İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR SearchInform
EN

2026 3. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

3. Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim

Açıklama

Fuzzing

Fuzz testi veya kısaca fuzzing, bir programa otomatik olarak beklenmedik, hatalı veya yarı hatalı girdiler sağlayarak hataları, güvenlik açıklarını veya beklenmedik davranışları belirlemeyi amaçlayan bir yazılım test tekniğidir.

Haftanın Exploitleri

Tarih

Başlık

Tür/Faaliyet

Platform

17-01-2026

52468

RCE

RPi-Jukebox-RFID 2.8.0

17-01-2026

52467

Rastgele Dosya Yükleme

Siklu EtherHaul Serisi EH-8010

17-01-2026

52466

Rastgele Dosya Yükleme

Siklu EtherHaul Serisi EH-8010

Haftanın Zafiyetleri

Tarih

Başlık

Tür/Faaliyet

Hedef

15-01-2026

CVE-2026-0227

DoS

Palo Alto Networks GlobalProtect PAN-OS 

15-01-2026

CVE-2026-23550

Ayrıcalık Yükseltme

WordPress Modular DS

15-01-2026

CodeBreach

Github Depolarını Ele Geçirme

AWS CodeBuild

16-01-2026

CVE-2025-20393

Uzaktan Kod Yürütme

Cisco Secure Email Gateway ve Cisco Secure Email and Web Manager 

19-01-2026

StackWarp

Ayrıcalık Yükseltme

 AMD işlemcileri

20-01-2026

CVE-2025-68143, CVE-2025-68144, CVE-2025-68145

Dosya Erişimi ve Kod Yürütme

Anthropic MCP Git Sunucusu

21-01-2026

CVE-2026-1245

Rastgele Javascript Kodunun Çalıştırılması

Binary-parser Kütüphanesi

21-01-2026

ChainLeak

Veri Hırsızlığı

Chainlit Yapay Zekâ Çerçevesi

Haftanın Zararlı Yazılımları

Tarih

Başlık

Tür/Faaliyet

Hedef

16-01-2026

LOTUSLITE

Arka Kapı

ABD Hükümeti ve Politika Kurumları

16-01-2026

GootLoader

Kötü Amaçlı Yazılım Yükleyicisi

Windows Sistemler

19-01-2026

CrashFix

 ModeloRAT'ı Yayma

Chrome Eklentisi

20-01-2026

Evelyn Stealer

Bilgi Hrsızlığı

Microsoft Visual Studio Code (VS Code) eklenti ekosistemi

21-01-2026

VoidLink

AI Destekli Zararlı Yazılım

Linux Tabanlı Bulut Ortamları

Haber Yazısı 1

Kurumsal Yazılımları Taklit Eden Tehlike: 5 Kötü Amaçlı Chrome Eklentisi Keşfedildi

Tarih: 16 Ocak 2026

Siber güvenlik araştırmacıları; Workday, NetSuite ve SuccessFactors gibi popüler İnsan Kaynakları (İK) ve Kurumsal Kaynak Planlama (ERP) platformlarını hedef alan beş yeni kötü amaçlı Google Chrome eklentisini ortaya çıkardı. Socket tarafından yayınlanan rapora göre, bu eklentiler "üretkenlik aracı" maskesi altında kimlik doğrulama belirteçlerini çalmak, güvenlik sayfalarına erişimi engellemek ve doğrudan oturum ele geçirmek (session hijacking) için koordineli bir şekilde çalışıyor.

Saldırı kampanyası, DataByCloud ve Software Access gibi isimler altında yayınlanan eklentiler aracılığıyla yürütülüyor. Bu eklentiler kurulduktan sonra her 60 saniyede bir kullanıcının kimlik doğrulama çerezlerini saldırganların kontrolündeki sunuculara (C2) iletiyor.

Saldırının Dikkat Çeken Teknik Özellikleri:

- Yönetim Panellerini Engelleme: "Tool Access 11" ve "DataByCloud 2" gibi eklentiler, Workday içindeki 56 farklı yönetim sayfasını bloke ediyor. Bu sayede kullanıcılar parola değiştirme, 2FA (iki faktörlü doğrulama) cihaz yönetimi veya güvenlik günlüklerine erişim gibi kritik işlemleri yapamaz hale geliyor.
- Oturum Enjeksiyonu: En gelişmiş eklenti olan "Software Access", çalınan çerezleri doğrudan saldırganın tarayıcısına enjekte ederek kullanıcı adı ve şifreye gerek duymadan doğrudan hesaba giriş yapılmasını sağlıyor.
- Analizden Kaçınma: Eklentiler, tarayıcıda yüklü olan "EditThisCookie" veya "Cookie-Editor" gibi 23 farklı güvenlik odaklı aracı kontrol ederek kendilerini gizlemeye çalışıyor. Ayrıca geliştirici araçlarının (DevTools) açılmasını engelleyen özel kütüphaneler kullanıyorlar.

Şu an itibarıyla bu eklentiler Chrome Web Mağazası'ndan kaldırılmış olsa da Softonic gibi üçüncü taraf indirme sitelerinde hala mevcut bulunabiliyor. Araştırmacılar, bu eklentilerin toplamda binlerce kez indirildiğini tespit etti.

Söz konusu eklentiler, güvenlik ekiplerinin yetkisiz erişimi tespit etse bile normal kanallar üzerinden müdahale edemediği "kilitli" bir senaryo yaratıyor. Güvenlik uzmanları, bu eklentilerden herhangi birini yüklemiş olan kullanıcıların; eklentileri derhal kaldırmasını, tüm kurumsal parolalarını sıfırlamasını ve oturum geçmişini yetkisiz girişlere karşı kontrol etmesini şiddetle tavsiye ediyor. Ayrıca, kurumsal ağlarda sadece izin verilen (whitelist) eklentilerin kullanımına olanak tanıyan politikaların uygulanması kritik önem taşıyor.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Gemini’ye Dolaylı Komut Enjeksiyonu: Kötü Amaçlı Davetiyeler Gizli Verileri Okuyor

Tarih: 19 Ocak 2026

Siber güvenlik dünyası, yapay zeka modellerinin geleneksel yazılım hatalarından ziyade "dil ve bağlam" üzerinden manipüle edildiği yeni bir saldırı türüyle karşı karşıya. Miggo Security tarafından ortaya çıkarılan son bulgular, Google’ın yapay zeka asistanı Gemini’nin, kötü amaçlı hazırlanmış bir Google Takvim davetiyle istismar edilebildiğini gösterdi. "Dolaylı Komut Enjeksiyonu" (Indirect Prompt Injection) olarak tanımlanan bu güvenlik açığı, saldırganların herhangi bir kullanıcı etkileşimi olmadan özel toplantı verilerine erişmesine ve gizli bilgileri sızdırmasına olanak tanıdı.

Saldırı zinciri, teknik bir kod içermek yerine doğal dille yazılmış gizli talimatların bir takvim davetiyesine eklenmesiyle başlıyor. Süreç şu şekilde işliyor:

- Zehirli Davetiye: Saldırgan, hedefe içinde özel komutlar barındıran bir takvim etkinliği gönderiyor. Bu etkinlik pasif bir şekilde kullanıcının takviminde bekliyor.
- Tetikleme: Kullanıcı Gemini’ye "Bugün toplantım var mı?" gibi sıradan bir soru sorduğunda, yapay zeka takvimdeki etkinlikleri tararken saldırganın gizli komutunu da okuyor ve "zehirleniyor".
- Gizli Veri Sızıntısı: Gemini, saldırganın talimatı doğrultusunda kullanıcının tüm özel toplantı özetlerini alıp yeni ve gizli bir etkinlik oluşturarak açıklama kısmına yazıyor. Bu yeni etkinlik, saldırgan tarafından okunabiliyor.

Bu durum, yapay zekanın sadece dışarıdan gelen komutları değil, okuduğu dokümanlardaki talimatları da "emir" olarak algılamasından kaynaklanıyor. Benzer risklerin Microsoft Copilot, Anthropic Claude Code ve Cursor gibi ajan tabanlı kodlama araçlarında da bulunduğu; bu araçların ortam değişkenlerini manipüle ederek uzaktan kod yürütülmesine (RCE) bile imkan tanıdığı rapor edildi. Özellikle "Vibe Coding" olarak adlandırılan yapay zeka destekli kodlama süreçlerinde, YZ ajanlarının iş mantığı ve yetkilendirme kurallarını uygulamada başarısız olduğu görüldü.

Google, rapor edilen bu spesifik açığı ele almış olsa da; yaşananlar siber güvenliğin artık sadece kod hatalarıyla sınırlı olmadığını, "dil ve bağlam"ın da birer saldırı yüzeyi haline geldiğini kanıtlıyor. Yapay zeka araçlarının kurumsal iş akışlarına dahil edilmesi, beraberinde "görünmez" güvenlik risklerini getiriyor. Uzmanlar, YZ sistemlerinin kurumsal verilere erişirken sıkı bir denetimden geçirilmesi ve özellikle ajan tabanlı sistemlerde insan gözetiminin (human-in-the-loop) asla terk edilmemesi gerektiği konusunda uyarıyor. Yapay zekanın "çift taraflı bir ajana" dönüşmemesi için kuruluşların, düşük yetkili hizmet hesaplarını ve veri erişim izinlerini yeniden gözden geçirmesi kritik önem taşıyor.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Dikkat! LinkedIn Mesajları Arkasına Saklanan Uzaktan Erişim Truva Atı

Tarih: 20 Ocak 2026

Siber güvenlik dünyası, LinkedIn üzerinden gönderilen özel mesajlarla üst düzey yöneticileri ve kritik personeli hedef alan tehlikeli bir kimlik avı (phishing) kampanyasına karşı teyakkuzda. ReliaQuest tarafından paylaşılan rapora göre; saldırganlar, yasal görünen PDF okuyucu uygulamaları ve açık kaynaklı kodları kullanarak sistemlere "Uzaktan Erişim Truva Atı" (RAT) yerleştiriyor. "DLL Yan Yüklemesi" (DLL Side-Loading) adı verilen gelişmiş bir teknikle gerçekleştirilen bu saldırılar, kurumsal güvenlik filtrelerini kolaylıkla aşabiliyor.

Saldırı, LinkedIn'de kurulan sahte bir güven ilişkisiyle başlıyor. Kurban, meşru bir iş süreci veya döküman paylaşıldığını sanarak WinRAR (SFX) formatında bir dosya indirmeye ikna ediliyor. Bu dosya çalıştırıldığında, sistemde şu bileşenler devreye giriyor:

Saldırı Zinciri ve Teknik Detaylar:

- Bileşenlerin Ayrıştırılması: Arşiv dosyasından meşru bir PDF okuyucu uygulaması, kötü amaçlı bir DLL dosyası ve bir Python yorumlayıcısı çıkıyor.
- DLL Yan Yükleme (Side-Loading): Yasal PDF uygulaması çalıştırıldığında, uygulama kendi kütüphanesi sandığı sahte ve zararlı DLL dosyasını belleğe yükler. Bu durum, saldırının "güvenilir bir uygulama" adı altında tespit edilmeden çalışmasını sağlar.
- Kalıcılık ve Bellek İçi Yürütme: Saldırganlar, Windows Kayıt Defteri'ne (Registry) bir anahtar ekleyerek Python yorumlayıcısının her oturum açılışında çalışmasını sağlar. Diskte iz bırakmamak için zararlı kodlar doğrudan bilgisayarın belleğinde (RAM) yürütülür, bu da geleneksel antivirüslerin tespitini zorlaştırır.

ReliaQuest, bu yöntemin sosyal medya platformlarında denetimin e-postalara göre çok daha düşük olması nedeniyle tercih edildiğini vurguluyor. Geçmişte Kuzey Koreli hacker grupları tarafından da benzer "sahte iş mülakatı" yöntemlerinin kullanıldığı bilinirken, bu son kampanyanın daha geniş kapsamlı ve fırsatçı olduğu belirtiliyor.

Siber saldırganların LinkedIn ve benzeri profesyonel ağları birer "ilk erişim" noktası olarak kullanması, kurumsal güvenlik stratejilerinin sadece e-posta korumasıyla sınırlı kalmaması gerektiğini gösteriyor. Uzmanlar, LinkedIn üzerinden tanınmayan kişilerden gelen dosyaların asla açılmaması ve kurumsal cihazlarda uygulama beyaz listeye alma (whitelisting) politikalarının uygulanması gerektiğini hatırlatıyor. Kuruluşların sosyal medyayı da bir saldırı yüzeyi olarak kabul etmesi, gelecekteki veri sızıntılarını önlemede hayati bir adım olarak görülüyor.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Siber Güvenlik Terimi
  2. Exploitler
  3. Zafiyetler
  4. Zararlı Yazılımlar
  5. Haber Yazıları