
|
|
16-06-2026 |
Dosya yükleme |
Cisco Catalyst SD-WAN Manager |
|
|
16-06-2026 |
Komut enjeksiyonu |
Fortinet FortiSandbox |
|
|
17-06-2026 |
Sıfırıncı gün zafiyeti |
Microsoft, Defender |
Haftanın Zararlı Yazılımları
|
Tarih |
Başlık |
Tür/Faaliyet |
Hedef |
|
16-06-2026 |
PIN Kodlarını, SMS Kodlarını ve Kripto Cüzdan Fonlarını Çalma |
Android sistemler |
Haftanın Veri İhlalleri
|
Tarih |
Başlık |
Tür |
Platform |
|
10-06-2026 |
Fidye yazılımı |
Bulut sistemi |
Haber Yazısı 1
CISA, PHP kod yürütülmesine olanak sağlayan, aktif olarak istismar edilen bir Joomla JCE güvenlik açığı konusunda uyarıda bulundu
Tarih: 17 Haziran 2026
CISA; Widget Factory tarafından geliştirilen Joomla İçerik Düzenleyicisi (JCE) eklentisindeki CVSS 10.0 önem derecesine sahip, kritik bir erişim kontrolü zafiyetini (CVE-2026-48907) aktif olarak istismar edildiği gerekçesiyle Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemiştir. Bu gelişmeyle eş zamanlı olarak, WordPress ekosistemindeki popüler eklentileri hedef alan geniş çaplı tedarik zinciri ve SEO odaklı Özel Blog Ağı (PBN) enjeksiyon kampanyaları rapor edilmiştir. Saldırganların hedef sistemlerde kimlik doğrulamasına ihtiyaç duymadan tam yetkili PHP web kabukları (web shell) konuşlandırmasına olanak tanıyan bu tehditler, internete açık web altyapıları için en yüksek operasyonel riski oluşturmaktadır.
İçerik yönetim sistemlerini (CMS) abluka altına alan siber operasyonların teknik detayları ve risk kırılımları şu şekildedir:
1. Joomla JCE Profil İçe Aktarım ve PHP Kod Yürütme Açığı (CVE-2026-48907)
- Zafiyet, JCE editör eklentisinin 1.0.0 ile 2.9.99.4 arasındaki tüm sürümlerinde bulunan yetersiz erişim kontrollerinden kaynaklanmaktadır. Kimliği doğrulanmamış uzaktan bir saldırgan, index.php?option=com_jce&task=profiles.import uç noktasına istek göndererek sisteme yeni editör profilleri enjekte edebilmektedir. Bu yöntemle erişim kontrolü atlatılarak sunucuya kötü amaçlı PHP dosyaları yüklenebilmekte ve tam yetkiyle uzaktan kod yürütülebilmektedir (RCE).
- Güvenlik açığı 3 Haziran 2026 tarihinde yayınlanan 2.9.99.5 sürümüyle giderilmiştir. Ancak Joomla ve siber güvenlik analistleri çok kritik bir yapısal duruma dikkat çekmektedir: Uygulanan güncelleme sadece yeni saldırı giriş kapısını kapatmakta, yama uygulanmadan önce sisteme sızmış olan saldırganların geride bıraktığı arka kapıları (web shell) temizlememektedir.
- Otomatikleştirilmiş botlar tarafından yürütülen bu saldırılarda, sahte profiller vasıtasıyla sunucu dosya sistemine kalıcı arka kapılar yerleştirilmektedir. CISA, Federal Sivil Yürütme Kurulu (FCEB) kurumlarına bu açığı kapatmaları için 19 Haziran 2026 tarihine kadar süre tanımıştır.
2. WordPress Tedarik Zinciri ve Türkçe Konuşan Aktörün PBN Kampanyası
- OptinMonster, TrustPulse ve PushEngage eklentilerini kullanan 1 milyondan fazla siteyi etkileyen bir tedarik zinciri saldırısı tespit edilmiştir. Saldırganlar sitelere zararlı JavaScript enjekte ederek, oturum açmış bir yöneticinin (admin) hareketlerini beklemekte, ardından arka planda gizli yönetici hesapları ve kendini gizleyen arka kapı eklentileri oluşturmaktadır. - Bir diğer varyantta ise saldırganlar, sızdıkları WordPress sitelerine "Beloved PBN Entegrasyonu" adlı sahte bir eklenti yerleştirmektedir. Bu eklenti aracılığıyla wp_posts veritabanı tablosuna gömülen iki adet PHP web kabuğu, ham yürütülebilir kod olarak çalıştırılmaktadır. Bu durum, hiçbir kimlik doğrulamasına gerek kalmadan tüm sunucu dosya sisteminde kısıtlamasız okuma, yazma, düzenleme ve silme yetkisi (tam yetki) sağlamaktadır.
- Sucuri araştırmacılarına göre bu kampanya, Türkçe konuşan bir tehdit aktörü tarafından yönetilen klasik bir SEO para kazanma şemasıdır. Saldırganlar, ele geçirdikleri web sitelerini kumar ve yetişkin içerikli ortaklık (affiliate) programlarına trafik sağlayan bir Özel Blog Ağının (PBN) parçası haline getirmektedir. Ziyaretçilere fark ettirilmeden web sayfalarının altbilgisine (footer) enjekte edilen bu gizli geri bağlantılar (backlinks), sitelerin arama sıralamalarına doğrudan zarar vermekte ve Google Arama Konsolu'nda (Google Search Console) manuel ceza alma riskini maksimuma çıkarmaktadır.
Sonuç olarak gerek Joomla JCE zafiyeti gerekse WordPress'i hedef alan gizli veritabanı enjeksiyonları, siber saldırganların web sunucularını ele geçirmek ve bu sunucuların saygınlığını (SEO değerini) manipüle etmek için gelişmiş otomasyon araçları kullandığını göstermektedir. Sadece yazılımları güncellemenin halihazırda tehlikeye girmiş web sitelerini temizlemeye yetmemesi, güvenlik ekiplerinin reaktif korumadan proaktif adli bilişim (forensics) süreçlerine geçmesini zorunlu kılmaktadır.
Web altyapılarını güvence altına almak adına; Joomla kullanan sistemlerin acilen en az 2.9.99.5 sürümüne yükseltilmesi, web sunucu erişim günlüklerinde profiles.import parametresine yönelik yetkisiz isteklerin geriye dönük incelenmesi gerekmektedir. WordPress tarafında ise wp_posts tablosundaki ham kod enjeksiyonları temizlenmeli, sahte eklenti (örn: Beloved PBN) veya şüpheli admin hesapları taranmalı ve sunucu dosya bütünlüğü doğrulama (file integrity monitoring) süreçleri tavizsiz şekilde işletilmelidir.
Haberin ayrıntılarına buradan ulaşabilirsiniz.