2025 yılının ilk çeyreğinde Fortinet güvenlik duvarlarında yamalanmamış kritik açıkların yeniden istismar edildiği gözlemlendi. CVE-2025-59718 ve CVE-2025-59719 kodlu bu zafiyetler, FortiCloud SSO kimlik doğrulamasını atlayarak yetkisiz erişime olanak sağlıyor. İlginç olan ise, bu açıkların yamalanmış cihazlarda bile aktif olarak kullanılması; bu durum, saldırganların yeni yöntemlerle eski açıklardan faydalandığını gösteriyor.
Yapay Zeka Destekli Kötü Amaçlı Yazılımlar ve Yeni Saldırı Vektörleri
Linux tabanlı bulut sunucularını hedef alan VoidLink adlı kötü amaçlı yazılımın büyük ölçüde yapay zeka (YZ) tarafından geliştirildiği tespit edildi. Geliştiricinin bıraktığı geliştirme planları, YZ’nin kod üretiminde düzenli kontrol noktaları kullandığını ortaya koydu. Bu durum, YZ’nin saldırı kapasitesini artırırken, saldırganların kimlik tespiti ve saldırı analizi süreçlerini zorlaştırıyor. Check Point araştırmacıları, VoidLink’in MITRE ATT&CK teknikleri arasında T1059 (Komut ve Kabuk) ve T1071 (Uygulama Katmanı Protokolleri) gibi yöntemleri kullandığını belirtti.
Öne Çıkan Kritik Güvenlik Açıkları
GNU InetUtils telnetd bileşeninde CVE-2026-24061 numaralı, 9.8 CVSS skoruna sahip kritik bir açık ortaya çıktı. Bu zafiyet, kimlik doğrulaması olmadan Telnet oturumu açılmasına ve root yetkisiyle komut çalıştırılmasına izin veriyor. Ayrıca, Zoom, GitLab, Cisco Unified Communications ve Microsoft SQL Server gibi popüler yazılımlarda da yüksek riskli açıklara dair raporlar yayınlandı. Bu açıkların hızlıca yamalanması, ağ segmentasyonu ve çok faktörlü kimlik doğrulama (MFA) kullanımı kritik önem taşıyor.
Phishing ve Vishing Saldırılarında Yeni Taktikler
Sesli oltalama (vishing) saldırılarında kimlik sağlayıcıların gerçek zamanlı kimlik doğrulama akışları hedefleniyor. Okta gibi platformlar, tehdit aktörlerinin özel oltalama kitleriyle kullanıcıların tarayıcı oturumlarını kontrol altına aldığını bildiriyor. Ayrıca, Mamba ve Stanley gibi phishing-as-a-service (PhaaS) araçları, operasyonel verimlilik ve ölçeklenebilirlik sağlamak için gelişmiş URL kaçırma ve otomatik görev çalıştırma özellikleri sunuyor.
Tarayıcı Uzantıları ve Tedarik Zinciri Saldırıları
Malvertising kampanyaları kapsamında NexShield adlı sahte Chrome ve Edge uzantıları, tarayıcı çökertilip ardından ModeloRAT adlı Python tabanlı uzaktan erişim aracı dağıtmak için kullanıldı. Ayrıca, PasteReady ve H-Chat Assistant gibi kötü amaçlı Chrome uzantıları, OpenAI API anahtarlarını ve kullanıcı verilerini çalarak büyük ölçekli veri sızıntılarına yol açtı. EmEditor tedarik zinciri saldırısı ise belirli coğrafi bölgelerdeki kullanıcıları hedef alarak çok aşamalı kötü amaçlı yazılım dağıtımı gerçekleştirdi.
Siber Güvenlik Ekipleri İçin Pratik Öneriler
- Fortinet ve diğer kritik altyapı cihazlarında yamaların tam olarak uygulandığından emin olun.
- Telnet ve eski protokollerin kullanımı mümkünse kaldırılmalı veya sıkı erişim kontrolleriyle sınırlandırılmalı.
- Phishing ve vishing saldırılarına karşı e-posta güvenliği çözümleri ve kullanıcı farkındalığı artırılmalı.
- Tarayıcı uzantıları düzenli olarak denetlenmeli, bilinmeyen veya şüpheli uzantılar kaldırılmalı.
- EDR ve SIEM sistemleri, yapay zeka destekli kötü amaçlı yazılım davranışlarını tespit edecek şekilde yapılandırılmalı.
- Kimlik ve erişim yönetimi (IAM) politikaları, MFA ve Zero Trust prensipleri doğrultusunda güncellenmeli.
- Olay müdahale (incident response) planları, yeni saldırı tekniklerine karşı güncellenmeli ve tatbikatlarla test edilmeli.
Teknik Özet
- Kullanılan zararlılar: VoidLink, ModeloRAT, Mamba PhaaS, Stanley Chrome uzantısı.
- Hedef sektörler: Bulut hizmetleri, geliştirici ortamları, finans, kamu ve kritik altyapılar.
- Kullanılan zafiyetler: CVE-2025-59718, CVE-2025-59719, CVE-2026-24061 ve diğer kritik CVE’ler.
- Saldırı zinciri: Başlangıçta phishing veya oltalama, ardından kimlik doğrulama atlama, kötü amaçlı yazılım yükleme ve uzaktan erişim sağlama.
- Önerilen savunma: Hızlı yama uygulaması, ağ segmentasyonu, MFA, EDR/SIEM entegrasyonu ve kullanıcı eğitimi.