Bu hafta siber güvenlik dünyasında Apple ve Google tarafından yayımlanan kritik 0-gün açıkları, WinRAR ve React2Shell gibi popüler yazılımlardaki aktif sömürüler öne çıktı. Ayrıca .NET Framework’teki SOAPwn açığı, yeni AitM (arasında-adversary) oltalama kampanyaları ve Hamas bağlantılı WIRTE grubunun Orta Doğu hedefli casusluk faaliyetleri dikkat çekti.
Apple ve Google 0-Gün Açıkları
Apple, iOS, macOS, watchOS, visionOS ve Safari dahil olmak üzere birçok platformda iki kritik 0-gün açığını (CVE-2025-14174 ve CVE-2025-43529) kapattı. Bu açıklar, kötü amaçlı hazırlanmış web içeriği üzerinden rastgele kod yürütülmesine olanak tanıyor. CVE-2025-14174, açık kaynaklı Almost Native Graphics Layer Engine (ANGLE) kütüphanesindeki bir bellek bozulması hatası olup, Google Chrome’da da ele alındı. Şu anda bu açıkların ticari casus yazılım satıcıları tarafından kullanıldığına dair kanıtlar mevcut.
.NET SOAPwn Açığı ve Sömürü Yöntemleri
.NET uygulamalarında HTTP istemci proxy’lerinin dosya sistemine yazma davranışındaki beklenmedik bir hata, SOAPwn kod adıyla anılan uzaktan kod yürütme (RCE) açığını ortaya çıkardı. Saldırganlar, SOAP API uç noktalarına rastgele URL’ler göndererek NTLM meydan okuması sızdırabilir ve kötü amaçlı PowerShell betikleri veya web kabukları yükleyebilir. Bu zafiyet, WSDL ithalatları yoluyla da istismar edilebiliyor. Bu durum, .NET Framework’ün HTTP proxy’lerinin yerel dosya sistemine yazmaya izin vermesinden kaynaklanıyor.
WinRAR ve React2Shell Açıkları Aktif Sömürülüyor
WinRAR’daki yüksek şiddetli CVE-2025-6218 açığı, GOFFEE, Bitter ve Gamaredon gibi tehdit aktörleri tarafından aktif şekilde kullanılıyor. ABD CISA, bu açığı Bilinen Sömürülen Açıklar (KEV) listesine ekleyerek kurumlara 30 Aralık 2025’e kadar yama zorunluluğu getirdi. React2Shell (CVE-2025-55182) açığı ise Çin bağlantılı UNC6600, UNC6586, UNC6588 gibi gruplar tarafından çeşitli kötü amaçlı yazılımlar dağıtmak için sömürülüyor. Bu saldırılar, yamalanmamış React ve Next.js sürümlerini kullanan kurumlar için ciddi risk oluşturuyor.
Yeni AitM Oltalama Kampanyaları ve OAuth Dolandırıcılıkları
Microsoft 365 ve Okta kullanıcılarını hedef alan yeni AitM oltalama saldırıları, çok faktörlü kimlik doğrulamayı atlamak için SSO akışlarını ele geçiriyor. Ayrıca ConsentFix adı verilen yeni bir OAuth tabanlı saldırı yöntemi, kullanıcıları yetkilendirme kodlarını saldırgan kontrollü sayfalara yapıştırmaya ikna ediyor. Bu teknik, ClickFix saldırılarının tespit edilmesini zorlaştırıyor ve Rus devlet destekli hackerların kullandığı varyantlarla benzerlik gösteriyor.
Hamas Bağlantılı WIRTE Grubu Orta Doğu’da Aktif
WIRTE (Ashen Lepus) adlı siber tehdit grubu, 2018’den beri Orta Doğu’daki hükümet ve diplomatik kurumlarda casusluk faaliyetleri yürütüyor. Grup, hedefli oltalama e-postalarıyla AshTag adlı modüler kötü amaçlı yazılımı dağıtıyor. İsrail-Hamas çatışması sırasında da aktif kalan grup, yeni kötü amaçlı yazılım varyantlarıyla saldırılarını sürdürüyor.
Siber Güvenlik Ekipleri İçin Pratik Kontrol Listesi
- Apple ve Google tarafından yayımlanan kritik 0-gün yamalarını derhal uygulayın.
- .NET uygulamalarında SOAPwn açığını önlemek için HTTP proxy yapılandırmalarını gözden geçirin ve dosya sistemi erişimini kısıtlayın.
- WinRAR ve React gibi popüler yazılımların en güncel sürümlerini kullanın ve KEV listelerini takip edin.
- OAuth tabanlı saldırılara karşı kullanıcı eğitimleri düzenleyin ve MFA politikalarını güçlendirin.
- SSO akışlarında olağan dışı trafik ve kimlik doğrulama hatalarını SIEM sistemleriyle izleyin.
- Phishing saldırılarına karşı e-posta güvenliği çözümlerini güncel tutun ve saldırı simülasyonları yapın.
- APT faaliyetlerine karşı tehdit istihbaratını takip edin ve olay müdahale planlarını güncelleyin.
- Bulut güvenliği ve ağ segmentasyonu uygulamalarını güçlendirerek lateral hareketi zorlaştırın.
Teknik Özet
- Kullanılan zararlılar ve araçlar: AshTag, React2Shell, MINOCAT, SNOWLIGHT, COMPOOD, HISONIC, ANGRYREBEL.LINUX, SpyGlace, LOTUSHARVEST.
- Hedef sektörler ve bölgeler: Orta Doğu hükümet kurumları, Çin bağlantılı casusluk faaliyetleri, ABD ve Avrupa kurumsal kullanıcıları, Vietnam BT ve İK şirketleri, Hindistan hükümet ağları.
- Kritik CVE’ler: CVE-2025-14174, CVE-2025-43529 (Apple/Google), CVE-2025-6218 (WinRAR), CVE-2025-55182 (React), CVE-2025-59230 (Windows RasMan).
- Saldırı zinciri: Başlangıçta oltalama veya kötü amaçlı dosya dağıtımı, ardından C2 iletişimi ve uzaktan kod yürütme, veri sızıntısı veya sistem kontrolü.
- Önerilen savunma: Kritik yamaların hızlı uygulanması, güçlü IAM ve MFA politikaları, EDR ve SIEM ile anomali tespiti, kullanıcı farkındalığı ve ağ segmentasyonu.