ABD siber güvenlik otoritesi, Langflow ve Trend Micro Apex One ürünlerini etkileyen iki zafiyeti bilinen istismar edilen açıklar kataloğuna ekledi. Kararın arkasında, bu açıkların sahada kötüye kullanıldığına dair bulgular bulunuyor. Kurumsal ağlarda yapay zekâ iş akışları, otomasyon platformları ve uç nokta yönetim sistemleri kullanan ekipler için bu gelişme, yama önceliklendirmesinin yeniden gözden geçirilmesi gerektiği anlamına geliyor.
Listede yer alan açıklar, biri uzaktan kod çalıştırmaya, diğeri ise yerel ayrıcalıklarla sunucu tarafında kötü amaçlı kod enjekte etmeye kadar uzanan riskler taşıyor. Özellikle internetten erişilebilen yönetim panelleri, zayıf kimlik doğrulama akışları ve gecikmiş yama döngüleri, bu tür zafiyetlerin hızla saldırı yüzeyine dönüşmesine neden olabiliyor.
Hangi Zafiyetler Öne Çıkıyor?
İlk zafiyet CVE-2025-34291. Bu açık, Langflow tarafında bir origin doğrulama hatası olarak tanımlanıyor ve saldırganın keyfi kod çalıştırmasına, hatta sistemin tamamen ele geçirilmesine yol açabiliyor. NVD kaydı: https://nvd.nist.gov/vuln/detail/CVE-2025-34291.
İkinci zafiyet ise CVE-2026-34926. Trend Micro Apex One’ın on-premise sürümlerinde görülen bu dizin aşımı hatası, ön kimlik doğrulamalı yerel bir saldırganın sunucudaki kritik bir tabloyu değiştirmesine ve ajanlara dağıtılacak kötü amaçlı kodu enjekte etmesine imkan verebiliyor. NVD kaydı: https://nvd.nist.gov/vuln/detail/CVE-2026-34926.
Saldırı Zinciri ve Teknik Arka Plan
Langflow tarafındaki risk, yalnızca tek bir hatadan ibaret değil. Güvenlik analizleri, aşırı izinli CORS yapılandırması, CSRF korumasının eksikliği ve tasarım gereği kod çalıştırmaya izin veren bir uç noktanın birleşerek saldırı yüzeyini büyüttüğünü gösteriyor. Bu tür kombinasyonlar, özellikle SaaS entegrasyonları, API anahtarları ve erişim belirteçleri aynı çalışma alanında tutuluyorsa, zincirleme etki yaratabiliyor.
Bu senaryoda tipik saldırı akışı şu şekilde ilerleyebilir: saldırgan önce zafiyeti tetikler, ardından çalışma alanındaki token ve API anahtarlarını toplar, son aşamada da bağlı bulut servislerine sıçrayarak IAM, CI/CD veya veri işleme hatlarını hedef alır. Bu nedenle olay müdahale ekipleri yalnızca uygulama katmanını değil, ilgili kimlik bilgisi sızıntısı ihtimalini de incelemeli.
Trend Micro Apex One tarafında ise risk daha çok kurumsal uç nokta yönetimi ve ajan dağıtım zinciri üzerinde yoğunlaşıyor. Bir yönetim sunucusunun ele geçirilmesi, EDR politikalarının değiştirilmesi, zararlı yüklerin istemcilere itilmesi veya savunma mekanizmalarının devre dışı bırakılması gibi sonuçlar doğurabilir. Bu da saldırıyı klasik bir açık istismarından çıkarıp daha geniş bir kurumsal ihlal senaryosuna dönüştürür.
Aktif İstismar ve Olası Saldırı Senaryoları
Yapılan son değerlendirmeler, Langflow açığının daha önce bir devlet destekli tehdit aktörü tarafından ilk erişim elde etmek amacıyla kullanıldığını ortaya koyuyor. Bu tür gruplar genellikle doğrudan veri hırsızlığından önce kalıcılık kurar, ardından ağ içinde keşif yapar ve ayrıcalık yükseltme fırsatlarını arar. MITRE ATT&CK açısından bu tablo; initial access, credential access ve lateral movement aşamalarıyla uyumlu bir saldırı zincirine işaret ediyor.
Trend Micro tarafında da sahada istismar girişimi gözlemlendiği belirtiliyor. Ancak bu açık yalnızca on-premise kurulumlarda etkili oluyor ve saldırganın sunucuya erişiminin yanı sıra başka bir yöntemle yönetici kimlik bilgilerini de elde etmiş olması gerekiyor. Bu ayrıntı önemli; çünkü tehdit, internetten rastgele tarama yapan bir aktörden çok, önceden içeri sızmış veya kimlik bilgisi toplamış bir saldırgan profiline daha yakın duruyor.
Kurumsal Ekipler İçin Öncelikli Kontroller
Bu iki zafiyet, özellikle bulut güvenliği, ağ segmentasyonu ve e-posta güvenliği gibi alanlarla birlikte ele alınmalı. Çünkü ilk erişim çoğu zaman tek başına bir açıkla değil, kimlik avı, çalınmış oturum bilgileri veya yanlış yapılandırılmış yönetim arayüzleriyle birleşerek kritik etki yaratıyor.
SOC ve sistem yöneticileri için pratik bir kontrol listesi şöyle özetlenebilir:
– Langflow ve Apex One kurulumlarının sürüm envanterini çıkarın ve etkilenen örnekleri önceliklendirin.
– İnternete açık yönetim panellerini kapatın ya da yalnızca VPN, bastion host veya Zero Trust erişim politikalarıyla sınırlandırın.
– WAF, reverse proxy ve firewall günlüklerinde ilgili CVE’lerle ilişkili anormal istekleri arayın.
– EDR üzerinde şüpheli süreç oluşturma, komut satırı enjeksiyonu ve beklenmeyen child process davranışları için kural yazın.
– Kimlik bilgisi sızıntısı ihtimaline karşı API anahtarlarını, servis hesaplarını ve erişim belirteçlerini döndürün.
– SIEM tarafında yönetim sunucularına yönelik başarısız oturum açma denemeleri, sıra dışı dosya değişiklikleri ve yeni ajan dağıtımlarını korele edin.
– Ağ segmentasyonu uygulayarak yönetim katmanını kullanıcı ve üretim ağından ayırın.
– Olay müdahale planında, etkilenen sunucuların izolasyonu ve log bütünlüğü doğrulamasını ilk adımlardan biri haline getirin.
Uyumluluk ve Yama Takvimi
Aktif istismar bulguları nedeniyle federal sivil yürütme kurumlarının ilgili düzeltmeleri 4 Haziran 2026 tarihine kadar uygulaması gerekiyor. Bu tür zorunlu takvimler, yalnızca kamu kurumları için değil, düzenlemeye tabi sektörlerde çalışan özel kuruluşlar için de iyi bir referans oluşturuyor. Finans, sağlık, kritik altyapı ve yönetilen hizmet sağlayıcıları, benzer önceliklendirme mantığını kendi yama süreçlerine uyarlamalı.
Kurumsal ortamda asıl risk, tek bir zafiyetin varlığından çok, o zafiyetin kimlik yönetimi, loglama, yedekleme ve erişim kontrolüyle nasıl kesiştiğiyle belirleniyor. Bu nedenle güvenlik ekipleri, yalnızca yamayı uygulamakla yetinmemeli; aynı zamanda oturum kayıtlarını, yönetim API çağrılarını, ajan dağıtım hareketlerini ve olağandışı dış bağlantıları da geriye dönük olarak incelemeli.
Teknik Özeti
İlgili CVE’ler: CVE-2025-34291, CVE-2026-34926
Etkilenen ürünler: Langflow, Trend Micro Apex One on-premise
Olası etki: Uzaktan kod çalıştırma, sunucu ele geçirme, ajanlara kötü amaçlı kod dağıtımı, kimlik bilgisi sızıntısı
Önerilen savunma yaklaşımı: Acil yama, yönetim arayüzlerini kısıtlama, MFA, ağ segmentasyonu, EDR/SIEM korelasyonu, token rotasyonu ve olay müdahale hazırlığı
Bu gelişme, kurumsal ekiplerin yalnızca açık kapatmaya değil, saldırı zincirinin tamamını görünür kılmaya odaklanması gerektiğini bir kez daha gösteriyor. Özellikle otomasyon platformları ve uç nokta yönetim sistemleri, saldırganlar için yüksek değerli hedefler olmaya devam ediyor.