ABD siber güvenlik otoritelerinin güncellediği bilinen istismar edilen zafiyetler listesine, biri yapay zekâ iş akışı platformunu, diğeri kurumsal uç nokta güvenlik ürününü etkileyen iki kritik açık daha eklendi. Bu adım, sahada aktif saldırı belirtileri görüldüğü için atıldı ve özellikle bulut tabanlı geliştirme ortamları ile şirket içi güvenlik yönetim konsollarını kullanan kurumlar için acil yama ihtiyacını öne çıkardı.
Listede yer alan açıklar; Langflow üzerindeki CVE-2025-34291 ve Trend Micro Apex One’ın şirket içi sürümünü etkileyen CVE-2026-34926 olarak kayda geçti. İlk zafiyet uzaktan kod çalıştırmaya kadar gidebilen bir origin doğrulama hatası içerirken, ikinci açık ön kimlik doğrulaması yapılmış yerel bir saldırganın sunucu tarafında kötü amaçlı kod enjekte etmesine imkân tanıyabilecek bir dizin aşımı problemi olarak tanımlanıyor.
Saldırı Zinciri ve Teknik Arka Plan
Langflow tarafındaki sorun, tek başına bir hata değil; birden fazla zayıflığın birleşmesiyle tehlikeli hale geliyor. Güvenlik analizlerine göre aşırı izinli CORS yapılandırması, CSRF korumasının eksikliği ve tasarım gereği kod çalıştırmaya izin veren bir uç nokta, saldırganın oturum bağlamı içinde yetki yükseltmesine ve sistem üzerinde komut çalıştırmasına zemin hazırlıyor. Bu tür zincirler, özellikle API anahtarları, erişim token’ları ve otomasyon sırlarının aynı çalışma alanında tutulduğu ortamlarda daha yıkıcı sonuçlar doğurabiliyor.
Bu noktada risk yalnızca tek bir sunucuyla sınırlı kalmıyor. Bir Langflow örneği ele geçirildiğinde, bağlı SaaS servisleri, bulut entegrasyonları ve CI/CD akışları üzerinden yatay hareket mümkün hale gelebiliyor. Bu nedenle olay, e-posta güvenliği ya da klasik uç nokta korumasının ötesinde, bulut güvenliği ve kimlik erişim yönetimi (IAM) katmanlarını da doğrudan ilgilendiriyor.
Trend Micro Apex One tarafında ise tablo farklı. Zafiyet yalnızca şirket içi kurulumlarda etkili oluyor ve saldırganın hedef sunucuya erişim sağlamış olması gerekiyor. Ancak üretici açıklamasına göre, en az bir aktif istismar girişimi sahada gözlemlendi. Bu da, yönetim konsolları internete açık bırakılmış kurumlarda veya zayıf ayrıştırılmış yönetim ağlarında riskin hızla büyüyebileceğini gösteriyor.
Hangi Ortamlar Daha Fazla Risk Altında?
Bu iki açık, farklı teknik yüzeylere dokunsa da ortak bir mesaj veriyor: yönetim arayüzleri, otomasyon platformları ve güvenlik ürünleri saldırganlar için yüksek değerli hedefler olmaya devam ediyor. Özellikle yazılım geliştirme ekipleri, veri bilimi ekipleri, MSSP’ler, kurumsal SOC ekipleri ve çok kiracılı SaaS sağlayıcıları bu tür zafiyetlerden daha fazla etkilenebilir.
Kurumsal bir senaryoda, örneğin bir SaaS sağlayıcısının Langflow tabanlı bir iş akışı motoru üzerinden müşteri verilerini işlediğini düşünelim. Saldırgan, origin doğrulama hatasını ve CSRF eksikliğini birleştirerek yönetim oturumunu ele geçirebilir, ardından çalışma alanındaki gizli anahtarları toplayabilir. Bu anahtarlar bulut depolama, mesajlaşma servisleri veya veri ambarlarına erişim sağlıyorsa, olay kısa sürede geniş çaplı bir ihlale dönüşebilir.
Benzer şekilde, bir kurumun Apex One yönetim sunucusu iç ağda yeterince ayrıştırılmamışsa, saldırgan önce başka bir yöntemle yönetici kimlik bilgisi elde edip ardından dizin aşımı zafiyetini kullanarak ajanlara kötü amaçlı içerik dağıtabilir. Bu tür bir senaryo, EDR politikalarının devre dışı bırakılması, savunma araçlarının manipüle edilmesi veya son aşamada fidye yazılımı dağıtımı için uygun bir zemin oluşturabilir.
Teknik Olarak Ne Yapılmalı?
Güvenlik ekipleri için ilk adım, etkilenen sürümlerin hızlıca envanterden çıkarılması ve üreticinin yayımladığı düzeltmelerin uygulanması olmalı. Bunun yanında, yalnızca yama yüklemek yeterli değil; yönetim konsollarına erişim ağ segmentasyonu ile sınırlandırılmalı, internetten doğrudan erişim kapatılmalı ve mümkünse sıfır güven yaklaşımıyla çok faktörlü kimlik doğrulama zorunlu hale getirilmeli.
Olay müdahale ekipleri için de log görünürlüğü kritik. Özellikle kimlik doğrulama günlükleri, reverse proxy kayıtları, WAF uyarıları, uygulama hata logları, yönetim paneli erişim kayıtları ve EDR telemetrisi birlikte incelenmeli. Şüpheli CORS istekleri, beklenmeyen POST çağrıları, yeni oluşturulan API anahtarları, olağandışı oturum açma denemeleri ve yönetim sunucusundan ajanlara giden anormal dağıtım trafiği, erken uyarı işaretleri arasında sayılmalı.
MITRE ATT&CK açısından bakıldığında, bu tür vakalar çoğu zaman Initial Access, Exploitation for Client Execution, Valid Accounts ve Command and Scripting Interpreter teknikleriyle örtüşüyor. Eğer saldırgan çalışma alanı sırlarına ulaşırsa, ardından Cloud Service Dashboard, Steal Application Access Token ve Exfiltration Over Web Service gibi taktikler de devreye girebilir.
SOC ve Sistem Yöneticileri İçin Kısa Kontrol Listesi
• Langflow ve Apex One kurulumlarının sürüm envanterini çıkarın ve etkilenen örnekleri önceliklendirin.
• Yönetim panellerini yalnızca iç ağdan erişilebilir hale getirin; mümkünse VPN ve koşullu erişim politikaları uygulayın.
• MFA’yı yönetici hesaplarında zorunlu kılın ve ayrıcalıklı hesapları PAM ile izole edin.
• WAF, reverse proxy ve uygulama loglarında anormal origin, CORS ve CSRF davranışlarını arayın.
• EDR üzerinde yeni süreç oluşturma, şüpheli script çalıştırma ve beklenmeyen servis değişiklikleri için kural yazın.
• Bulut sırlarını, API anahtarlarını ve token’ları düzenli döndürün; düz metin saklanan kimlik bilgilerini kaldırın.
• SIEM üzerinde yönetim sunucusundan ajanlara giden toplu dağıtım trafiği için alarm eşikleri belirleyin.
• Olay müdahale planında yama, izolasyon, kimlik sıfırlama ve adli kopya alma adımlarını önceden tanımlayın.
Uyumluluk ve Operasyonel Etki
Aktif istismar edilen açıkların KEV kataloğuna girmesi, yalnızca teknik bir uyarı değil aynı zamanda operasyonel bir zorunluluk anlamına geliyor. Federal kurumlar için belirlenen son tarih, bu tür açıkların ne kadar hızlı kapatılması gerektiğini gösteriyor; ancak benzer disiplinin özel sektörde de uygulanması gerekiyor. Özellikle kritik altyapı, finans, sağlık ve yönetilen hizmet sağlayıcıları, bu tür yönetim yüzeyi açıklarını risk kayıtlarında üst sıraya taşımalı.
Özetle, bu gelişme bir kez daha gösteriyor ki saldırganlar çoğu zaman doğrudan kullanıcı uçlarına değil, güvenlik ve otomasyon katmanlarına yöneliyor. Kurumlar yama yönetimini hızlandırırken, ağ segmentasyonu, kimlik güvenliği, bulut güvenliği ve olay müdahale süreçlerini birlikte ele almadıkça benzer vakalar tekrar gündeme gelebilir.
Teknik referanslar: CVE-2025-34291 için NVD kaydı, CVE-2026-34926 için NVD kaydı.