ABD siber güvenlik otoritesinin güncellediği bilinen istismar edilen zafiyetler listesine, Langflow ve Trend Micro Apex One ürünlerini etkileyen iki yeni açık eklendi. Bu adım, her iki zafiyetin de sahada aktif olarak kullanıldığına dair bulguların ortaya çıkmasının ardından geldi ve özellikle kurumsal ağlar, yönetilen güvenlik platformları ile on-premise çalışan sistemler için acil müdahale gerektiriyor.
Listede yer alan açıklar, saldırganların kimlik doğrulama zincirini aşarak uzaktan kod çalıştırma, sistem üzerinde yetki yükseltme ya da sunucu tarafında kötü amaçlı değişiklik yapma gibi sonuçlar elde etmesine yol açabiliyor. Bu durum, yalnızca ilgili uygulamayı değil, aynı zamanda bağlı servisleri, API anahtarlarını, erişim belirteçlerini ve iç ağdaki diğer varlıkları da riske atıyor.
Hangi Zafiyetler Öne Çıkıyor?
İlk zafiyet, CVE-2025-34291 olarak izleniyor ve Langflow tarafında bir origin doğrulama hatasına dayanıyor. CVSS puanı 9.4 olan bu açık, saldırganın kötü niyetli istekler üzerinden keyfi kod çalıştırmasına ve tam sistem ele geçirmesine kadar gidebilen bir senaryo yaratabiliyor. Özellikle yapay zekâ iş akışları, otomasyon panelleri ve entegrasyon katmanları üzerinden çalışan kurumsal kurulumlarda etkisi daha yüksek olabilir.
İkinci açık ise CVE-2026-34926 numarasıyla takip ediliyor. Trend Micro Apex One’ın on-premise sürümlerinde görülen bu dizin aşımı zafiyeti, önceden doğrulanmış yerel bir saldırganın sunucu üzerindeki kritik bir tabloyu değiştirmesine ve ajanlara dağıtılacak zararlı kodu enjekte etmesine imkan tanıyabiliyor. CVSS puanı 6.7 olarak belirtilen bu sorun, doğrudan internetten erişimden çok, iç ağa sızmış veya ayrı bir kimlik bilgisi elde etmiş saldırganlar için tehlikeli.
Saldırı Zinciri Nasıl İşliyor?
Bu tür vakalarda saldırı zinciri çoğu zaman tek bir adımla sınırlı kalmıyor. İlk aşamada saldırgan, zayıf yapılandırılmış bir web uygulaması, ele geçirilmiş bir yönetici hesabı ya da daha önce sızdırılmış bir erişim bilgisi üzerinden içeri giriyor. Ardından CSRF koruması eksikliği, gevşek CORS politikaları veya dizin aşımı gibi mantıksal hatalar kullanılarak yetki sınırları aşılabiliyor.
Langflow örneğinde risk, yalnızca uygulamanın çökmesi değil; çalışma alanında tutulan API anahtarları, bulut erişim token’ları ve otomasyon akışlarının ele geçirilmesi. Bu da saldırganın daha sonra SaaS servislerine, CI/CD hatlarına, veri depolarına veya IAM entegrasyonlarına sıçramasına zemin hazırlayabiliyor. Apex One tarafında ise yönetim sunucusuna erişim sağlanmış bir saldırgan, ajan dağıtım mekanizmasını kötüye kullanarak uç noktalara zararlı komutlar gönderebilir.
Teknik açıdan bakıldığında bu tablo, MITRE ATT&CK çerçevesinde Initial Access, Privilege Escalation, Exploitation for Client Execution ve Remote Services gibi taktiklerle eşleşebilecek bir saldırı modeline işaret ediyor. Kurumsal ortamlarda EDR, SIEM ve ağ segmentasyonu yeterince sıkı değilse, ilk ihlal kısa sürede yatay hareket ve veri sızıntısına dönüşebilir.
Aktif İstismar ve Kurumsal Risk
Yapılan son analizler, Langflow açığının daha önce devlet destekli bir İran bağlantılı tehdit aktörü tarafından ilk erişim elde etmek amacıyla kullanıldığını gösteriyor. Bu tür kampanyalarda saldırganlar genellikle doğrudan veri silmek yerine, kalıcılık sağlamak, kimlik bilgisi toplamak ve sonraki aşamada daha geniş ağlara sıçramak için zafiyetleri kullanıyor.
Trend Micro tarafında ise en az bir aktif istismar girişiminin sahada gözlendiği bildirildi. Açığın yalnızca on-premise kurulumlarda geçerli olması, bulut tabanlı müşterilerin tamamen güvende olduğu anlamına gelmiyor; çünkü hibrit yapılarda yönetim sunucusu ile uç noktalar arasındaki güven ilişkisi, tek bir ele geçirilmiş bileşen üzerinden zincirleme etki yaratabiliyor.
Bu nedenle özellikle yazılım geliştirme ekipleri, güvenlik operasyon merkezleri ve sistem yöneticileri; log toplama, kimlik doğrulama kayıtları, yönetim konsolu erişimleri ve anormal API çağrıları üzerinde daha dikkatli olmalı. Şüpheli oturum açma denemeleri, beklenmeyen konfigürasyon değişiklikleri ve ajan dağıtımında olağandışı hareketler, erken uyarı sinyali olarak değerlendirilmelidir.
Sistem Yöneticileri ve SOC Ekipleri İçin Kontrol Listesi
Kurumsal savunmayı güçlendirmek için aşağıdaki adımlar öncelikli olarak ele alınmalı:
• Langflow ve Apex One kurulumlarının sürüm envanteri çıkarılmalı, etkilenen örnekler hızla belirlenmeli.
• Üretici yamaları ve güvenlik güncellemeleri, test süreci kısaltılarak en kısa sürede uygulanmalı.
• Yönetim panellerine erişim yalnızca VPN, bastion host veya sıkı IAM politikaları üzerinden sınırlandırılmalı.
• WAF ve reverse proxy kuralları, anormal origin başlıkları ve şüpheli istek kalıplarını engelleyecek şekilde gözden geçirilmeli.
• SIEM üzerinde yeni yönetici oturumları, başarısız giriş denemeleri ve beklenmeyen tablo değişiklikleri için alarm kuralları tanımlanmalı.
• EDR telemetrisi ile sunucu tarafı komut çalıştırma, dosya yazma ve ajan dağıtım olayları korele edilmeli.
• Yedekler çevrimdışı tutulmalı ve kritik yapılandırmalar için geri dönüş planı test edilmeli.
• Olay müdahale (incident response) planı, etkilenen sistemlerin izolasyonu ve kimlik bilgisi rotasyonu adımlarını içerecek şekilde güncellenmeli.
Kurumsal Ortamlarda Olası Senaryo
Örneğin bir SaaS sağlayıcısı, Langflow tabanlı otomasyon akışlarını müşteri destek süreçlerine entegre etmiş olabilir. Bu durumda tek bir uygulama sunucusunun ele geçirilmesi, destek kayıtlarına erişim, API anahtarlarının sızması ve bağlı bulut servislerinde yetkisiz işlem yapılması gibi sonuçlar doğurabilir. Benzer şekilde, merkezi uç nokta yönetimi için Apex One kullanan bir şirket, yönetim sunucusundaki zafiyet nedeniyle yüzlerce istemciye zararlı yapılandırma veya kod dağıtımı riskiyle karşı karşıya kalabilir.
Bu tip senaryolarda saldırganın hedefi çoğu zaman doğrudan fidye yazılımı çalıştırmak olmayabilir. İlk aşamada erişim sağlanır, ardından kimlik bilgileri toplanır, ağ keşfi yapılır ve daha sonra veri sızdırma ya da ikinci aşama yüklerin bırakılması için zemin hazırlanır. Bu nedenle e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu gibi temel savunma katmanları, yalnızca teorik değil pratik bir gereklilik haline geliyor.
Uyumluluk ve Acil Eylem Takvimi
Aktif istismar bulguları nedeniyle federal sivil yürütme kurumlarının ilgili düzeltmeleri 4 Haziran 2026 tarihine kadar uygulaması gerekiyor. Benzer şekilde, kritik altyapı işletmecileri ve özel sektör kuruluşları da bu takvimi yalnızca resmi bir yükümlülük olarak değil, operasyonel risk azaltma fırsatı olarak değerlendirmeli.
Güvenlik ekipleri için en doğru yaklaşım; yamayı uygulamakla yetinmeyip, erişim politikalarını sıkılaştırmak, ayrıcalıklı hesapları gözden geçirmek, log saklama sürelerini uzatmak ve şüpheli davranışları geriye dönük taramak olmalı. Özellikle internetten erişilebilen yönetim yüzeyleri, zayıf kimlik doğrulama ve gevşek ağ kurallarıyla birleştiğinde, bu tür zafiyetler çok kısa sürede geniş çaplı ihlallere dönüşebilir.
İlgili CVE kayıtları için teknik referanslar: CVE-2025-34291 ve CVE-2026-34926.