2026 yılının ilk aylarında Qualcomm çiplerinde tespit edilen ve CVE-2026-21385 koduyla izlenen yüksek şiddetteki tampon taşması açığı, Android cihazlarda aktif olarak istismar ediliyor. Google’ın Android güvenlik bülteninde belirttiği üzere, bu zafiyet grafik bileşeninde gerçekleşen bellek bozulmasına yol açıyor ve saldırganlara rastgele kod yürütme imkanı sağlıyor. Henüz istismar tekniklerine dair detaylar sınırlı olsa da, bu tür donanım tabanlı açıkların mobil cihaz güvenliğinde kritik risk oluşturduğu biliniyor.
Coruna İstismar Kiti ile iOS Cihazlar Tehdit Altında
Google tarafından ortaya çıkarılan Coruna (CryptoWaters) adlı istismar kiti, iOS 13.0 ile 17.2.1 arasında çalışan Apple iPhone modellerini hedef alıyor. Kit, beş tam istismar zinciri ve toplam 23 farklı güvenlik açığını içeriyor. Başlangıçta ticari gözetim amaçlı geliştirilen bu kit, zamanla Rusya bağlantılı bir casusluk grubunun ve ardından Çin merkezli finansal motivasyonlu saldırganların eline geçerek farklı hedeflere yöneldi. Bu durum, istismar kitlerinin ikinci el piyasasında farklı amaçlarla kullanıldığını ve tehdit aktörlerinin hızlı adaptasyon yeteneğini gösteriyor.
Vibe-Kodlu Zararlı Yazılım ile Hindistan Hedefleniyor
Bitdefender tarafından tespit edilen yeni bir saldırı kampanyasında, Pakistan bağlantılı Transparent Tribe adlı tehdit aktörü, yapay zeka destekli kodlama araçlarıyla geliştirdiği vibe-kodlu kötü amaçlı yazılımları Hindistan hükümeti ve yabancı ülkelerdeki elçiliklere yönelik kullanıyor. Bu zararlılar Nim, Zig ve Crystal gibi niş programlama dillerinde yazılarak tespitten kaçınıyor. Bu gelişme, AI destekli kötü amaçlı yazılım üretiminin endüstrileşmeye başladığını ve hedef ortamların çok dilli ikili dosyalarla doldurulduğunu gösteriyor.
Wi-Fi İstemci İzolasyonunu Aşan AirSnitch Saldırısı
Yeni geliştirilen AirSnitch saldırısı, Wi-Fi istemcilerini ayıran izolasyon mekanizmasını üç farklı zayıflık üzerinden atlayarak gelişmiş AitM saldırılarına olanak tanıyor. Saldırı, paylaşılan grup anahtarlarının kötüye kullanılması, IP katmanında paket yönlendirme manipülasyonu ve iç anahtarların değiştirilmesi gibi tekniklerle, istemci izolasyonu koruması olsa bile saldırganın ağ trafiğini kontrol etmesini sağlıyor. Bu durum, özellikle açık veya kurumsal ağlarda iç tehditlere karşı ek önlemler alınması gerektiğini işaret ediyor.
Haftanın Öne Çıkan Diğer Siber Tehditleri
İranlı MuddyWater grubu, Shodan ve Nuclei gibi araçlarla hedeflerini tarayarak yeni açıklıkları istismar etmeye devam ediyor. Ayrıca, WPEverest eklentisindeki kritik bir güvenlik açığı (CVE-2026-1492) ile sahte yönetici hesapları oluşturulabiliyor. Google’ın 2025 yılında izlediği 90 sıfır gün açığı, özellikle kurumsal teknolojilerde artan tehditlere işaret ediyor. Phishing kampanyaları ise Google Cloud Storage altyapısını kullanarak standart güvenlik filtrelerini aşmayı başarıyor.
Teknik Özet: Haftanın Kritik Güvenlik Açıkları ve Saldırı Zincirleri
- Kullanılan zararlılar ve araçlar: Vibe-kodlu zararlılar, AsyncRAT, DonutLoader, CastleRAT, Phobos fidye yazılımı, AirSnitch saldırısı.
- Hedef sektörler ve bölgeler: Mobil cihaz kullanıcıları (Android, iOS), hükümet kurumları (Hindistan, ABD), finans sektörü, diplomatik misyonlar.
- Öne çıkan zafiyetler: CVE-2026-21385 (Qualcomm), CVE-2026-1492 (WPEverest), çeşitli iOS istismarları, Kubernetes RBAC nodes/proxy GET yetki açığı.
- Saldırı zinciri örneği: Phishing yoluyla kimlik bilgisi toplama → Zararlı yazılım yükleme (AsyncRAT, vibe-kodlu) → Komut ve kontrol (C2) iletişimi → Veri sızıntısı ve uzaktan kod yürütme.
- Temel savunma önerileri: Kritik yamaların zamanında uygulanması, çok faktörlü kimlik doğrulama (MFA) kullanımı, ağ segmentasyonu, gelişmiş EDR ve SIEM çözümleri ile anomali tespiti, düzenli güvenlik testleri ve kullanıcı farkındalığı artırımı.
Sistem Yöneticileri İçin Pratik Kontrol Listesi
- Qualcomm ve diğer kritik bileşenler için CVE-2026-21385 gibi yüksek riskli yamaları derhal uygulayın.
- iOS cihazlarda Coruna istismar zincirlerine karşı güncel iOS sürümlerini kullanın ve mobil cihaz yönetimi (MDM) politikalarını sıkılaştırın.
- Wi-Fi ağlarında istemci izolasyonunun yeterliliğini değerlendirin, AirSnitch benzeri saldırılara karşı ek ağ segmentasyonu ve izleme mekanizmaları kurun.
- Kubernetes ortamlarında nodes/proxy GET izni olan servis hesaplarını gözden geçirin ve mümkünse kısıtlayın.
- Phishing saldırılarına karşı e-posta güvenliği çözümlerini güçlendirin, SPF, DKIM ve DMARC kontrollerini etkinleştirin.
- EDR ve SIEM sistemlerinde vibe-kodlu ve AsyncRAT gibi zararlılar için özel tespit kuralları oluşturun.
- Çok faktörlü kimlik doğrulama (MFA) uygulamalarını zorunlu hale getirin ve kimlik bilgisi sızıntılarını düzenli olarak kontrol edin.
- Çalışanlara yönelik düzenli siber güvenlik farkındalık eğitimleri planlayın ve sosyal mühendislik saldırılarına karşı hazırlıklı olun.