ABD siber güvenlik otoritesinin güncellediği bilinen istismar edilen zafiyetler listesine, biri yapay zekâ iş akışı platformunu, diğeri kurumsal uç nokta yönetim ürününü etkileyen iki kritik açık daha eklendi. Bu adım, sahada aktif istismar kanıtı görüldüğü için atıldı ve özellikle bulut tabanlı uygulama ekipleri ile on-premise güvenlik yöneticileri için acil yama ihtiyacını öne çıkardı.
Listede yer alan açıklar CVE-2025-34291 ve CVE-2026-34926 olarak takip ediliyor. İlki, Langflow üzerinde origin validation hatasından kaynaklanan ve uzaktan kod çalıştırmaya kadar gidebilen yüksek riskli bir zafiyet. İkincisi ise Trend Micro Apex One’ın kurum içi kurulumlarında görülen bir dizin gezintisi problemi; bu açık, saldırganın belirli koşullarda sunucu tarafında kötü amaçlı kod enjekte etmesine zemin hazırlayabiliyor.
Saldırının Genel Çerçevesi
Bilinen istismar edilen zafiyetler kataloğuna ekleme yapılması, genellikle saldırıların teorik olmaktan çıkıp operasyonel hale geldiğini gösterir. Bu tür kayıtlar, federal kurumlar kadar özel sektördeki güvenlik ekipleri için de önceliklendirme sinyali taşır; çünkü KEV listesinde yer alan açıklar çoğu zaman kısa süre içinde kitlesel tarama, ilk erişim ve yatay hareket girişimlerinde kullanılır.
Langflow tarafındaki sorun, tek başına bir doğrulama hatası gibi görünse de pratikte daha geniş bir saldırı zincirinin parçası olabiliyor. Güvenlik araştırmalarına göre bu tür vakalarda aşırı izinli CORS yapılandırması, CSRF korumasının eksikliği ve tasarım gereği kod çalıştırabilen bir uç nokta bir araya geldiğinde, saldırganın oturum bağlamını kötüye kullanması kolaylaşıyor. Sonuçta yalnızca uygulama değil, aynı çalışma alanında tutulan API anahtarları, erişim belirteçleri ve entegrasyon sırları da risk altına giriyor.
Trend Micro Apex One cephesinde ise risk daha çok kurum içi yönetim sunucusuna erişim ve yetki yükseltme etrafında şekilleniyor. Ürünün yalnızca on-premise sürümünde etkili olan açık, saldırganın önceden yönetici kimlik bilgilerine ulaşmış olması halinde daha tehlikeli hale geliyor. Bu da kimlik avı, çalınmış parola, oturum ele geçirme veya başka bir başlangıç vektörüyle birleştiğinde, uç nokta yönetim altyapısının ele geçirilmesine kadar uzanabilecek bir senaryo yaratıyor.
Hangi Sistemler Risk Altında?
Langflow kullanan ekipler genellikle yapay zekâ destekli iş akışları, MCP istemcileri, otomasyon zincirleri ve harici API entegrasyonlarıyla çalışan geliştirme ortamlarını yönetiyor. Bu nedenle açık, yalnızca tek bir sunucuyu değil, bağlı SaaS servislerini, bulut depolama hesaplarını ve CI/CD boru hatlarını da etkileyebilir. Özellikle workspace içinde gizli anahtarlar tutuluyorsa, saldırı sonrası etki alanı hızla büyüyebilir.
Apex One tarafında risk, kurumsal uç nokta koruma ve merkezi yönetim altyapısına sahip şirketlerde yoğunlaşıyor. EDR, antivirüs, politika dağıtımı ve ajan yönetimi gibi işlevler tek bir yönetim katmanından yürütüldüğü için, bu katmanın ele geçirilmesi saldırgana çok sayıda istemciye zararlı yapılandırma veya kod dağıtma imkânı verebilir. Bu durum, olay müdahale ekiplerinin yalnızca uç noktaları değil, yönetim konsolunu da incelemesini zorunlu kılar.
İstismar Zinciri Nasıl İşliyor?
Langflow örneğinde saldırı zinciri genellikle şu şekilde özetlenebilir: önce zayıf origin doğrulaması ve eksik CSRF koruması istismar edilir, ardından kod çalıştırmaya izin veren uç nokta üzerinden komut yürütme sağlanır, son aşamada ise ortam değişkenleri, token’lar ve API anahtarları toplanarak daha geniş bir bulut güvenliği ihlali hazırlanır. Bu model, MITRE ATT&CK açısından ilk erişim, kimlik bilgisi erişimi ve komut ile betik çalıştırma teknikleriyle ilişkilendirilebilir.
Apex One vakasında ise saldırganın önce yönetim sunucusuna erişim elde etmesi, ardından dizin gezintisi zafiyetini kullanarak kritik bir tabloyu değiştirmesi gerekiyor. Bu tablo manipülasyonu, kötü amaçlı kodun ajanlara dağıtılmasına kapı açabilir. Böyle bir senaryoda ağ segmentasyonu, yönetim arayüzlerinin kısıtlanması ve ayrıcalıklı hesapların sıkı denetimi savunmanın temel parçalarıdır.
SOC ve Sistem Yöneticileri İçin Pratik Kontrol Listesi
1) Langflow ve Apex One kurulumlarını en güncel yamalara yükseltin ve internetten erişilebilen yönetim yüzeylerini kapatın ya da sınırlandırın.
2) Yönetim panelleri için MFA zorunlu hale getirin; özellikle ayrıcalıklı hesaplarda parola tekrarını ve paylaşılan hesap kullanımını kaldırın.
3) WAF, reverse proxy ve erişim kontrol listelerinde şüpheli origin, anormal POST istekleri ve beklenmeyen yönetim uç noktalarını izleyin.
4) EDR ve SIEM üzerinde komut yorumlayıcıları, olağandışı süreç zincirleri ve yönetim sunucusundan ajanlara giden toplu dağıtım hareketleri için alarm kuralları oluşturun.
5) Workspace, secrets manager ve yapılandırma depolarındaki API anahtarlarını döndürün; sızıntı şüphesi varsa tüm entegrasyon belirteçlerini geçersiz kılın.
6) Yönetim sunucularında ayrıntılı erişim günlüklerini, kimlik doğrulama kayıtlarını ve uygulama loglarını en azından kısa vadede merkezi olarak saklayın.
7) Uç nokta yönetim altyapısını ayrı bir güvenlik segmentine alın ve yalnızca gerekli idari IP aralıklarına izin verin.
8) Olay müdahale planında, yönetim konsolu ele geçirilmesi senaryosunu ayrı bir tatbikat başlığı olarak test edin.
Kurumsal Ortamlarda Olası Etki
Bir SaaS sağlayıcısı veya yapay zekâ odaklı bir geliştirme ekibi için Langflow açığı, yalnızca uygulama kesintisi anlamına gelmez. Saldırganın çalışma alanındaki sırları ele geçirmesi, müşteri verilerine erişim, üçüncü taraf servislerde yetkisiz işlem ve hatta tedarik zinciri etkisi doğurabilir. Bu nedenle e-posta güvenliği, IAM politikaları ve bulut güvenliği kontrolleri birlikte ele alınmalıdır.
Benzer şekilde, bir finans kurumu ya da büyük ölçekli bir üretim şirketi Apex One yönetim sunucusunu kaybederse, uç nokta koruma politikaları saldırganın kontrolüne geçebilir. Bu da fidye yazılımı dağıtımı, savunma mekanizmalarının devre dışı bırakılması veya belirli makinelerde kalıcılık sağlanması gibi sonuçlar doğurabilir. Yönetim katmanının korunması, yalnızca yama yönetimi değil, aynı zamanda ayrıcalıkların ayrıştırılması ve kayıtların bütünlüğü açısından da kritiktir.
Uyumluluk ve Önceliklendirme
Aktif istismar işareti görülen zafiyetler, kurumların risk kabul eşiğini hızla değiştirir. Bu nedenle güvenlik ekiplerinin yalnızca CVSS puanına bakması yeterli değildir; KEV listesinde yer alma durumu, varlık envanterindeki konum, internete açıklık ve kimlik bilgisi gereksinimi birlikte değerlendirilmelidir. Özellikle kamu kurumları ve düzenlemeye tabi sektörlerde, yama gecikmesi denetim bulgusu haline gelebilir.
Teknik olarak bakıldığında, bu iki açık farklı saldırı yüzeylerini temsil ediyor: biri modern uygulama ve otomasyon katmanında, diğeri kurumsal uç nokta yönetiminde. Ancak ortak nokta aynı: saldırganlar çoğu zaman en görünür hedefi değil, en az izlenen yönetim bileşenini seçiyor. Bu yüzden log korelasyonu, ayrıcalıklı erişim izleme ve hızlı yama süreçleri, savunmanın merkezinde yer almalı.
İlgili CVE kayıtları için teknik referanslar: CVE-2025-34291 ve CVE-2026-34926.