Ivanti EPMM Zero-Day Açıklarıyla Gerçekleşen Veri İhlali ve Avrupa Hükümetlerini Hedef Alan Kampanya

Anasayfa » Ivanti EPMM Zero-Day Açıklarıyla Gerçekleşen Veri İhlali ve Avrupa Hükümetlerini Hedef Alan Kampanya
APT, Veri İhlalleri, Zafiyetler
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
Ivanti EPMM Zero-Day Açıklarıyla Gerçekleşen Veri İhlali ve Avrupa Hükümetlerini Hedef Alan Kampanya

Saldırının Genel Çerçevesi

29 Ocak 2026’da Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), Ivanti EPMM ürününde tespit edilen kritik güvenlik açıkları nedeniyle Avrupa kamu kurumlarının çalışan iletişim verilerinin yetkisiz erişime maruz kaldığını doğruladı. EPMM, mobil cihazların, uygulamaların ve içeriklerin yönetimi için kullanılan merkezi bir platformdur. Saldırganlar, CVE-2026-1281 ve CVE-2026-1340 kodlu, kimlik doğrulaması olmadan uzaktan kod yürütülmesine izin veren zero-day açıklarını istismar ederek iş e-posta adresleri, telefon numaraları ve cihaz bilgilerine erişti.

Finlandiya’nın devlet bilgi teknolojileri sağlayıcısı Valtori de benzer bir ihlal yaşadı; yaklaşık 50.000 hükümet çalışanının verileri açığa çıktı. Avrupa Komisyonu ise mobil cihaz yönetim altyapısında bazı personel bilgilerine erişim izleri tespit etti ancak olay kısa sürede kontrol altına alındı.

Saldırı Zinciri ve Teknik Detaylar

Saldırganlar, EPMM sistemlerine HTTP üzerinden yüklenen /mifs/403.jsp yolundaki uyuyan bir bellek içi Java sınıf yükleyicisi (implant) yerleştirdi. Bu implant, belirli tetikleyici parametre ile aktive oluyor ve henüz sonraki aşamalarda ek sömürü faaliyetleri gözlemlenmedi. Bu taktik, MITRE ATT&CK’te T1505.003 (Web Shell) ve T1059 (Komut ve Betik Çalıştırma) tekniklerine benzer şekilde ilk erişim aracı olarak kullanılıyor.

Yapılan analizler, EPMM yönetim sisteminin silinen verileri kalıcı olarak silmediğini, sadece silinmiş olarak işaretlediğini ortaya koydu. Bu durum, sistem yaşam döngüsü boyunca tüm kullanıcı ve cihaz verilerinin potansiyel olarak tehlikeye girmesine neden oldu. Ayrıca, bazı mobil cihazlarda birden fazla kullanıcı profili bulunması riski artırıyor.

Kurumsal Ortamlar İçin Risk Senaryosu

Örneğin, bir kamu kurumunda EPMM ile yönetilen mobil cihazlar üzerinden çalışanlar, iş e-postaları ve telefon numaraları gibi hassas iletişim bilgileri saldırganların eline geçebilir. Bu durum, hedef odaklı phishing kampanyaları, sosyal mühendislik saldırıları ve kimlik avı girişimlerine zemin hazırlar. Ayrıca, saldırganlar bu bilgileri kullanarak iç ağlara yönelik daha sofistike saldırılar düzenleyebilir.

Siber Güvenlik Ekipleri İçin Öneriler

  • EPMM ve benzeri mobil cihaz yönetim platformlarında yayımlanan yamaların derhal uygulanması.
  • Kimlik ve erişim yönetimi (IAM) politikalarının güçlendirilmesi, çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesi.
  • EDR ve SIEM çözümleri ile sistemlerde anormal davranışların ve bilinmeyen implantların tespiti.
  • Web uygulaması güvenlik duvarları (WAF) ve ağ segmentasyonu ile kritik yönetim arayüzlerinin korunması.
  • Silinen verilerin kalıcı olarak temizlenmesini sağlayacak veri yönetimi politikalarının uygulanması.
  • Olay müdahale süreçlerinin güncellenmesi ve ekiplerin zero-day saldırılarına karşı eğitilmesi.
  • Log yönetimi ve analizinde HTTP istekleri, Java sınıf yükleyicileri ve olağandışı tetikleyici parametrelerin izlenmesi.
  • Zero Trust mimarisi benimsenerek, iç ağda bile erişimlerin sürekli doğrulanması.

Regülasyon ve Uyumluluk Boyutu

Avrupa Birliği’nin GDPR ve diğer veri koruma düzenlemeleri kapsamında, bu tür veri ihlalleri ciddi yaptırımlara yol açabilir. Kurumların, mobil cihaz yönetimi ve veri güvenliği süreçlerinde uyumluluk denetimlerini sıkılaştırmaları gerekmektedir. Ayrıca, Türkiye’deki KVKK mevzuatı da benzer veri koruma yükümlülükleri getirmektedir.

, , , , , , ,