2026 2. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

2. Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim

Açıklama

XPATH Enjeksiyonu

SQL Enjeksiyonuna benzer şekilde, XPath Enjeksiyon saldırıları, bir web sitesinin XML verileri için bir XPath sorgusu oluşturmak üzere kullanıcı tarafından sağlanan bilgileri kullandığında meydana gelir. Saldırgan, web sitesine kasıtlı olarak hatalı bilgi göndererek XML verilerinin nasıl yapılandırıldığını öğrenebilir veya normalde erişemeyeceği verilere erişebilir. XML verileri kimlik doğrulama için kullanılıyorsa (örneğin XML tabanlı bir kullanıcı dosyası), web sitesindeki ayrıcalıklarını bile yükseltebilirler.

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Tür	Platform
08-01-2026	CVE-2025-66209,-, CVE-2025-66213, CVE-2025-64419, CVE-2025-64420, CVE-2025-64424, CVE-2025-59156, CVE-2025-59157, CVE-2025-59158	Komut enjeksiyonu	Coolify
08-01-2026	CVE-2026-20029	Hassas bilgilere erişim	Cisco, Identity Services Engine (ISE) ve ISE Passive Identity Connector (ISE-PIC)
09-01-2026	CVE-2025-69258	RCE	Trend Micro Apex Central
13-01-2026	CVE-2025-12420	Yetkisiz kontrol	ServiceNow
14-01-2026	CVE-2025-59466	DoS	Node.js

Haftanın Zararı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Tür	Hedef/Platform
08-01-2026	NodeCordRAT	Kötü amaçlı yazılımı yaymak	Zararlı npm paketi
08-01-2026	Astaroth	Truva atı	Windows bankacılık
10-01-2026	RustyWater	RAT	Orta Doğu'daki diplomatik, denizcilik, finans ve telekomünikasyon kuruluşları
12-01-2026	GoBruteforcer	Botnet	Kripto Para Projelerinin Veri tabanları
13-01-2026	Remcos	RAT	wscript.exe
13-01-2026	Linux VoidLink	Uzun vadeli ve gizli erişim	Bulut ve Konteyner Ortamları

Haftanın Teknolojik Yenilikleri

Tarih	Zararlı Teknolojik Yenilik	Tür	Hedef/Platform
12-01-2026	Güvenli Sağlık Kaydı Erişimi Sağlayan Claude AI	Güvenlik	Claude

Haber Yazısı 1

CISA Alarm Verdi: Microsoft ve HPE Yazılımlarındaki Açıklar Aktif İstismar Edilmekte

Tarih: 08 Ocak 2026

CISA, siber saldırganların Microsoft Office PowerPoint ve Hewlett Packard Enterprise (HPE) OneView yazılımlarındaki iki önemli güvenlik açığını aktif olarak kullandığını duyurdu. Aktif istismar kanıtlarının ortaya çıkmasıyla birlikte bu iki hata, dünya genelinde siber güvenlik ekiplerinin dikkate aldığı KEV kataloğuna eklendi. Bu gelişme, özellikle altyapı yönetimi ve kurumsal doküman paylaşımı yapan kuruluşlar için ciddi bir tehdit teşkil ediyor.

Söz konusu açıklar arasında en dikkat çekeni, HPE OneView'ı etkileyen ve CVSS puanı üzerinden 10.0 (en yüksek risk) ile derecelendirilen CVE-2025-37164 kodlu hatadır. Bu açık, kimlik doğrulaması bile gerektirmeden uzaktan kod yürütülmesine (RCE) imkân tanıyor. Yazılımın 11.00 sürümünden önceki tüm versiyonlarını etkileyen bu durum, eSentire tarafından yayınlanan bir "Kavram Kanıtı" (PoC) raporuyla daha da riskli bir hale geldi. Çünkü saldırı kodunun detaylarının bilinmesi, saldırganların işini kolaylaştırıyor.

Diğer taraftan, yıllar öncesine dayanan ancak hala aktif olarak istismar edildiği görülen CVE-2009-0556 kodlu Microsoft PowerPoint açığı, bellek bozulması yoluyla sisteme sızılmasını sağlıyor. Her iki açık da saldırganların hedef sistemde tam yetkiyle komut çalıştırmasına kapı aralıyor. HPE, etkilenen 5.20 ile 10 arasındaki sürümler için düzeltme yamalarını yayınlarken, CISA kurumlara bu yamaları uygulamaları için 28 Ocak 2026 tarihine kadar süre tanıdı.

CISA'nın bu uyarısı, sadece kamu kurumları için değil, HPE ve Microsoft ürünlerini kullanan tüm ticari kuruluşlar için bir "acil durum" çağrısı niteliği taşıyor. Uzmanlar, saldırıların kaynağı henüz tam olarak netleşmemiş olsa da halka açık istismar kodlarının bulunması nedeniyle saldırıların artacağı konusunda hemfikir. Kuruluşların veri kayıpları ve yetkisiz erişimlerle karşılaşmamaları için sistemlerini vakit kaybetmeden HPE OneView 11.00 sürümüne yükseltmeleri ve ilgili güvenlik güncellemelerini tamamlamaları hayati önem taşımaktadır.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Siber Casuslukta "Yerel Dil" Stratejisi: APT28 Grubu Türkiye ve Balkanlar’ı Hedef Alıyor

Tarih: 09 Ocak 2026

Rusya Genelkurmay Başkanlığı (GRU) ile bağlantılı olduğu bilinen ve APT28 (BlueDelta) olarak adlandırılan siber casusluk grubu, Türkiye başta olmak üzere Avrupa ve Orta Asya’daki stratejik kurumları hedef alan geniş kapsamlı bir kimlik bilgisi hırsızlığı kampanyası başlattı. Recorded Future’ın Insikt Grubu tarafından yayınlanan rapora göre; Türkiye’deki bir enerji ve nükleer araştırma kurumu, Kuzey Makedonya’daki askeri kuruluşlar ve Avrupa merkezli kuruluşlar saldırganların öncelikli hedefleri arasında yer alıyor.

Saldırıların arkasındaki strateji, kurbanların güvenini kazanmak için "yerelleştirilmiş" içerikler kullanılmasına dayanıyor. Özellikle Türkçe dilinde hazırlanan ve bölgesel enerji araştırmalarını konu alan sahte belgelerle, hedeflenen personelin şüpheleri minimize ediliyor.

Saldırı Zincirinin Detayları:

Sahte Giriş Sayfaları: Saldırganlar; Microsoft Outlook Web Access (OWA), Google ve Sophos VPN portallarını birebir taklit eden arayüzler tasarlıyor.

Meşru Altyapı İstismarı: Kimlik avı sayfalarını barındırmak ve verileri sızdırmak için Webhook.site, InfinityFree ve ngrok gibi popüler internet hizmetleri yoğun olarak kullanılıyor. Bu yöntem, saldırı trafiğinin güvenlik filtreleri tarafından "normal trafik" olarak algılanmasını sağlıyor.

Yönlendirme Taktiği: Kullanıcı sahte sayfaya şifresini girdiğinde, sistem kişiyi anında gerçek web sitesine yönlendiriyor. Böylece kullanıcı, bilgilerinin çalındığını fark etmeden işlemlerine devam ediyor.

2025 yılı boyunca süregelen bu operasyonlarda; İran-İsrail savaşına dair raporlar veya iklim değişikliği konulu politika belgeleri gibi güncel ve ilgi çekici PDF'ler "yem" olarak kullanıldı. Özellikle Eylül 2025'te Kuzey Makedonya askeri personeline yönelik "şifre süresi doldu" uyarılarıyla yapılan saldırı, grubun askeri istihbarat önceliklerini bir kez daha ortaya koydu.

APT28'in bu son faaliyetleri, Rus istihbaratının enerji güvenliği, savunma iş birliği ve hükümet iletişim ağlarına yönelik dinmeyen ilgisini simgeliyor. Grubun düşük maliyetli ancak yüksek verimli "tek kullanımlık" internet hizmetlerini tercih etmesi, siber savunma ekiplerinin bu tür saldırıları tespit etmesini zorlaştırıyor. Uzmanlar, özellikle enerji ve savunma gibi kritik sektörlerde çalışan personelin, Google veya Microsoft adına gelen "şifre yenileme" ve "dosya erişim" taleplerine karşı azami dikkat göstermesi ve çok aşamalı kimlik doğrulama (MFA) sistemlerini kullanması gerektiğini vurguluyor.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

CISA’dan Acil Kod Yürütme Uyarısı: Gogs Sunucuları Siber Saldırı Altında!

Tarih: 13 Ocak 2026

CISA, popüler Git servis sağlayıcısı Gogs üzerinde tespit edilen ve "yol geçişi" (path traversal) yöntemiyle kod yürütülmesine imkân tanıyan kritik bir güvenlik açığının aktif olarak istismar edildiğini duyurdu. CVE-2025-8110 koduyla tanımlanan ve 8.7 gibi yüksek bir risk puanına sahip olan bu açık, CISA tarafından KEV kataloğuna eklendi. Federal kurumlara, riskleri azaltmaları için 2 Şubat 2026'ya kadar süre tanındı.

Saldırının teknik detayları, güvenlik açığının Gogs'un "PutContents API" özelliğindeki bir hatadan kaynaklandığını gösteriyor. Wiz güvenlik araştırmacıları tarafından keşfedilen bu zafiyet, saldırganların bir depo oluşturup "sembolik bağlantılar" (symbolic links) aracılığıyla depo dışındaki hassas dosyalara erişmesine neden oluyor.

Siber suçlular, bu yöntemi kullanarak Git yapılandırma dosyalarını (özellikle sshCommand ayarını) manipüle edebiliyor ve hedef sistem üzerinde tam yetkiyle kod çalıştırabiliyor. Censys verilerine göre, internete açık olan ve potansiyel risk taşıyan 1.600'den fazla Gogs sunucusu bulunuyor. Bu sunucuların büyük bir kısmı Çin ve ABD'de yer alırken; Almanya, Hong Kong ve Rusya da listenin üst sıralarında bulunuyor. Şu an için resmi olarak yayınlanmış nihai bir güvenlik yaması bulunmaması, tehdidin ciddiyetini artırıyor.

Resmi yama süreci devam ederken, siber güvenlik uzmanları ve CISA, Gogs kullanıcılarının acilen geçici önlemler alması gerektiğini vurguluyor. Henüz bir güncelleme yayınlanmadığı için yöneticilere; varsayılan "açık kayıt" özelliğini kapatmaları, sunucu erişimini VPN ile sınırlandırmaları veya sadece güvenilen IP adreslerine izin vermeleri (whitelist) öneriliyor. Gogs'un güncel Docker imajlarının (gogs/gogs:latest) yakında yamayı içereceği belirtilse de kurumların 2 Şubat 2026 tarihine kadar ağlarını bu aktif tehdide karşı izole etmesi hayati önem taşıyor.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Microsoft 2026’ya "Yama Salı’sı" Mesaisiyle Başladı: 114 Güvenlik Açığı Kapatıldı

Tarih: 14 Ocak 2026

Microsoft, 2026 yılının ilk "Yama Salı’sı" (Patch Tuesday) kapsamında Windows işletim sistemindeki 114 güvenlik açığını gideren dev bir güncelleme paketi yayınladı. Giderilen açıkların 8’i "Kritik", 106’sı ise "Önemli" kategorisinde yer almaktadır. Bu güncellemeyi asıl önemli kılan unsur, Masaüstü Pencere Yöneticisi'ni (DWM) etkileyen bir hatanın halihazırda saldırganlar tarafından aktif olarak kullanılıyor olmasıdır. CISA, söz konusu açığı KEV listesine ekleyerek tüm kurumlara acil güncelleme çağrısı yaptı.

Ocak 2026 güncellemesi, son yılların en büyük üçüncü ocak ayı paketi olarak kayıtlara geçti. Öne çıkan riskler aşağıda verildiği gibidir:

Aktif İstismar (CVE-2026-20805): Masaüstü Pencere Yöneticisi'nde (DWM) tespit edilen bu bilgi sızdırma hatası, saldırganların sistem belleğindeki kritik adres bilgilerini ele geçirmesine olanak tanıyor. Uzmanlar, bu açığın tek başına değil, "zincirleme bir saldırının" parçası olarak Adres Alanı Düzeni Rastgeleleştirmesini (ASLR) devre dışı bırakmak için kullanıldığını belirtiyor.

Güvenli Önyükleme (Secure Boot) Krizi: CVE-2026-21265 kodlu açık, önyükleme sırasında kötü amaçlı yazılımların çalışmasını engelleyen sertifika mekanizmasını hedef alıyor. Ayrıca, 2011 yılında verilen sertifikaların 2026 yılı içinde geçerliliğini yitirecek olması, cihazların açılma yeteneğini riske atabileceği için sertifika güncellemelerinin önemi vurgulanıyor.

Sanallaştırma Tabanlı Güvenlik (VBS): CVE-2026-20876 açığı, saldırganların sistemin en korunaklı katmanı olan VTL2 ayrıcalıklarını elde etmesine ve en derin seviyede gizlenmesine imkân tanıyor.

Ayrıca Microsoft, güvenlik riski oluşturan eski "Agere Soft Modem" sürücülerini sistemden tamamen kaldırarak geçmişten gelen zafiyetleri temizlemeye devam etti.

Microsoft'un Ocak 2026 yamaları, işletim sisteminin hem en görünür katmanlarını (DWM) hem de en derin güvenlik sınırlarını (VBS) koruma altına alıyor. Özellikle aktif olarak istismar edilen açıklar ve süresi dolmak üzere olan Güvenli Önyükleme sertifikaları düşünüldüğünde, sistem yöneticilerinin 3 Şubat 2026 tarihine kadar bu güncellemeleri tamamlaması hayati önem taşıyor. Aksi takdirde, karmaşık siber saldırıların tespiti imkânsız hale gelebilir ve sistem bütünlüğü kalıcı olarak bozulabilir.

Diğer üreticilere ait güvenlik yamaları:

- ABB

- Adobe

- Amazon Web Services

- AMD

- Arm

- ASUS

- Broadcom (VMware dahil)

- Cisco

- ConnectWise

- Dassault Systèmes

- D-Link