arkadaşlar, lorem ipsum diye bir zararlı yazılım kampanyası var, biliyorsunuzdur belki. işte bu kampanya artık clickfix diye bir yöntemle dağıtılıyormış. dark reading’in yeni analizine göre bu iş vice society ransomware grubuyla bağlantılı olabilir. yani ciddi bir tayfa bu.

olay ne?

şöyle ki agalar, saldırganlar wordpress sitelerini ele geçiriyorlar (klasik hareket) ve ardından bu siteleri kullanarak lorem ipsum zararlısını yaymaya çalışıyorlar. ama bu sefer clickfix denen bir teknik kullanıyorlar. clickfix nedir diyenler için kısaca açıklayayım: kullanıcıyı kandırıp bir şeye tıklatıyorlar, sonra da zararlı yazılım sisteme bulaşıyor. sosyal mühendisliğin günceli yani.

…

arkadaşlar, cisa yine kataloguna bir cpanel eklentisi açığı eklemiş. bu sefer litespeed cpanel eklentisinde bulunan CVE-2026-54420 açığından bahsediyoruz ve spoiler: aktif olarak sömürülüyor.

amerikan federal kurumlarına 3 gün süre vermişler yamalamak için. siz de “beni ilgilendirmez” demeyin, eğer cpanel kullanıyorsanız ve litespeed eklentisi yüklüyse hemen atlayın işin başına.

ne var ne yok bu açıkta

CVE-2026-54420 zafiyeti litespeed’in cpanel user-end eklentisinde bulunuyor. detaylar henüz tam açıklanmamış ama cisa’nın kev (known exploited vulnerabilities) kataloğuna eklemesi demek ki saldırganlar bunu aktif olarak kullanıyor demek.

…

arkadaşlar, ai gateway dünyasında ciddi bir olay var. litellm diye popüler bir açık kaynaklı ai gateway’de zafiyet zinciri bulunmuş. obsidian security’nin araştırmacıları keşfetmiş bunu. şöyle ki, düşük yetkili bir hesapla başlıyorsunuz, 3 tane açığı zincirleyip tam admin oluyorsunuz, sonra da sunucuda kod çalıştırıyorsunuz. yani kısacası tam bir felaket senaryosu.

spoiler: bu zafiyet zinciri başarılı olursa, gateway’in elinde tuttuğu tüm api anahtarları, provider secret’ları falan hepsi gidiyor.

olay ne tam olarak

litellm, 100’den fazla ai model sağlayıcısını (openai, anthropic, google vs.) tek bir openai-uyumlu arayüz arkasında toplayan bir proxy/gateway. yani şirketler bunu kullanarak farklı ai modellerine tek noktadan erişiyorlar. oldukça yaygın kullanılıyor.

…

arkadaşlar, bugün teknik bir zafiyet değil de daha çok operasyonel bir güvenlik açığından bahsedeceğim. yeni çalışan alımlarında yapılan klasik bir hata var ve bu hata ciddi güvenlik riskleri yaratıyor.

sorun ne peki

yeni bir eleman işe başladığında it ekipleri genelde aceleyle “geçici” bir parola oluşturup mail veya sms ile gönderiyorlar. “ilk gün parolası” denen şey bu işte. mantık güzel gibi duruyor ama pratikte şöyle oluyor:

• bu parolalar hiç değiştirilmiyor, “geçici” ama kalıcı oluyor
• mail veya sms ile gönderildiği için düz metin olarak kayıtlarda duruyor
• aynı parola birden fazla hesap için kullanılıyor
• yeni çalışan parolayı not defterine yazıyor, masasında bırakıyor

spoiler: bu parolalar çoğu zaman “Sirket123!” falan gibi tahmin edilebilir şeyler oluyor.

…

arkadaşlar, siber suç dünyasından yeni bir gelişme var. ukraynalı oleksii oleksiyovych lytvynenko isimli bir adam, abd’de conti fidye yazılımı çetesiyle çalıştığını kabul etmiş. adam loader geliştirme işlerinde bulunmuş çete için.

olay ne bu conti meselesi

conti dediğimiz şey, bildiğiniz ransomware çetelerinin devleriyle. 2020-2022 arası dönemde yüzlerce şirketi vurmuşlar, milyonlarca dolar fidye toplamışlar. costa rica’yı bile felç etmişlerdi bir ara, hatırlarsınız belki.

şimdi bu lytvynenko arkadaş, çetenin kullandığı loader’ı geliştirmekle suçlanıyormuş. loader dediğimiz şey, kötü amaçlı yazılımı sisteme yükleyen, antivirüslerden kaçıran küçük ama kritik bir parça yani. bunlar olmadan ransomware’i sisteme sokamazsınız.

…

arkadaşlar, eğitim sektöründen kötü bir haber var. infinite campus denen k-12 öğrenci bilgi sisteminde mart ayında bir veri sızıntısı yaşanmış ve 137 binden fazla okul çalışanının kişisel bilgileri çalınmış. saldırıyı shinyhunters çetesi üstlenmiş, yani bildik isimlerden.

olay ne, nasıl olmuş?

shinyhunters ekibi (bunları hatırlarsınız, daha önce de bir sürü büyük şirkete saldırmışlardı) mart ayında infinite campus’un salesforce sistemine saldırmış. infinite campus, amerika ve kanada’da binlerce okulun kullandığı öğrenci bilgi sistemi. yani küçük bir hedef değil, ciddi bir altyapıdan bahsediyoruz.

…

arkadaşlar, npm’den güzel bir haber var. npm 12 ile birlikte paket yöneticisi, bağımlılıklardan gelen scriptleri otomatik çalıştırmayı durduracak. yani artık npm install dediğinizde her paket istediği gibi script çalıştıramayacak. bu supply chain saldırıları için ciddi bir önlem.

olay ne?

şöyle ki, şu an npm install dediğinizde, paketler preinstall, postinstall gibi scriptler çalıştırabiliyor. kötü niyetli birisi paketine zararlı bir script koyarsa, siz hiç farkında olmadan o script çalışıyor. klasik supply chain attack yöntemi işte.

…

arkadaşlar, iowa’dan ilginç bir haber geldi. okul bölgesinin eski IT çalışanı kovulduktan sonra intikam almak için eski işvereninin sistemlerine saldırmış. adam tam 21 ay hapis cezası almış.

spoiler: bu olay “içeriden gelen tehdit” (insider threat) konusunda güzel bir örnek olmuş. adam IT çalışanı olduğu için sistemleri iyi biliyor tabii, kovulduktan sonra da o bilgiyi kötüye kullanmış.

olay nasıl gelişmiş

eski çalışan kovulduktan sonra uzun süreli bir siber saldırı kampanyası başlatmış. sınıf operasyonlarını aksatmış, hesapları silmiş ve on binlerce dolar zarara yol açmış. klasik “intikam saldırısı” işte.

…

arkadaşlar, conti ransomware operasyonunu hatırlarsınız. 2020-2022 arası dönemde dünyayı kasıp kavuran, costa rica hükümetini bile rehin alan o meşhur çete. işte o çetenin üyelerinden biri daha yakalandı ve suçunu kabul etti.

olay ne

denys “korben” vasiuk adında ukraynalı bir siber suçlu, geçen sene irlanda’dan abd’ye iade edilmişti. şimdi de conti ransomware operasyonunda rol aldığını kabul etti mahkemede. adam 2020 ile 2022 arasında bu işin içindeymiş.

spoiler: conti çetesi zamanında costa rica hükümetini bile hack’lemiş, ülkeye ulusal acil durum ilan ettirmişti. o kadar büyük bir operasyondan bahsediyoruz.

…

arkadaşlar, büyük bir olay var. shinyhunters diye bildiğimiz hacker grubu, oracle’ın erp yazılımındaki sıfır-gün açığını kullanarak özellikle amerikan üniversitelerini hedef almış. yani öğrenci kayıtlarından finansal verilere kadar her şey çalınmış durumda.

spoiler: bu açık aktif olarak sömürülmüş ve tonlarca veri çalınmış bile.

ne olmuş yani

oracle’ın erp (enterprise resource planning) yazılımında kritik bir sıfır-gün zafiyeti varmış. shinyhunters grubu bunu keşfetmiş (ya da almış birilerinden) ve doğrudan üniversitelerin sistemlerine girmiş.

niye üniversiteler diyeceksiniz, çünkü:

…