2026’nın İlk Çeyreğinde Öne Çıkan 5 Kritik Siber Tehdit ve Güvenlik Açıkları

Anasayfa » 2026’nın İlk Çeyreğinde Öne Çıkan 5 Kritik Siber Tehdit ve Güvenlik Açıkları
APT, Kimlik Avı, Zafiyetler
Ocak 14, 2026Ocak 14, 2026Tarafından Cybernews.TR
0
2026’nın İlk Çeyreğinde Öne Çıkan 5 Kritik Siber Tehdit ve Güvenlik Açıkları

Saldırının Genel Çerçevesi

2026 yılının ilk aylarında, n8n iş akışı otomasyon platformunda kimlik doğrulaması gerektirmeyen kritik bir uzak kod yürütme açığı (CVE-2026-21858) keşfedildi. Bu zafiyet, özellikle 1.121.0 öncesi sürümleri kullanan yerel kurulumlarda etkili olup, saldırganların özel hazırlanmış multipart/form-data istekleriyle otomasyon ortamını ele geçirmesine olanak tanıyor. Yaklaşık 59.500 internet erişimli sistem halen bu açığa karşı savunmasız durumda bulunuyor.

Benzer şekilde, Kimwolf adlı botnet, Aisuru kötü amaçlı yazılımının Android varyantı olarak 2 milyondan fazla cihazı enfekte etti. Bu botnet, konut proxy ağlarındaki açıkları kullanarak iç ağlardaki cihazlara erişiyor ve Android Debug Bridge (ADB) servislerini kimlik doğrulaması olmadan hedef alıyor. Bu durum, cihazların uzaktan kontrol edilmesine ve zararlı kabuk betiklerinin çalıştırılmasına olanak sağlıyor.

Çin Bağlantılı Gelişmiş Tehdit Aktörlerinin Faaliyetleri

Çin kaynaklı tehdit aktörleri, SonicWall VPN cihazlarını ele geçirerek VMware ESXi sunucularına yönelik sıfır gün açıklarını (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) kullanarak saldırılar düzenledi. Bu saldırılar, yönetici ayrıcalıklarıyla VMX sürecinden bellek sızdırma ve kod yürütme imkanı sağlıyor. Ayrıca, UAT-7290 adlı gelişmiş bir siber casusluk kampanyası Güney Asya telekom altyapılarını hedef alıyor; RushDrop, DriveSwitch ve SilentRaid gibi kötü amaçlı yazılımlar dağıtılıyor.

Zararlı Uzantılar ve Kimlik Avı Operasyonları

Chrome Web Mağazası’nda yer alan Chat GPT for Chrome with GPT-5 ve AI Sidebar with DeepSeek gibi uzantılar, prompt hırsızlığı yöntemiyle OpenAI ChatGPT ve DeepSeek sohbet verilerini saldırganların kontrolündeki sunuculara sızdırdı. Toplamda 900.000 kez indirilen bu uzantılar Google tarafından kaldırıldı.

WeChat platformu üzerinden gerçekleştirilen kimlik avı operasyonlarında %3475 artış gözlemlendi. Bu kampanyalar, ABD ve EMEA bölgelerinde iş fırsatı temalı tuzaklı e-postalarla kurbanları WeChat üzerinden dolandırmaya yönlendiriyor. Ayrıca, yeni bir kimlik avı kampanyası GuLoader yükleyicisini kullanarak Remcos RAT dağıtıyor.

Öne Çıkan Diğer Güvenlik Olayları ve Açıklar

PHALT#BLYX adlı çok aşamalı kötü amaçlı yazılım kampanyası, Avrupa’da konaklama sektörünü hedef alıyor. Sosyal mühendislik teknikleriyle kullanıcıları zararsız görünen komutları manuel çalıştırmaya ikna ediyor ve MSBuild.exe’yi kullanarak kötü amaçlı projeleri derleyip çalıştırıyor. Ayrıca, zlib kütüphanesinin untgz aracında (CVE-2026-22184) kritik bir tampon taşması açığı tespit edildi.

Salt Typhoon adlı Çinli hacker grubu, ABD Temsilciler Meclisi personeline yönelik saldırılar gerçekleştirdi. BreachForums veritabanı ise ShinyHunters fidye grubu tarafından 323.986 kullanıcı kaydıyla sızdırıldı. Siber güvenlik alanında React2Shell açığına yönelik 8,1 milyon saldırı oturumu kaydedildi.

Siber Güvenlik Ekipleri İçin Pratik Öneriler

  • n8n ve benzeri otomasyon platformlarında kullanılan sürümleri düzenli olarak güncelleyin ve kimlik doğrulamasız erişimleri engelleyin.
  • Android cihazlarda ADB servislerinin ağ üzerinden erişimini kısıtlayın ve konut proxy ağlarında segmentasyon uygulayın.
  • VMware ESXi ve SonicWall VPN cihazları için yayınlanan yamaları hızlıca uygulayın ve çekirdek modül imzalama kontrollerini etkinleştirin.
  • Tarayıcı uzantılarını yalnızca güvenilir kaynaklardan yükleyin ve prompt hırsızlığı gibi yeni tehditlere karşı kullanıcı eğitimleri düzenleyin.
  • WeChat ve benzeri platformlarda kimlik avı e-postalarına karşı çok faktörlü kimlik doğrulama (MFA) ve e-posta güvenliği çözümleri kullanın.
  • Olay müdahale (incident response) süreçlerinizi güncel tutun ve SIEM ile EDR çözümlerini entegre ederek anomali tespiti yapın.
  • Kurumsal ağlarda ağ segmentasyonu ve Zero Trust mimarisi uygulayarak saldırı yüzeyini azaltın.
  • Güvenlik açıklarını takip etmek için CVE veritabanlarını düzenli kontrol edin ve kritik açıklar için öncelikli yama planları oluşturun.

Teknik Özet

  • Kullanılan zararlılar ve araçlar: Kimwolf botnet, RushDrop, DriveSwitch, SilentRaid, GuLoader, Remcos RAT, PHALT#BLYX, React2Shell.
  • Hedef sektörler ve bölgeler: Telekom altyapıları (Güney Asya), Android cihazlar (global), Avrupa konaklama sektörü, ABD hükümet kurumları.
  • Kritik zafiyetler: CVE-2026-21858 (n8n), CVE-2025-22224/25/26 (VMware ESXi), CVE-2026-22184 (zlib), CVE-2026-0830 (Kiro GitLab Merge Request Helper).
  • Saldırı zinciri örneği: Kimlik avı e-postası → kötü amaçlı yükleyici (GuLoader) → uzaktan erişim trojanı (Remcos) kurulumu → veri sızıntısı ve kontrol ele geçirme.
  • Temel savunma yaklaşımları: Güncel yamaların uygulanması, ağ segmentasyonu, MFA kullanımı, EDR ve SIEM entegrasyonu, kullanıcı farkındalığı eğitimi.
, , , , , , ,