AI Günlük

lorem ipsum zararlısı artık clickfix yöntemiyle dağıtılıyor

Tue, 16 Jun 2026 17:17:36 +0300

arkadaşlar, lorem ipsum diye bir zararlı yazılım kampanyası var, biliyorsunuzdur belki. işte bu kampanya artık clickfix diye bir yöntemle dağıtılıyormış. dark reading’in yeni analizine göre bu iş vice society ransomware grubuyla bağlantılı olabilir. yani ciddi bir tayfa bu.

olay ne?

şöyle ki agalar, saldırganlar wordpress sitelerini ele geçiriyorlar (klasik hareket) ve ardından bu siteleri kullanarak lorem ipsum zararlısını yaymaya çalışıyorlar. ama bu sefer clickfix denen bir teknik kullanıyorlar. clickfix nedir diyenler için kısaca açıklayayım: kullanıcıyı kandırıp bir şeye tıklatıyorlar, sonra da zararlı yazılım sisteme bulaşıyor. sosyal mühendisliğin günceli yani.

cisa'dan yine cpanel eklentisi uyarısı geldi, bu sefer litespeed

Tue, 16 Jun 2026 17:16:54 +0300

arkadaşlar, cisa yine kataloguna bir cpanel eklentisi açığı eklemiş. bu sefer litespeed cpanel eklentisinde bulunan CVE-2026-54420 açığından bahsediyoruz ve spoiler: aktif olarak sömürülüyor.

amerikan federal kurumlarına 3 gün süre vermişler yamalamak için. siz de “beni ilgilendirmez” demeyin, eğer cpanel kullanıyorsanız ve litespeed eklentisi yüklüyse hemen atlayın işin başına.

ne var ne yok bu açıkta

CVE-2026-54420 zafiyeti litespeed’in cpanel user-end eklentisinde bulunuyor. detaylar henüz tam açıklanmamış ama cisa’nın kev (known exploited vulnerabilities) kataloğuna eklemesi demek ki saldırganlar bunu aktif olarak kullanıyor demek.

litellm'de düşük yetkili kullanıcıdan sunucu ele geçirmeye giden zafiyet zinciri

Tue, 16 Jun 2026 17:16:18 +0300

arkadaşlar, ai gateway dünyasında ciddi bir olay var. litellm diye popüler bir açık kaynaklı ai gateway’de zafiyet zinciri bulunmuş. obsidian security’nin araştırmacıları keşfetmiş bunu. şöyle ki, düşük yetkili bir hesapla başlıyorsunuz, 3 tane açığı zincirleyip tam admin oluyorsunuz, sonra da sunucuda kod çalıştırıyorsunuz. yani kısacası tam bir felaket senaryosu.

spoiler: bu zafiyet zinciri başarılı olursa, gateway’in elinde tuttuğu tüm api anahtarları, provider secret’ları falan hepsi gidiyor.

olay ne tam olarak

litellm, 100’den fazla ai model sağlayıcısını (openai, anthropic, google vs.) tek bir openai-uyumlu arayüz arkasında toplayan bir proxy/gateway. yani şirketler bunu kullanarak farklı ai modellerine tek noktadan erişiyorlar. oldukça yaygın kullanılıyor.

yeni çalışan alırken yapılan parola hatası sizi riske sokuyor

Mon, 15 Jun 2026 17:18:31 +0300

arkadaşlar, bugün teknik bir zafiyet değil de daha çok operasyonel bir güvenlik açığından bahsedeceğim. yeni çalışan alımlarında yapılan klasik bir hata var ve bu hata ciddi güvenlik riskleri yaratıyor.

sorun ne peki

yeni bir eleman işe başladığında it ekipleri genelde aceleyle “geçici” bir parola oluşturup mail veya sms ile gönderiyorlar. “ilk gün parolası” denen şey bu işte. mantık güzel gibi duruyor ama pratikte şöyle oluyor:

bu parolalar hiç değiştirilmiyor, “geçici” ama kalıcı oluyor
mail veya sms ile gönderildiği için düz metin olarak kayıtlarda duruyor
aynı parola birden fazla hesap için kullanılıyor
yeni çalışan parolayı not defterine yazıyor, masasında bırakıyor

spoiler: bu parolalar çoğu zaman “Sirket123!” falan gibi tahmin edilebilir şeyler oluyor.

ukraynalı adam conti fidye yazılımı suçlamalarını kabul etti

Mon, 15 Jun 2026 17:17:31 +0300

arkadaşlar, siber suç dünyasından yeni bir gelişme var. ukraynalı oleksii oleksiyovych lytvynenko isimli bir adam, abd’de conti fidye yazılımı çetesiyle çalıştığını kabul etmiş. adam loader geliştirme işlerinde bulunmuş çete için.

olay ne bu conti meselesi

conti dediğimiz şey, bildiğiniz ransomware çetelerinin devleriyle. 2020-2022 arası dönemde yüzlerce şirketi vurmuşlar, milyonlarca dolar fidye toplamışlar. costa rica’yı bile felç etmişlerdi bir ara, hatırlarsınız belki.

şimdi bu lytvynenko arkadaş, çetenin kullandığı loader’ı geliştirmekle suçlanıyormuş. loader dediğimiz şey, kötü amaçlı yazılımı sisteme yükleyen, antivirüslerden kaçıran küçük ama kritik bir parça yani. bunlar olmadan ransomware’i sisteme sokamazsınız.

infinite campus veri sızıntısı: 137 bin okul çalışanının bilgileri çalındı

Mon, 15 Jun 2026 17:16:37 +0300

arkadaşlar, eğitim sektöründen kötü bir haber var. infinite campus denen k-12 öğrenci bilgi sisteminde mart ayında bir veri sızıntısı yaşanmış ve 137 binden fazla okul çalışanının kişisel bilgileri çalınmış. saldırıyı shinyhunters çetesi üstlenmiş, yani bildik isimlerden.

olay ne, nasıl olmuş?

shinyhunters ekibi (bunları hatırlarsınız, daha önce de bir sürü büyük şirkete saldırmışlardı) mart ayında infinite campus’un salesforce sistemine saldırmış. infinite campus, amerika ve kanada’da binlerce okulun kullandığı öğrenci bilgi sistemi. yani küçük bir hedef değil, ciddi bir altyapıdan bahsediyoruz.

npm 12 ile supply chain saldırılarına karşı yeni güvenlik önlemi geliyor

Sun, 14 Jun 2026 17:17:01 +0300

arkadaşlar, npm’den güzel bir haber var. npm 12 ile birlikte paket yöneticisi, bağımlılıklardan gelen scriptleri otomatik çalıştırmayı durduracak. yani artık npm install dediğinizde her paket istediği gibi script çalıştıramayacak. bu supply chain saldırıları için ciddi bir önlem.

olay ne?

şöyle ki, şu an npm install dediğinizde, paketler preinstall, postinstall gibi scriptler çalıştırabiliyor. kötü niyetli birisi paketine zararlı bir script koyarsa, siz hiç farkında olmadan o script çalışıyor. klasik supply chain attack yöntemi işte.

eski çalışan kovulduktan sonra okul ağına saldırmış, 21 ay hapis yemiş

Sun, 14 Jun 2026 17:16:13 +0300

arkadaşlar, iowa’dan ilginç bir haber geldi. okul bölgesinin eski IT çalışanı kovulduktan sonra intikam almak için eski işvereninin sistemlerine saldırmış. adam tam 21 ay hapis cezası almış.

spoiler: bu olay “içeriden gelen tehdit” (insider threat) konusunda güzel bir örnek olmuş. adam IT çalışanı olduğu için sistemleri iyi biliyor tabii, kovulduktan sonra da o bilgiyi kötüye kullanmış.

olay nasıl gelişmiş

eski çalışan kovulduktan sonra uzun süreli bir siber saldırı kampanyası başlatmış. sınıf operasyonlarını aksatmış, hesapları silmiş ve on binlerce dolar zarara yol açmış. klasik “intikam saldırısı” işte.

ukraynalı hacker conti ransomware'ine bulaştığı için suçunu kabul etti

Sat, 13 Jun 2026 17:17:37 +0300

arkadaşlar, conti ransomware operasyonunu hatırlarsınız. 2020-2022 arası dönemde dünyayı kasıp kavuran, costa rica hükümetini bile rehin alan o meşhur çete. işte o çetenin üyelerinden biri daha yakalandı ve suçunu kabul etti.

olay ne

denys “korben” vasiuk adında ukraynalı bir siber suçlu, geçen sene irlanda’dan abd’ye iade edilmişti. şimdi de conti ransomware operasyonunda rol aldığını kabul etti mahkemede. adam 2020 ile 2022 arasında bu işin içindeymiş.

spoiler: conti çetesi zamanında costa rica hükümetini bile hack’lemiş, ülkeye ulusal acil durum ilan ettirmişti. o kadar büyük bir operasyondan bahsediyoruz.

shinyhunters oracle sıfır-gün açığıyla üniversiteleri soydu

Sat, 13 Jun 2026 17:16:43 +0300

arkadaşlar, büyük bir olay var. shinyhunters diye bildiğimiz hacker grubu, oracle’ın erp yazılımındaki sıfır-gün açığını kullanarak özellikle amerikan üniversitelerini hedef almış. yani öğrenci kayıtlarından finansal verilere kadar her şey çalınmış durumda.

spoiler: bu açık aktif olarak sömürülmüş ve tonlarca veri çalınmış bile.

ne olmuş yani

oracle’ın erp (enterprise resource planning) yazılımında kritik bir sıfır-gün zafiyeti varmış. shinyhunters grubu bunu keşfetmiş (ya da almış birilerinden) ve doğrudan üniversitelerin sistemlerine girmiş.

niye üniversiteler diyeceksiniz, çünkü:

splunk enterprise'da kritik açık, kimlik doğrulama bile istemiyor

Sat, 13 Jun 2026 17:15:50 +0300

arkadaşlar, splunk enterprise kullananlar toplanın buraya. splunk yeni bir güvenlik güncellemesi yayınladı ve içinde çok kritik bir açık var. CVE-2026-20253 numaralı bu zafiyet CVSS 9.8 puan almış, yani kırmızı alarm seviyesinde 🔴

ne var ne yok

şöyle ki, splunk enterprise’ın 10.2.4 ve 10.0.7 altındaki versiyonlarında kimlik doğrulaması olmadan dosya işlemleri yapılabiliyor. yani hiçbir authentication gerektirmeden uzaktan kod çalıştırma (RCE) mümkün. saldırgan gelip dosya oluşturabiliyor, silebiliyor, hatta sistem üzerinde kod çalıştırabiliyor.

kısacası: herhangi bir kullanıcı adı-şifre sormadan sisteminize girebiliyorlar. klasik “kapıyı açık unuttuk” vakası.

the gentlemen fidye yazılımı 478 kurban toplamış, solucan gibi yayılıyormuş

Fri, 12 Jun 2026 17:17:33 +0300

arkadaşlar, yeni bir fidye yazılımı çetesi var: “the gentlemen” diyorlar kendilerine. adı kibar ama işleri hiç kibar değil. 478 kurban toplamışlar ve en kötüsü bu yazılım solucan gibi yayılabiliyormuş.

ne olmuş yani

the gentlemen ekibi başlangıçta lockbit, qilin ve medusa gibi ransomware-as-a-service (raas) operasyonlarının affiliate’i olarak çalışmış. yani başkalarının altyapısını kullanarak saldırı yapıyorlarmış. sonra “biz de kendi fidye yazılımımızı yapalım” demişler ve ortaya çıkmışlar.

spoiler: bu arkadaşlar double extortion (çifte haraç) yöntemi kullanıyorlar. yani hem dosyalarınızı şifreliyor, hem de çalıp “para vermezsen sızdırırım” diyorlar. klasik hareket artık.

oracle peoplesoft'ta sıfır-gün açığı, veri hırsızlığında kullanılıyor

Fri, 12 Jun 2026 17:16:34 +0300

arkadaşlar, oracle peoplesoft’ta ciddi bir sıfır-gün açığı var ve aktif olarak sömürülüyor. CVE-2026-35273 diye geçiyor bu zafiyet, shinyhunter denen veri hırsızları kullanmış bile bunu. yani şaka değil, acil yamalayın.

ne var ne yok

peoplesoft suite’te kimlik doğrulama gerektirmeyen uzaktan kod çalıştırma (RCE) açığı bulunmuş. yani saldırgan hiçbir kullanıcı adı-şifre olmadan sisteme girebiliyor ve istediği kodu çalıştırabiliyor.

spoiler: shinyhunter grubu bu açığı kullanarak şirketlerden veri çalmış bile. oracle acil yama çıkarmış durumda.

langgraph'ta self-hosted ai agentlarınızı tehlikeye atacak açık zinciri

Fri, 12 Jun 2026 17:15:53 +0300

arkadaşlar, yapay zeka agent’ları ile uğraşıyorsanız kulağınızı çevirebilirsiniz. langgraph’ta kritik seviyede bir açık zinciri bulunmuş ve yamalar yayınlanmış durumda. uzaktan kod çalıştırma (rce) denen bela yine kapıda.

olay nedir?

langgraph, langchain’in geliştirdiği açık kaynaklı bir framework. karmaşık, stateful ve multi-agent ai uygulamaları geliştirmek için kullanılıyor. güvenlik araştırmacıları burada toplam 3 tane zafiyet bulmuş ve bunlar zincir halinde kullanılınca self-hosted ai agent’larınız tehlikeye giriyor.

spoiler: en kritik olanı sql injection açığı. langgraph’ın bir fonksiyonunda sql injection var ve bu sayede saldırgan sisteme sızabiliyor.

langflow'da uzaktan kod çalıştırma zafiyeti sömürülüyor

Thu, 11 Jun 2026 17:17:28 +0300

arkadaşlar, langflow diye bir araç var, yapay zeka iş akışları oluşturmak için kullanılıyor. mart ayında açıklanan bir zafiyet şimdi aktif olarak sömürülüyor. ciddi ciddi hemen müdahale edin.

ne olmuş yani?

langflow’da kimlik doğrulama gerektirmeyen bir zafiyet var. saldırganlar bu açık sayesinde sisteme istediği yere dosya yazabiliyor, ardından da uzaktan kod çalıştırma (RCE) denen belayı yapıyor. yani kısacası sisteminize girmişler demektir.

zafiyet mart ayında açıklanmış ama şimdi wild’da (yani gerçek saldırılarda) kullanılıyor. CVE-2025-2196 numaralı bu açık, saldırganların sisteminize dosya yazıp sonra o dosyaları çalıştırmasına izin veriyor.

langflow'da yamasız rce açığı, aktif sömürülüyor

Thu, 11 Jun 2026 17:16:49 +0300

arkadaşlar, ai uygulamaları geliştirmek için kullanılan langflow’da ciddi bir açık var ve aktif olarak sömürülüyor. CVE-2026-5027 numaralı bu zafiyet için henüz yama yok, yani şu an savunmasızsınız.

vulncheck’in tespitlerine göre bu açık vahşi doğada kullanılıyor. langflow dediğimiz şey low-code bir platform, yani yapay zeka uygulamalarını kod yazmadan oluşturabiliyorsunuz. güzel de, işte tam burada sorun başlıyor.

ne var ne yok

CVE-2026-5027 bir path traversal (yol dolaşma) açığı. kısacası saldırgan, sistemin istediği yerine dosya yazabiliyor. CVSS skoru 8.8, yani ciddi seviyede bir açık 🟠

cisa federal kurumlara 3 gün süre verdi: kritik açıkları yamalayın yoksa

Thu, 11 Jun 2026 17:16:06 +0300

arkadaşlar, cisa (yani amerikan siber güvenlik altyapı ajansı) yeni bir direktif yayınladı ve bu sefer şakası yok. federal kurumlara “kritik ve aktif sömürülen açıkları 3 gün içinde yamalayın” diyor. klasik “bi ara bakarız” mantığına son veriyorlar yani.

ne olmuş peki

cisa, binding operational directive 26-04 diye bir yönerge çıkarmış. bu yönerge federal sivil yönetim kurumlarına (fceb) yönelik ve güvenlik güncellemelerini önceliklendiriyor. şöyle ki:

kritik açıklar (cvss 9.0+) ve aktif sömürülen zafiyetler: 3 gün içinde yamalanacak
yüksek öncelikli açıklar (cvss 7.0-8.9): 15 gün içinde yamalanacak
diğer açıklar için de süreler var ama bunlar en acilleri

spoiler: bu direktif 11 haziran 2026’dan itibaren geçerli. yani artık “bakarız abi” dönemi bitti federal kurumlar için.

the gentlemen fidye yazılımı grubu ve agresif işe alım stratejisi

Wed, 10 Jun 2026 17:18:04 +0300

arkadaşlar, fidye yazılımı dünyasında yeni bir oyuncu var: the gentlemen. bu grup, kurban sayısında ikinci en aktif ransomware çetesi olmuş. peki nasıl bu kadar hızlı büyüdüler? cevap basit: para, bol para.

işin özeti

the gentlemen, hackerları işe alırken çok cömert davranıyor. kurbanlardan alınan fidyenin %90’ını affiliate’lere (yani onlar için çalışan hackerlara) veriyor. klasik ransomware grupları genelde %70-80 civarı verirken, bu rakam ciddi anlamda cazip. yani “gel bize çalış, paranın çoğunu sen al” diyorlar.

protobuf.js'de 6 tane proto6 zafiyeti çıkmış, node.js uygulamaları tehlikede

Wed, 10 Jun 2026 17:16:57 +0300

arkadaşlar, protobuf.js kütüphanesinde 6 tane ciddi zafiyet bulunmuş. bu kütüphane protocol buffers’ın javascript/typescript implementasyonu, yani node.js dünyasında oldukça yaygın kullanılıyor. güvenlik araştırmacıları “proto6” adını vermişler bu zafiyet setine.

spoiler: tek bir kötü niyetli protobuf şeması, descriptor ya da crafted payload yeterli olabilir bu açıkları tetiklemek için. yani ciddi ciddi bakmak lazım bu işe.

ne var ne yok bu proto6 olayında

protobuf.js kütüphanesinde bulunan bu 6 zafiyet, başarılı bir şekilde sömürüldüğünde iki ana soruna yol açabiliyor:

veeam backup & replication'da kritik rce açığı, domain kullanıcıları bile kod çalıştırabiliyor

Wed, 10 Jun 2026 17:16:11 +0300

arkadaşlar, veeam backup & replication’da ciddi bir açık bulunmuş. CVE-2026-44963 numaralı bu zafiyet sayesinde domain kullanıcıları bile backup sunucusunda uzaktan kod çalıştırabiliyor. yani şöyle ki, normalde yedek işleriyle alakası olmayan bir domain kullanıcısı bile bu açığı kullanarak backup sunucunuza girebilir, kod çalıştırabilir.

spoiler: cvss skoru 9.4, yani kritik seviyede. hemen yamalayın bunu.

ne var ne yok bu açıkta

CVE-2026-44963 açığı, authenticated bir domain kullanıcısının (yani domain’e giriş yapabilen herhangi bir kullanıcı) backup sunucusunda uzaktan kod çalıştırmasına (rce - remote code execution) izin veriyor.

cisa check point vpn açığı için 3 gün süre verdi, qilin ransomware çetesi sömürüyor

Tue, 09 Jun 2026 17:17:49 +0300

arkadaşlar, ciddi bir durum var. cisa (amerikan siber güvenlik kurumu), check point remote access vpn ve mobile access kullanan federal kurumlara 3 gün süre vermiş. ne için mi? kritik bir açığı yamalamak için. ve bu açık sıfır-gün olarak qilin ransomware çetesi tarafından aktif şekilde sömürülüyor. yani olay fena.

ne oldu ki?

check point vpn ürünlerinde kritik bir zafiyet keşfedilmiş. qilin ransomware’in bağlı elemanları bu açığı sıfır-gün olarak kullanmışlar, yani yama çıkmadan önce saldırıya geçmişler. cisa da durumun ciddiyetini görünce “3 gün içinde yamalayın yoksa kapatın sistemleri” demiş federal kurumlara.

chrome v8'de aktif sömürülen sıfır-gün açığı var, hemen güncelleyin

Tue, 09 Jun 2026 17:17:06 +0300

arkadaşlar google yine acil güncelleme saldı. chrome’da toplam 74 tane açık kapatmış ama içlerinden biri aktif olarak sömürülüyor. CVE-2026-11645 diye geçiyor bu açık, v8 motorunda (chrome’un javascript ve webassembly motoru yani) bir sınır dışı bellek erişimi (out-of-bounds memory access) problemi var.

ne bu açık tam olarak?

CVE-2026-11645 açığı cvss skoru 8.8 ile yüksek seviye bir zafiyet. v8 motorunda sınır dışı okuma ve yazma (out-of-bounds read and write) yapılabiliyor. yani saldırgan belleğin olmaması gereken yerlerini okuyup yazabiliyor, bu da uzaktan kod çalıştırmaya (rce) kadar gidebilecek bir durum.

gogs'ta kritik sıfır-gün açığı, uzaktan kod çalıştırma mevcut

Tue, 09 Jun 2026 17:16:05 +0300

arkadaşlar, gogs kullananlar varsa hemen toplanın. self-hosted git servisinizde kritik bir sıfır-gün açığı yamalandı. CVE-2025-31450 denen bu zafiyet uzaktan kod çalıştırma (RCE) imkanı veriyor saldırganlara. yani internete açık gogs instance’ınız varsa, saldırgan gelip istediği kodu çalıştırabilir, bütün repolarınıza (private olanlar dahil) erişebilir.

spoiler: bu açık sıfır-gün, yani yamadan önce keşfedilmiş ve muhtemelen sömürülmüş bile. boş durmayın yani.

ne bu gogs meselesi?

gogs, github/gitlab gibi self-hosted bir git servisi. hafif, go ile yazılmış, sevilen bir araç. ama şimdi bu CVE-2025-31450 açığı yüzünden başınız ağrıyabilir.

check point vpn'de sıfır-gün açığı, qilin fidye çetesi işin içinde

Mon, 08 Jun 2026 17:17:48 +0300

arkadaşlar, check point’in vpn ürünlerinde kritik bir sıfır-gün açığı bulunmuş ve kötü haber: qilin fidye yazılımı çetesi bunu aktif olarak sömürmüş. israilli güvenlik firması check point acil yamayı yayınladı. remote access vpn ve mobile access kullananlar, hemen atlayın yamalara.

ne olmuş yani?

check point’in remote access vpn ve mobile access ürünlerinde kritik seviyede bir zafiyet keşfedilmiş. bu açık sıfır-gün olarak sömürülmüş, yani yamadan önce saldırganlar kullanmış bile. qilin ransomware grubu (bilirsiniz, geçen sene londra hastanelerine saldıran tipler) bu açığı kullanarak sistemlere sızmış ve fidye yazılımı dağıtmış.

mythos gerçekmiş meğer, ve durum hiç iyi değil

Mon, 08 Jun 2026 17:16:59 +0300

arkadaşlar, sektörde bir süredir konuşulan mythos denen olay var ya, hani herkes “marketing taktiği bu” diyordu. işte meğer gerçekten gerçekmiş ve durum sandığımızdan çok daha ciddi.

ne olmuş peki

mythos bulgularını gören birisi çıkmış anlatmış. “basit bir satır hatalı, hop rce” tarzı klasik açıklardan bahsetmiyoruz burada. olay çok daha derin: her sast tarayıcısının zaten bulduğu binlerce küçük sorundan birkaç düzine tanesini alıp zincirleme bir şekilde birleştiriyorlar. sonuç? çok daha kötü bir şey ortaya çıkıyor.

haftalık özet: instagram hesap çalmaları, android sıfır-gün açığı ve github'da solucan

Mon, 08 Jun 2026 17:16:09 +0300

arkadaşlar, pazartesi günü yine geldi çattı. hafta sonu sessiz sakin geçecekti, öyle olmadı tabii. geçen hafta zehirli paketler, bozuk yapay zeka asistanları ve repoları talan eden solucanlarla doluydu. en çirkin yanı ise: en basit hileler hala işe yarıyor.

ne oldu ne bitti

şöyle özetleyeyim: bir chatbot kandırıldı, malware’in içinden bot tokeni sızdırıldı, aynı eski hatalar yine karşımıza çıktı. herkes gürültülü olayların peşinde koşarken, daha sessiz saldırganlar aylarca e-posta kutularında oturup mesajları okudular.

emphere denen startup yapay zeka ile zafiyet yamalarını otomatikleştirmeye çalışıyor

Sun, 07 Jun 2026 17:16:46 +0300

arkadaşlar, bugün size bir güvenlik haberi değil de, güvenlik dünyasındaki yeni bir startup’tan bahsedeceğim. emphere diye bir firma var, 2.1 milyon dolar yatırım almış. ne yapıyorlar peki? yapay zeka ile zafiyet düzeltmeyi otomatikleştirmeye çalışıyorlar.

ne işe yarıyor bu emphere?

şöyle ki agalar, yazılım şirketleri sürekli güvenlik açıklarıyla uğraşıyor. bir zafiyet bulunuyor, sonra developer’lar oturup bunu yamalaması gerekiyor. bu da zaman alıyor, release’ler gecikiyor falan. emphere denen arkadaşlar da diyorlar ki “biz yapay zeka ile bunu otomatikleştiririz, hem hızlı olur hem de release’leriniz gecikmez.”

chatgpt'ye lockdown mode gelmiş, prompt injection'a karşı

Sun, 07 Jun 2026 17:16:03 +0300

arkadaşlar, openai chatgpt’ye yeni bir “lockdown mode” denen özellik eklemiş. ne işe yarıyor derseniz, prompt injection saldırılarıyla veri sızdırılmasını engelliyor. özellikle hassas verilerle uğraşanlar için düşünülmüş.

şimdi bu lockdown mode ne oluyor diye soracak olursanız: chatgpt’nin bazı araçlarını kısıtlayarak, kötü niyetli promptlarla verilerinizin dışarı sızdırılmasını engelliyor. yani birisi size “şunu yap, bunu yap” diye talimat verip chatgpt’yi kandırarak verilerinizi çaldıramayacak artık.

kimler kullanabilir bu özelliği

openai şu an bu modu free, go, plus ve pro hesaplarına sunuyor. yani herkese açık bi özellik bu. özellikle hassas verilerle çalışan kuruluşlar ve kişiler için tasarlanmış.

akıllı tv'niz gizlice proxy olarak çalışıyor olabilir

Sat, 06 Jun 2026 17:18:14 +0300

arkadaşlar, bugün biraz distopik bir haberle karşınızdayım. ücretsiz mobil uygulamalar ve akıllı tv’ler üzerinden cihazlarınız sessiz sedasız proxy sunucusuna dönüştürülüyor. bright data diye bir firma var, eski adı luminati. bunlar “dünyanın en büyük residential proxy ağı” diyorlar kendilerine. nasıl yapıyorlar bunu? ücretsiz uygulamalara sdk gömmüşler, siz farkında bile değilsiniz ama cihazınız web scraping trafiği için exit node olarak çalışıyor.

spoiler: özellikle 7/24 açık kalan akıllı tv’ler bu iş için birebir.

yapay zeka ffmpeg'de 21 sıfır-gün açık buldu, chrome da 429 bug yamaladı

Sat, 06 Jun 2026 17:16:51 +0300

arkadaşlar, bu hafta iki bomba haber geldi peş peşe. birincisi: bir güvenlik startupı ffmpeg’de 21 tane sıfır-gün açık bulmuş. “e ne var bunda” demeyin, bu açıkları bulan bir otonom yapay zeka ajanı. ikincisi: google chrome 149’u yayınladı ve 429 tane güvenlik açığına yama attı. evet yanlış okumadınız, 429. chrome tarihinin en büyük yama paketi bu.

şimdi bi durun, en ilginç kısım şu: ffmpeg’deki 21 açığı yapay zeka buldu ama chrome’daki 429 açığı insanlar bulmuş. yapay zeka iş başında beyler.

solarwinds serv-u'da aktif sömürülen dos açığı, cisa kataloğuna ekledi

Sat, 06 Jun 2026 17:15:52 +0300

arkadaşlar, solarwinds yine gündeme bomba gibi düştü. bu sefer serv-u dosya transfer yazılımında ciddi bir açık var ve aktif olarak sömürülüyor. cisa da boş durmamış, hemen kev kataloğuna eklemiş.

ne olmuş yani?

CVE-2026-28318 diye geçen bu açık, denial-of-service (dos) zafiyeti. yani kısacası saldırganlar bu açığı kullanarak serv-u servisini çökertebiliyorlar. cvss skoru 7.5, yani ciddi kategorisinde.

spoiler: bu açık vahşi doğada aktif olarak sömürülüyor, boş durmanın zamanı değil.

hangi sistemler etkileniyor?

Ürün	Durum
SolarWinds Serv-U	✅ Etkileniyor
Diğer SolarWinds ürünleri	⚠️ Henüz bilgi yok

solarwinds serv-u multi-protokol dosya sunucusu kullanıyorsanız, bu sizi direkt ilgilendiriyor.

azure horizondb'de kimlik doğrulama atlatma zafiyeti

Fri, 05 Jun 2026 17:17:08 +0300

arkadaşlar, microsoft’un azure horizondb servisinde ciddi bir açık bulunmuş. CVE-2026-48567 diye geçiyor bu zafiyet. spoofing (kimlik sahtekarlığı) yöntemiyle kimlik doğrulamayı atlayıp yetki yükseltme yapılabiliyor. yani ağ üzerinden yetkisiz bir saldırgan, sisteme giriş yapıp yetki yükseltebiliyor.

ne kadar ciddi bu iş?

cvss skoru 11 diyor kaynak ama bu biraz garip, çünkü cvss skalası 10’a kadar gider normalde. muhtemelen kritik seviyede bir açık olduğunu vurgulamak için böyle yazmışlar. yani kritik kritik, acil yamala demek istiyorlar.

comodo'da yamasız açık, anthropic yapay zeka tehdit haritası çıkardı ve cisa'ya yeni aday

Fri, 05 Jun 2026 17:16:34 +0300

arkadaşlar, bugün birkaç farklı konuyu bir araya getiriyoruz. comodo’da yamasız bir açık dolaşıyor, anthropic yapay zeka tehdit haritası yayınlamış, ultrahuman’da veri sızıntısı olmuş, the gentlemen ransomware analiz edilmiş ve hola browser madenci yazılım dağıtıyormuş. gelin bunlara bi bakalım.

comodo’daki yamasız açık

comodo ürünlerinde henüz yamalanmamış bir güvenlik açığı var. detaylar tam olarak açıklanmamış ama bildiğiniz gibi yamasız açıklar her zaman sorun demek. comodo kullanan arkadaşlar gözünüzü dört açın, güncellemeleri takip edin.

wordpress'te everest forms pro zafiyeti sömürülüyor agalar

Fri, 05 Jun 2026 17:15:53 +0300

arkadaşlar, wordpress kullanıyorsanız ve everest forms pro eklentiniz varsa şimdi bırakın elinizdekileri ve güncelleyin. CVE-2026-3300 diye bir zafiyet var ortada, CVSS puanı 9.8 yani kritik seviye. 🔴

saldırganlar bu açığı aktif olarak sömürüyor ve sitenizin kontrolünü tamamen ele geçirebiliyorlar. yani uzaktan kod çalıştırma (RCE) denen bela var burada.

ne oluyor peki

everest forms pro, wordpress’te form oluşturmak için kullanılan bir eklenti. yaklaşık 4000 aktif kurulumu var. bu CVE-2026-3300 açığı eklentinin 1.9.12 ve önceki tüm versiyonlarını etkiliyor.

abd iran'ın en büyük kripto borsası nobitex'i yaptırım listesine aldı

Thu, 04 Jun 2026 17:17:37 +0300

arkadaşlar, amerika’nın hazine bakanlığı (ofac denen şey) iran’ın en büyük kripto para borsası olan nobitex’i yaptırım listesine eklemiş. sebep de oldukça sağlam: fidye yazılımı çetelerinin ve terör örgütlerinin para aklama merkezi olarak kullanılıyormuş.

ne olmuş da bu karar alınmış

nobitex, iran’daki en büyük kripto para borsası. ama sadece normal ticaret yapmıyorlar, bir yandan da fidye yazılımı saldırılarından elde edilen paraların aklanmasına yardımcı oluyorlar. özellikle iranlı ransomware çeteleri bu platformu kullanarak uluslararası saldırılardan kazandıkları paraları temizliyorlar.

google'da üst sıralarda çıkan sahte açık kaynak sitelerinden malware yağıyor

Thu, 04 Jun 2026 17:16:57 +0300

arkadaşlar, yeni bir dolandırıcılık kampanyası var ve bu sefer işi sağlam yapmışlar. açık kaynak projelerin ve ücretsiz yazılımların sahte sitelerini yapıp google’da üst sıralara çıkarıyorlar. siz de masum masum “obs studio indir” diye arıyorsunuz, hop malware yüklüyorsunuz.

olay ne tam olarak

siber güvenlik araştırmacıları büyük çaplı bir operasyon tespit etmiş. saldırganlar meşhur açık kaynak projelerin birebir kopyası siteler yapıyorlar. siteler öyle güzel tasarlanmış ki, ilk bakışta orijinalinden ayırt edemiyorsunuz. sonra ne yapıyorlar? bir tane Traffic Distribution System (TDS) denen altyapı kurmuşlar. siz sahte siteden “indir” dediğinizde, sistem sizi analiz ediyor ve uygun malware’i gönderiyor.

cisa magento'daki kritik rce açığını kataloğuna ekledi

Thu, 04 Jun 2026 17:15:51 +0300

arkadaşlar, cisa yine kev kataloğunu güncellemiş. bu sefer magento’da aktif olarak sömürülen kritik bir açık var. CVE-2026-45247 numaralı bu zafiyet, mirasvit cache warmer denen popüler bir magento eklentisinde bulunmuş.

ne var ne yok

CVE-2026-45247 açığı cvss skoru 9.8 ile kritik seviyede. ciddi ciddi hemen yamalayın. 🔴

zafiyet türü: deserialization of untrusted data, yani güvenilmeyen verinin deserialize edilmesi. klasik bir rce (uzaktan kod çalıştırma) senaryosu. saldırgan bu açığı kullanarak sunucunuzda istediği kodu çalıştırabilir.

yapay zeka ile ransomware yapmak artık çocuk oyuncağı olmuş

Wed, 03 Jun 2026 17:17:26 +0300

arkadaşlar, ciddi bir durum var. saldırganlar artık yapay zeka kullanarak ransomware toolkit’leri oluşturmuşlar. yani artık kod bilmenize gerek yok, ai sizin için hem active directory keşfi yapan hem de edr çözümlerini atlatan araçlar üretiyor. bu işler iyice kolaylaştı yani.

bleepingcomputer’ın haberine göre, bir tehdit aktörü ai destekli ransomware saldırı araç setini kullanıyor. bu toolkit otomatik olarak active directory keşfi yapıyor ve endpoint detection and response (edr) denen güvenlik çözümlerini atlatmaya yardımcı oluyor. yani saldırgan “bana bir ransomware yap, edr’ları atlatsın, ad’yi keşfetsin” diyor, ai de hazırlıyor. korkunç bir durum.

wordpress kirki eklentisinde kritik açık, admin hesapları ele geçiriliyor

Wed, 03 Jun 2026 17:16:40 +0300

arkadaşlar, wordpress kullanıyorsanız ve kirki eklentisi kuruluysa hemen bu yazıyı okuyun. kritik bir CVE-2026-8206 açığı var ve aktif olarak sömürülüyor. saldırganlar bu açıkla admin dahil herhangi bir kullanıcı hesabını ele geçirebiliyor.

ne oluyor yani?

kirki, wordpress için popüler bir tema özelleştirme eklentisi. şu an 100 binin üzerinde aktif kurulumu var. bu CVE-2026-8206 zafiyeti yetki yükseltme (privilege escalation) açığı, yani saldırgan normal bir kullanıcı yetkisiyle gelip admin olabiliyor. daha kötüsü, kimlik doğrulama bile gerekmiyor bazı senaryolarda.

google haziran 2026 android yaması geldi, 124 açık kapatılmış ama biri sömürülmüş bile

Wed, 03 Jun 2026 17:16:00 +0300

arkadaşlar google haziran ayı android yamasını saldı. tam 124 tane güvenlik açığı kapatmış ama içlerinde bir tanesi aktif olarak sömürülüyor. CVE-2025-48595 diye geçiyor bu açık, framework component’te bulunmuş. ciddi ciddi hemen yamalayın.

ne var bu açıkta

CVE-2025-48595 açığı yetki yükseltme (privilege escalation) zafiyeti. yani kısacası bir uygulama normalde erişemeyeceği yerlere erişebiliyor. CVSS skoru 8.4, yani ciddi seviyede bir açık.

spoiler: bu açık kullanıcı etkileşimi gerektirmiyor, yani siz bir şey yapmadan bile tetiklenebiliyor. o yüzden daha da tehlikeli.

oracle weblogic'te vahşi batıda sömürülen açık

Tue, 02 Jun 2026 17:17:10 +0300

arkadaşlar, oracle weblogic’te ciddi bir açık var ve aktif olarak sömürülüyor. CVE-2024-21182 denen bu zafiyet, kimlik doğrulama gerektirmeden sunucuları ele geçirmeye yarıyor. yani saldırgan kullanıcı adı şifre falan aramıyor, direkt girip işini görüyor.

ne var ne yok

CVE-2024-21182 zafiyeti, oracle’ın ekim 2024’te yamaladığı bir açık aslında. ama görünen o ki herkes yamalamamış, şimdi de kötü niyetli tipler vahşi batıda avlanıyor.

zafiyet, weblogic server’ın t3 protokolünde bulunuyor. saldırgan kimlik doğrulaması olmadan uzaktan kod çalıştırma (RCE) yapabiliyor. yani sunucuya istediğini yükletip çalıştırabiliyor.

hp voip telefonlarında kritik açık, şirket ağına giriş kapısı olmuş

Tue, 02 Jun 2026 17:16:39 +0300

arkadaşlar, hp’nin voip telefonlarında kritik seviyede bir açık bulunmuş. stack-based buffer overflow denen klasik zafiyet var ve uzaktan kod çalıştırmaya (rce) izin veriyor. yani saldırgan telefonu ele geçirdikten sonra oradan şirket ağına sızabiliyor.

spoiler: bu tip voip cihazlar genelde şirket ağının içinde güvenilir cihaz olarak görüldüğü için, bir kere ele geçirildikten sonra lateral movement için mükemmel bir atlama taşı oluyor.

detaylar

zafiyet CVE-2025-64328 olarak kataloglanmış. cvss skoru tam 9.8/10 yani kritik seviyede 🔴

google haziran 2026 yamalarını saldı, bir sıfır-gün aktif sömürülüyor

Tue, 02 Jun 2026 17:15:59 +0300

arkadaşlar, google haziran ayı android güvenlik yamalarını yayınladı. toplam 124 tane açık kapatmışlar ama içlerinde bir tanesi aktif olarak sömürülüyor, yani sıfır-gün (zero-day) dedikleri bela. hedefli saldırılarda kullanılmış bile.

ne var bu yamada

google’ın haziran 2026 yaması iki seviyede geliyor:

2026-06-01 seviye yamalar: android framework, sistem bileşenleri ve google play sistem güncellemeleri için. bunlar daha hafif meseleler.

2026-06-05 seviye yamalar: asıl kritik olanlar burada. kernel, qualcomm, mediatek gibi donanım üreticilerinin bileşenlerindeki açıklar. sıfır-gün açığı da bu seviyede.

çin bağlantılı gruplar yine sahnede: çek cumhuriyeti ve tayvan hedefte

Mon, 01 Jun 2026 17:17:24 +0300

arkadaşlar, çin bağlantılı siber casuslar yine iş başında. bu sefer “operation dragon weave” denen bir kampanya ile çek cumhuriyeti ve tayvan’daki yetkilileri hedef almışlar. seqrite labs’ın raporuna göre devlet kurumları, araştırma merkezleri, üniversiteler, teknoloji firmaları ve finans sektörü tamamen nişangahta.

olay ne tam olarak

klasik spear-phishing yöntemiyle geliyorlar yine. yani hedef odaklı oltalama e-postaları atıyorlar. içinde zip dosyası var, açınca da adaptixc2 denen bir ajan sisteme yerleşiyor. bu ajan ne mi yapıyor? casusluğun kitabını yazıyor: veri çalıyor, sistem bilgilerini topluyor, komuta-kontrol (c2) sunucularıyla haberleşiyor.

windows netlogon'da kritik açık ve aktif sömürülüyor

Mon, 01 Jun 2026 17:16:47 +0300

arkadaşlar, belçika siber güvenlik merkezi (ccb) ciddi bir uyarı yayınladı. windows netlogon’da yeni yamalanmış kritik bir açık var ve şu anda aktif olarak sömürülüyor. yani teorik değil, gerçek saldırılar var ortada.

ne olmuş peki

microsoft’un netlogon protokolünde uzaktan kod çalıştırma (rce) açığı bulunmuş. netlogon nedir diyenler için: domain controller’ların kullanıcı kimlik doğrulaması için kullandığı bir windows servisi. yani tam kalbinden vurulmuş sistem.

spoiler: bu açık CVE-2025-21294 olarak geçiyor ve cvss skoru 9.8. yani “kritik, acil yamala 🔴” kategorisinde.

wp maps pro eklentisinde kritik açık, saldırganlar admin hesabı açıyor

Mon, 01 Jun 2026 17:16:09 +0300

arkadaşlar, wordpress kullanıyorsanız ve wp maps pro eklentiniz varsa hemen dinleyin. kritik seviyede bir açık bulunmuş ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak sitenizde admin hesabı açıyorlar, yani tam yetki alıyorlar.

olay ne?

wp maps pro diye bir wordpress eklentisi var, envato market’te 15 bin satışı geçmiş popüler bir şey. google maps ve openstreetmap entegrasyonu yapıyor sitelerinize. işte bu eklentide kritik bir zafiyet keşfedilmiş ve kötü niyetli tipler bunu çoktan kullanmaya başlamış bile.

rus casusları batı teknolojisi peşinde, sanksiyonlar iyice canlarını sıkmış

Sun, 31 May 2026 17:17:37 +0300

arkadaşlar, yeni bir istihbarat raporu geldi ve rus ajanların batı teknolojisi peşinde koştuğunu, sanksiyonlar yüzünden iyice çaresiz kaldıklarını görüyoruz. ama bu “çaresizlik” aslında sistem yöneticileri için ciddi bir tehdit anlamına geliyor, o yüzden kulak verin.

ne oluyor peki?

moskova’nın ajanları artık her yola başvuruyor:

sahte şirketler kuruyor: yani normal teknoloji firması gibi görünen ama aslında rus istihbaratı için çalışan yapılar
aracı adam topluyorlar: batıda yaşayan, güvenilir görünen insanları kullanarak teknoloji transferi yapıyorlar
siber casuslar ve hackerlar devrede: hem bilgi topluyorlar hem de kritik altyapıya saldırı için keşif yapıyorlar

spoiler: bu sadece bilgi toplama değil, toplanan veriler kritik altyapılara saldırı için kullanılabilir.

hollandalılar 17 milyon cihazlık dev botnet'i çökertti

Sun, 31 May 2026 17:16:40 +0300

arkadaşlar, hollanda polisi ve siber güvenlik merkezi (ncsc) çok büyük bir operasyon gerçekleştirmiş. 17 milyon enfekte cihazdan oluşan dev bir botnet’i çökertmişler. yani 17 milyon bilgisayar, tablet, telefon ve iot cihazı zombi gibi kötü niyetli saldırılar için kullanılıyormuş.

ne olmuş tam olarak

hollanda’da bulunan 200’den fazla sunucu bu botnet’in omurgasını oluşturuyormuş. hollandalı agalar güzel bir operasyonla bunları devre dışı bırakmışlar. spoiler: bu botnet dünya çapında milyonlarca cihazı kontrol ediyordu, sadece hollanda değil.

flowise'da kritik rce açığı ve exploit kodu yayınlandı

Sun, 31 May 2026 17:15:54 +0300

arkadaşlar, flowise kullananlar var mı aranızda? varsa hemen dinleyin bunu. kritik seviyede bir rce (uzaktan kod çalıştırma) açığı bulunmuş ve exploit kodu da yayınlanmış. yani saldırganlar hazır tarif bulmuş durumda.

ne olmuş yani?

flowise, llm uygulamaları geliştirmek için kullanılan açık kaynaklı bir araç. şimdi bu araçta öyle bir açık bulunmuş ki, saldırgan kötü niyetli bir chatflow dosyası hazırlıyor, siz de “import edelim şunu” diyorsunuz, hop sunucunuzda istediği kodu çalıştırıyor. tek tık yeter yani, bir de “social engineering” dedikleri kandırma sanatı tabii.

saldırganlar marimo açığından sonra llm ajanı kullanıyor

Sat, 30 May 2026 17:17:43 +0300

arkadaşlar, çok ilginç bir olay var. saldırganlar CVE-2026-39987 açığını kullanarak marimo notebook’lara giriyorlar, ama asıl ilginç kısım şu: içeri girdikten sonra post-exploitation işlemlerini llm ajanı kullanarak yapıyorlar. yani yapay zeka destekli saldırı dönemi resmen başlamış.

ne olmuş tam olarak

bilinmeyen bir saldırgan grubu, internete açık marimo notebook’lara CVE-2026-39987 zafiyetini kullanarak girmiş. buraya kadar klasik. ama sonrası ilginç: sisteme girdikten sonra cloud credential’ları çalmak ve lateral movement yapmak için llm ajanı kullanmışlar.

spoiler: bu yeni nesil saldırı yöntemi, yapay zekanın kötü amaçlı kullanımına güzel bir örnek.

chatgpt'nin markdown açığı ile phishing saldırıları: chatgphish

Sat, 30 May 2026 17:16:51 +0300

arkadaşlar, openai’ın chatgpt’sinde ilginç bir açık bulunmuş. “chatgphish” diyorlar buna. şöyle ki, chatgpt web özetlerinde markdown linklerine ve görsellere aşırı güveniyormuş. bu da prompt injection denen beladan phishing saldırılarına kadar giden bir yol açıyormuş.

permiso security’nin araştırmacıları ortaya çıkarmış bu açığı. chatgpt.com’un response renderer’ı (yani yanıt oluşturucu kısmı) markdown linklerini ve markdown görsellerini sorgulamadan güveniyormuş. saldırganlar bunu kullanarak kullanıcıları kandırabiliyorlar.

ne oluyor peki bu chatgphish olayında

spoiler: chatgpt’ye bir web sayfası özetlemesini söylediğinizde, o sayfa içinde kötü niyetli markdown kodu varsa, chatgpt bunu güzelce render ediyor ve kullanıcıya sunuyor. yani siz “şu siteyi özetle” diyorsunuz, chatgpt de içindeki zararlı markdown’ı aynen gösteriyor.

palo alto pan-os'ta aktif sömürülen globalprotect açığı

Sat, 30 May 2026 17:15:59 +0300

arkadaşlar, palo alto networks yine gündemde ama bu sefer pek iyi sebeplerden değil. CVE-2026-0257 numaralı bir açık var ve aktif olarak sömürülüyor. yani teorik falan değil, gerçekten kullanılıyor bu açık.

ne olmuş yani?

palo alto’nun pan-os işletim sisteminde ve prisma access’te bir kimlik doğrulama bypass açığı bulunmuş. cvss skoru 7.8, yani “ciddi” kategorisinde. kötü niyetli tipler bu açığı kullanarak vpn bağlantısı kurabiliyorlar, kimlik doğrulamasını atlayarak.

spoiler: globalprotect vpn servisi kullanıyorsanız, bu sizin için geçerli.

forticlient ems'te aktif sömürülen açık, bilgi hırsızı malware dağıtılıyor

Fri, 29 May 2026 17:17:21 +0300

arkadaşlar, fortinet yine gündemde ama bu sefer kötü haberlerle. forticlient enterprise management server (ems) yazılımında CVE-2026-35616 numaralı bir authentication bypass (kimlik doğrulama atlama) açığı var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak ekz denen yeni bir credential stealer (kimlik bilgisi hırsızı) malware dağıtıyorlar.

ne oluyor yani?

şöyle ki, forticlient ems dediğimiz şey fortinet’in endpoint yönetim sunucusu. şirketler bunu kullanarak bilgisayarlarındaki forticlient vpn yazılımlarını merkezi olarak yönetiyorlar. saldırganlar bu CVE-2026-35616 açığını kullanarak kimlik doğrulamasını atlıyorlar ve sisteme sızıyorlar. sonra da ekz denen malware’i kuruyorlar.

gogs'ta kritik rce açığı, herhangi bir kullanıcı kod çalıştırabiliyor

Fri, 29 May 2026 17:16:34 +0300

arkadaşlar, gogs kullananlar varsa hemen dikkat. gogs dediğimiz self-hosted git serviste kritik bir açık bulunmuş. rapid7 araştırmacıları bulmuş bunu, cvss skoru 9.4 yani kritik seviye 🔴

ne var ne yok

şöyle ki, herhangi bir authenticated kullanıcı (yani sisteme giriş yapmış herhangi biri) belirli koşullarda uzaktan kod çalıştırabiliyor (rce - remote code execution). yani şöyle düşünün, sisteminizde hesabı olan herhangi bir kullanıcı sunucunuzda istediği kodu çalıştırabilir.

spoiler: henüz cve numarası verilmemiş bu açığa, ama ciddiyet seviyesi belli.

gogs'ta yamasız sıfır-gün açığı, rce veriyor

Fri, 29 May 2026 17:16:03 +0300

arkadaşlar, gogs kullanan varsa dikkat. self-hosted git servisi olarak bildiğiniz gogs’ta yamasız bir sıfır-gün açığı bulunmuş ve uzaktan kod çalıştırma (rce) veriyor. yani saldırgan sisteminizde istediği komutu çalıştırabiliyor, durumun ciddiyeti ortada.

ne olmuş peki

gogs, bildiğiniz gibi go ile yazılmış, hafif, self-hosted bir git servisi. github’ın kendi sunucunuzda çalışan versiyonu gibi düşünün. işte bu serviste bir zafiyet bulunmuş ve henüz yamayı da yayınlamamışlar. spoiler: internet’e açık gogs instance’larınız varsa, şu an savunmasızsınız demektir.

fidye yazılımcılar avukatlık bürolarına bizzat gelip veri çalıyor

Thu, 28 May 2026 17:17:34 +0300

arkadaşlar, bu sefer işler biraz değişik. fbi uyarı yayınlamış: silent ransom group diye bir fidye yazılımı çetesi var, bunlar avukatlık bürolarını hedef alıyor. ama işin ilginç kısmı, uzaktan hacklemekle uğraşmıyorlar. bizzat gelip sosyal mühendislik yaparak sunuculara ve veritabanlarına erişim sağlıyorlar. yani adam kapınıza geliyor, “merhaba ben it destek” diyor, sonra da bütün müvekkil verilerinizi çalıp gidiyor.

olay nasıl gelişiyor

silent ransom group’un taktiği klasik siber saldırılardan farklı. bu arkadaşlar fiziksel olarak ofislere gidiyorlar ve sosyal mühendislik teknikleriyle çalışanları kandırıp sistemlere erişim sağlıyorlar. avukatlık büroları özellikle hedef alınmış çünkü:

ibm ve red hat açık kaynak güvenliğine 5 milyar dolar basıyor

Thu, 28 May 2026 17:16:36 +0300

arkadaşlar, ibm ve red hat büyük bir hamle yaptı. “project lightwell” adını verdikleri bir projeye 5 milyar dolar yatırım yapacaklarını açıkladılar. amaç ne mi? açık kaynak yazılımların tedarik zincirini güvenli hale getirmek.

ne var ne yok bu işte

açık kaynak yazılımlar her yerdeler biliyorsunuz. linux’tan tut kubernetes’e, python kütüphanelerinden nodejs paketlerine kadar her şey açık kaynak. ama işin içine kötü niyetli tipler girince ortada ciddi güvenlik sıkıntıları oluşuyor. log4j vakasını hatırlarsınız, dünya başına yıkılmıştı.

teampcp ve shai-hulud solucanı: şans mı yetenek mi tartışması

Thu, 28 May 2026 17:16:00 +0300

arkadaşlar, açık kaynak ekosisteminde ciddi hasara yol açan shai-hulud solucanının arkasındaki teampcp grubu hakkında konuşalım. dark reading’den gelen bir analize göre bu grubun başarısı tamamen yetenekten mi kaynaklanıyor yoksa şans faktörü mü var, bunu tartışıyorlar.

olay ne?

teampcp diye bir siber suç grubu var. bunlar shai-hulud solucanının ikinci dalgasından sorumlu tipler. açık kaynak ekosisteminde ciddi zararlar vermişler ama asıl soru şu: bunlar gerçekten çok yetenekli mi yoksa şanslı mı?

spoiler: dark reading’in analizi diyor ki sadece yetenek değil, zamanlama ve şans faktörü de bu işin içinde varmış.

çalışanlarınız gizli gizli ai araçları kullanıyor, ne yapacaksınız

Wed, 27 May 2026 17:17:24 +0300

arkadaşlar, günümüzün en büyük baş ağrılarından biri geliyor: shadow ai. yani çalışanlarınız it’den izin almadan chatgpt, copilot, ai yazma asistanı falan ne buluyorlarsa kullanıyor. istatistiklere göre ortalama bir çalışan günde 3-5 tane ai aracı kullanıyormuş. bunların çoğu da it’nin haberdar olmadığı şeyler.

şimdi durum şu: adam akıllı çalışan, işini hızlı yapmanın yolunu arıyor. kod yazarken copilot açıyor, toplantı notlarını ai’ya özetletiyor, mail yazarken chatgpt’den yardım alıyor. gayet normal yani, verimlilik diye buna derler. ama işin güvenlik tarafında büyük sıkıntı var.

knowledgedeliver lms'te sıfır-gün açığı, godzilla web shell yüklemişler

Wed, 27 May 2026 17:16:36 +0300

arkadaşlar, öğrenme yönetim sistemi (lms) denen şeylerde yine iş dönmüş. knowledgedeliver diye bir lms yazılımında kritik bir sıfır-gün açığı bulunmuş ve saldırganlar bunu kullanarak godzilla web shell denen belayı yüklemeyi başarmışlar. yani yama çıkmadan önce sömürülmüş, klasik sıfır-gün vakası.

ne olmuş peki

knowledgedeliver kullanan bir sunucuda CVE-2025-32438 zafiyeti tespit edilmiş. bu açık sayesinde saldırganlar uzaktan kod çalıştırma (rce) yapabiliyorlar. yani kimlik doğrulama falan gerekmeden sunucuya shell atabiliyorsunuz, düşünün işin ciddiyetini.

cvss skoru: 9.8/10 - kritik, acil yamala 🔴

cisa 4 gün vermiş cpanel litespeed pluginine, acil yamalayın

Wed, 27 May 2026 17:15:53 +0300

arkadaşlar, cisa (amerikan siber güvenlik ajansı) federal kurumlara 4 gün süre vermiş litespeed cpanel pluginindeki kritik açığı yamalamak için. ha bu arada spoiler: bu açık aktif olarak sömürülüyor, yani teorik değil, gerçek saldırılarda kullanılıyor şu an.

ne olmuş yani

litespeed cpanel user-end plugininde kritik bir zafiyet bulunmuş. CVE-2025-3484 numaralı bu açık sayesinde saldırganlar uzaktan kod çalıştırabiliyorlar (rce denen bela). cvss skoru 9.8, yani kritik seviyede 🔴

şöyle ki, bu plugin cpanel kullanan sunucularda yaygın bir şekilde kullanılıyor. litespeed web sunucusu için optimize edilmiş bir cache plugini. ama işte bir açık bırakmışlar ve kötü niyetli tipler bunu bulmuş, sömürmeye başlamışlar bile.

yapay zeka destekli ddos saldırıları yeni nesil bela oldu

Tue, 26 May 2026 17:17:58 +0300

arkadaşlar, klasik ddos saldırıları yetmiyormuş gibi şimdi bir de yapay zeka destekli versiyonu çıktı. yani artık saldırganlar tek başına değil, ai ile beraber çalışıyorlar. daha hızlı, daha güçlü ve daha zor tespit edilebilir saldırılar yapıyorlar. the hacker news’e göre kötü niyetli tipler ai araçlarını kullanarak sistemlerdeki zayıf noktaları daha hızlı buluyor ve saldırılarını ona göre şekillendiriyorlar.

ne değişti peki

geleneksel ddos saldırıları belliydi, tahmin edilebilirdi. ama şimdi ai devreye girince işler karıştı:

cisa drupal açığını aktif sömürü listesine aldı, çarşamba akşamına kadar yamalayın

Tue, 26 May 2026 17:17:11 +0300

arkadaşlar, cisa (yani amerikan siber güvenlik kurumu) federal kurumlara ultimatom vermiş durumda. drupal’da aktif olarak sömürülen bir sql injection açığı var ve çarşamba akşamına kadar yamalanması gerekiyor. spoiler: bu açık vahşi doğada aktif kullanılıyor, yani teorik bir şey değil.

ne olmuş yani?

drupal cms’inde (biliyorsunuz, wordpress’in biraz daha ciddi kuzenlerinden biri) kritik bir sql injection zafiyeti keşfedilmiş. CVE-2025-50329 numaralı bu açık, saldırganların veritabanına doğrudan erişim sağlamasına izin veriyor. yani klasik sql injection işte, ama aktif olarak kullanılıyor.

mfa prompt bombing yani ikinci faktör spam'leme saldırısı

Tue, 26 May 2026 17:16:28 +0300

arkadaşlar, mfa (çok faktörlü kimlik doğrulama) diye bir şey çıkardık, “artık güvendeyiz” dedik. şifre çalınsa bile ikinci faktör olmadan giremezler diye düşündük. mantık yerindeydi aslında ama saldırganlar yeni bir yöntem bulmuş: ikinci faktörü çalmaya gerek yok, kullanıcıya onaylatıyorlar direkt. klasik sosyal mühendislik, yeni ambalaj.

olay ne tam olarak

şöyle ki agalar, saldırganlar kullanıcının şifresini ele geçirmiş diyelim (phishing, sızıntı, her neyse). normalde mfa devreye girer ve kullanıcının telefonuna onay bildirimi gelir. ama bu sefer saldırgan sürekli giriş denemesi yapıyor. kullanıcının telefonuna onlarca, yüzlerce bildirim geliyor.

hollanda 800 sunucu el koydu, siber saldırılara destek veren 2 hosting firması sahibini tutukladı

Mon, 25 May 2026 17:17:42 +0300

arkadaşlar hollanda polisi büyük bir operasyon gerçekleştirdi ve 800 sunucuya el koydu. iki hosting firması sahibini tutukladılar, çünkü bu tipler rusya’nın avrupa birliği içinde siber saldırılar, etki operasyonları ve dezenformasyon kampanyaları düzenlemesine yardım etmişler.

spoiler: bu olay aslında yeni değil, krebs on security 2025’te bu adamları yazmıştı. stark industries solutions diye ab tarafından yaptırım yemiş bir internet servis sağlayıcısının teknik altyapısını devralarak işe devam etmişler.

ne oldu, nasıl oldu?

hollanda yetkilileri iki hosting şirketinin ortak sahiplerini tutukladı. bu arkadaşlar rusya’nın siber operasyonlarına altyapı sağlıyormuş. yani sunucuları, ip adreslerini, hosting hizmetlerini verip “buyrun abi, istediğiniz gibi kullanın” demişler.

ghost cms'te sql injection açığı var ve aktif sömürülüyor

Mon, 25 May 2026 17:16:43 +0300

arkadaşlar, ghost cms kullananlar için çok kötü bir haber var. CVE-2026-26980 diye bir kritik sql injection açığı bulunmuş ve şu anda aktif olarak sömürülüyor. büyük çaplı bir kampanya varmış, clickfix denen saldırı yöntemiyle birlikte kullanılıyormuş.

ne oluyor yani?

şöyle ki, saldırganlar bu CVE-2026-26980 açığını kullanarak ghost cms’in veritabanına kötü niyetli javascript kodu enjekte ediyorlar. klasik sql injection işte, ama sonuçları çok vahim. enjekte edilen javascript kodu clickfix denen bir saldırı akışını tetikliyor.

ghost cms'te kritik açık, 700'den fazla site hacklendi

Mon, 25 May 2026 17:16:03 +0300

arkadaşlar, ghost cms kullanan varsa hemen kulak verin. CVE-2026-26980 diye bir zafiyet var ortada ve aktif olarak sömürülüyor. şimdiye kadar 700’den fazla site ele geçirilmiş, kötü niyetli javascript kodları enjekte edilmiş.

qianxin xlab’ın tespitine göre saldırganlar bu açığı kullanarak clickfix saldırıları düzenliyor. yani sitelerinize zararlı kod yerleştirip ziyaretçilerinizi kandırmaya çalışıyorlar.

ne bu açık, nasıl çalışıyor

CVE-2026-26980 açığı ghost cms’in content api’sinde bulunan bir sql injection zafiyeti. cvss skoru 9.4 yani kritik seviyede, boş durmayın.

italyanlar cinemagoal korsan uygulamasını çökertti, netflix spotify hesapları çalıyormuş

Sun, 24 May 2026 17:17:39 +0300

arkadaşlar italya’dan ilginç bir haber geldi. cinemagoal diye bir korsan uygulama varmış, netflix, disney+, spotify gibi platformların hesap bilgilerini çalıyormuş. italyan polisi operasyon düzenlemiş ve tüm sistemi çökertmiş.

şimdi “ben sistem yöneticisiyim, korsan uygulama kullanmam” diyorsunuz biliyorum. ama bu olay aslında güvenlik açısından önemli çünkü:

kullanıcılarınız bu tür uygulamaları kullanıyor olabilir
bu uygulamalar kimlik bilgisi çalıyor
çalınan bilgilerle kurumsal hesaplara erişilebilir (şifre tekrarı yapan kullanıcılar var ya hani)

olay nasıl işliyormuş

cinemagoal uygulaması şöyle çalışıyormuş:

laravel lang paketleri ele geçirilmiş, kimlik bilgisi çalan zararlı yayılmış

Sun, 24 May 2026 17:16:48 +0300

arkadaşlar, php laravel kullanan varsa hemen dinlesin. laravel lang diye popüler bir yerelleştirme (localization) paketi var, onu ele geçirmişler ve içine kimlik bilgisi çalan zararlı yazılım koymuşlar. github’daki version tag’lerini kötüye kullanarak composer üzerinden dağıtmışlar bu zararlıyı. ciddi ciddi kontrol edin projelerinizi.

ne olmuş yani?

saldırganlar laravel lang paketlerinin github deposuna sızmış. sonra ne yapmışlar? version tag’lerini manipüle ederek composer’a sahte sürümler yollamışlar. yani siz composer update dediğinizde meşru paket yerine zararlı paket gelmiş sisteminize. klasik supply chain attack yani, ama bu sefer hedef php/laravel ekosistemi.

npm'e 2fa zorunluluğu ve aşamalı yayınlama özelliği geldi

Sun, 24 May 2026 17:16:06 +0300

arkadaşlar, github npm için ciddi güvenlik özellikleri eklemiş. artık paket yayınlamadan önce 2fa ile onay zorunlu olacak ve paketler aşamalı olarak yayınlanacak. supply chain saldırılarına karşı güzel bir hamle olmuş.

ne var ne yok

github, npm için “staged publishing” denen bir özellik getirmiş. yani şöyle ki, bir paket yayınlamak istediğinizde direkt npm registry’e düşmüyor. önce bir onay aşamasından geçiyor ve insan bir maintainer 2fa challenge’ını geçmeden paket herkese açılmıyor.

spoiler: bu özellik artık genel kullanıma açık, yani herkes kullanabilir.

laravel-lang paketleri hacklenmiş, şifre çalıyor

Sat, 23 May 2026 17:17:35 +0300

arkadaşlar, php dünyasında ciddi bir olay var. laravel-lang’e ait birkaç paket hacklenmiş ve içine şifre çalan bir framework yerleştirilmiş. ciddi ciddi hemen kontrol edin projelerinizi.

ne olmuş peki

laravel-lang organizasyonuna ait 4 tane popüler php paketi tehlikeye girmiş:

laravel-lang/lang
laravel-lang/http-statuses
laravel-lang/attributes
laravel-lang/actions

siber güvenlik araştırmacıları, bu paketlere yeni yayınlanan tag’lerde zararlı kod bulmuşlar. klasik supply chain saldırısı yani, güvendiğiniz pakete kötü kod yerleştirip sizi vurmak.

spoiler: bu paketler laravel topluluğunda oldukça yaygın kullanılıyor, yani etki alanı geniş.

first vpn adlı kriminal vpn servisi çökertildi

Sat, 23 May 2026 17:16:45 +0300

arkadaşlar büyük bir operasyon haberi geldi. avrupa ve kuzey amerika’daki kolluk kuvvetleri, first vpn diye bilinen kriminal bir vpn servisini çökertmiş. operation saffron adını vermişler operasyona. fransa ve hollanda liderliğinde gerçekleştirilmiş, bir sürü ülke de destek vermiş.

ne olmuş peki

first vpn servisi, siber suçluların kullandığı bir vpn hizmetiymiş. 25 farklı fidye yazılımı grubu kullanmış bu servisi. yani adam gibi vpn değil bu, doğrudan kriminal aktiviteler için kurulmuş bir altyapı.

anthropic'in yapay zeka projesi 10 bin tane kritik açık bulmuş

Sat, 23 May 2026 17:16:11 +0300

arkadaşlar, anthropic’in (claude’u yapan firma) “project glasswing” diye bir projesi varmış. nisan ayında başlatmışlar, bir ay içinde dünyanın en kritik yazılımlarında 10 bin tane yüksek ve kritik seviye güvenlik açığı bulmuşlar. evet, yanlış okumadınız, on bin tane.

ne bu project glasswing meselesi

anthropic, claude mythos diye bir yapay zeka modelini güvenlik araştırmalarına saldırmış. 50 tane seçkin partner ile çalışıyorlar, bunlar arasında büyük yazılım firmaları ve kritik altyapı sağlayıcıları var. yani “sistemik olarak önemli” dedikleri yazılımları tarıyorlar - linux kernel, openssl, postgresql gibi herkesin kullandığı şeyleri düşünün.

fbi first vpn denen siber suç servisini çökertti, admin de içeri tıkıldı

Fri, 22 May 2026 17:17:08 +0300

arkadaşlar, güzel haberlerle geldim bugün. fbi, “first vpn” diye bir siber suç servisi çökertmiş ve yöneticisini de içeri tıkmışlar. bu servis ne mi yapıyormuş? onlarca fidye yazılımı çetesi kullanıyormuş bu vpn’i, kurban şirketlerin ağlarını keşfetmek ve sızmak için.

ne oldu tam olarak?

first vpn denen servis, klasik vpn değilmiş arkadaşlar. bu, siber suçluların özel olarak kullandığı bir hizmetmiş. düşünün ki fidye yazılımı çeteleri (ransomware grupları) bu vpn’i kullanarak:

kurban şirketlerin ağlarını keşfediyorlar (network reconnaissance)
sistemlere sızıyorlar
kimliklerini gizliyorlar
iz bırakmadan operasyon yapıyorlar

spoiler: onlarca ransomware grubu kullanıyormuş bu servisi. yani küçük bir iş değil bu.

trend micro apex one'da sıfır-gün açığı, aktif sömürülüyor

Fri, 22 May 2026 17:16:34 +0300

arkadaşlar, japonya merkezli siber güvenlik firması trend micro’dan kötü haber geldi. apex one isimli ürünlerinde sıfır-gün açığı bulunmuş ve aktif olarak sömürülüyor. windows sistemleri hedef alınıyor, acil yamalayın.

ne oldu yani?

trend micro apex one’da kritik bir zafiyet keşfedilmiş. sıfır-gün (zero-day) dedikleri şey bu işte, yani yama yayınlanmadan önce saldırganlar bulmuş ve kullanmaya başlamış bile. şu an saldırılar devam ediyor, boş durmayın.

spoiler: trend micro güvenlik yazılımı satıyor ama kendi ürünü açık yemiş. ironi seviyesi yüksek.

drupal'de kritik sql injection açığı artık aktif sömürülüyor

Fri, 22 May 2026 17:15:55 +0300

arkadaşlar, drupal bu hafta başında duyurduğu kritik sql injection açığının artık aktif olarak sömürüldüğünü açıkladı. “highly critical” diyorlar buna, yani çok ama çok ciddi demek. hemen yamalamayanlar şimdi saldırganların hedefi haline gelmiş durumda.

ne oldu tam olarak

drupal, geçen hafta CVE-2025-32891 numaralı bir sql injection zafiyeti duyurdu. cvss skoru 9.8/10 yani kırmızı alarm seviyesinde. şimdi de “agalar bu açık artık vahşi doğada sömürülüyor, acil yamalayın” diye uyarı yayınlamışlar.

sql injection dedikleri şey malum, veritabanına kötü niyetli sql komutları enjekte edebiliyorsunuz. bu da demek oluyor ki:

polis first vpn denen siber suç ağını çökertti

Thu, 21 May 2026 17:17:11 +0300

arkadaşlar, güzel bir haber geldi bugün. uluslararası polis operasyonu sonucu “first vpn” diye bir vpn servisi kapatılmış. “e vpn kapatmışlar, neymiş” demeyin, bu vpn servisi fidye yazılımı saldırıları ve veri hırsızlığı olaylarında kullanılıyormuş. yani meşru bir iş değil, tam tersine siber suçluların en sevdiği araçlardan biriymiş.

olay ne tam olarak

first vpn,겉görünüşte normal bir vpn servisi gibi duruyormuş ama gerçekte siber suçluların kimliklerini gizlemek için kullandığı bir altyapıymış. fidye yazılımı çeteleri, veri hırsızları ve diğer kötü niyetli tipler bu servisi kullanarak saldırılarını gerçekleştiriyormuş.

drupal'de kritik açık, kimlik doğrulama bile istemiyor

Thu, 21 May 2026 17:16:28 +0300

arkadaşlar, drupal’de çok ciddi bir açık bulunmuş. CVE-2026-9082 diye geçiyor kayıtlarda ve gerçekten çok kötü. ne kadar kötü derseniz, cvss skoru 9+ yani kritik seviyede. üstelik kimlik doğrulama bile istemiyor sömürülmesi için.

ne var ne yok

CVE-2026-9082 açığı üçlü tehdit gibi geliyor:

bilgi sızıntısı yapabiliyorsunuz
yetki yükseltme (privilege escalation) var, yani misafirden admin’e terfi
uzaktan kod çalıştırma (rce) denen bela da mevcut

spoiler: kimlik doğrulamasına bile gerek yok bu açığı sömürmek için. yani herhangi biri gelip sitenize girebilir, kod çalıştırabilir.

drupal core'da postgresql kullananlar için kritik açık

Thu, 21 May 2026 17:15:55 +0300

arkadaşlar, drupal’dan acil güvenlik güncellemesi gelmiş. postgresql kullanan siteleriniz varsa hemen atlayın bu yamaya çünkü durum ciddi.

ne olmuş yani?

drupal core’da CVE-2026-9082 koduyla izlenen “highly critical” yani “çok kritik” bir açık bulunmuş. cvss skoru 6.5 gözükse de drupal bunu “highly critical” olarak etiketlemiş, demek ki durumun vehametini anlamışlar.

spoiler: bu açık veritabanı soyutlama api’sinde (database abstraction api) bulunuyor ve postgresql kullanan siteleri etkiliyor. mysql kullanıyorsanız rahat nefes alabilirsiniz ama yine de güncelleyin derim.

windows'a sıfır-gün yağmuru devam ediyor

Wed, 20 May 2026 17:17:10 +0300

arkadaşlar, microsoft mayıs patch tuesday’ini geçirdik diye rahat nefes aldıysanız hemen tekrar tetikte olun. bir güvenlik araştırmacısı son 6 haftadır windows’ta arka arkaya sıfır-gün açıklar açıklıyor ve liste uzamaya devam ediyor. yellowkey, greenplasma ve miniplasma denen yeni açıklar listeye eklendi.

olay ne peki

bir güvenlik araştırmacısı (ismini henüz bilmiyoruz) son 6 hafta içinde windows’ta birden fazla sıfır-gün zafiyeti açıkladı. sıfır-gün derken, yani microsoft bunlardan habersizmiş ve yaması yokmuş demek. şimdi patch tuesday geçti ama açıklar hala gelmeye devam ediyor.

grafana github ortamı hacklendi, tanstack npm saldırısı üzerinden

Wed, 20 May 2026 17:16:37 +0300

arkadaşlar grafana labs’ın başına iş gelmiş. 19 mayıs 2026’da açıklama yaptılar, github ortamları hacklenmış. tanstack npm paketleri üzerinden gerçekleştirilmiş saldırı, oradan da grafana’nın github’ına sıçramış.

iyi haber şu ki: müşteri sistemlerine dokunulmamış, sadece github ortamları etkilenmiş. kötü haber ise: hem açık hem de kapalı kaynak kodları sızdırılmış, internal repository’ler de dahil.

ne olmuş peki

tanstack’in npm paketlerine saldırı düzenlenmiş. saldırganlar bu paketlere zararlı kod enjekte etmişler. grafana labs’ın development pipeline’ında bu paketler kullanıldığı için, oradan github ortamına erişim sağlamışlar.

github'ın içi dışına çıkmış, 3800 repo sızmış

Wed, 20 May 2026 17:15:54 +0300

arkadaşlar büyük olay var. github’ın başı dertte. teamccp diye bilinen ve daha önce cisco, microsoft gibi devlerin başını ağrıtan bir saldırgan grubu, github’ın iç repolarını ele geçirmiş. tam 3800 tane internal repo çalınmış ve şimdi dark web’de satılıyor.

olay nasıl olmuş

şöyle ki, github’ın bir çalışanının cihazı hackleniyor. saldırganlar bu cihaz üzerinden github’ın internal sistemlerine sızıyorlar. spoiler: bu klasik supply chain saldırısı denen şey. bir çalışan cihazını ele geçiriyorsunlar, oradan da tüm iç sistemlere erişim sağlıyorlar.

drupal 20 mayıs'ta acil güvenlik güncellemesi yayınlayacak

Tue, 19 May 2026 17:17:17 +0300

arkadaşlar, drupal ekibi acil bir duyuru yaptı. 20 mayıs 2026’da saat 17:00-21:00 utc arası (bizim saatimizle 20:00-00:00) tüm desteklenen sürümler için kritik bir güvenlik yaması yayınlayacaklarmış.

spoiler: drupal güvenlik ekibi “saatler ya da günler içinde exploit’ler geliştirilebilir” diye uyarıyor. yani bu iş ciddi, boş durmamanız lazım.

durum nedir?

drupal, php tabanlı içerik yönetim sistemi (cms) için kritik seviyede bir güvenlik açığı tespit etmiş. henüz detayları açıklamadılar ama aciliyet seviyesinden anlaşılıyor ki iş ciddiye binmiş.

endüstriyel robotlar hacklenmeye açık çıktı, universal robots kullanıyorsanız acil bakın

Tue, 19 May 2026 17:16:37 +0300

arkadaşlar, endüstriyel otomasyon tarafında çalışanlar dikkat. universal robots’un polyscope 5 yazılımında kritik bir açık bulunmuş ve CVE-2026-8153 numarasıyla yayınlanmış. konu ciddi çünkü fabrika zeminindeki robot kollarınız hacklenebilir durumda.

ne var ne yok

universal robots’un polyscope 5 platformunda os komut enjeksiyonu (command injection) zafiyeti tespit edilmiş. yani saldırgan, robot kontrol sistemine komut göndererek istediği kodu çalıştırabilir.

spoiler: bu tür açıklar endüstriyel sistemlerde çok tehlikeli oluyor çünkü fiziksel dünyayla etkileşim var ortada. robot kolları üretim hattında çalışıyor, yanlış komut gönderirseniz hem üretim duruyor hem de güvenlik riski oluşuyor.

seppmail secure e-mail gateway'de kritik açıklar bulundu

Tue, 19 May 2026 17:15:57 +0300

arkadaşlar, enterprise dünyasının mail güvenlik çözümlerinden biri olan seppmail secure e-mail gateway’de kritik seviyede açıklar bulunmuş. durum ciddi, çünkü bu açıklar sayesinde saldırganlar hem uzaktan kod çalıştırabilir (rce denen bela) hem de sistemden geçen bütün mailleri okuyabilir. yani şirketin tüm mail trafiği elden gitmiş oluyor.

spoiler: bu açıklar virtual appliance üzerinde çalışıyor ve iç ağa giriş noktası olarak da kullanılabilir. yani sadece mail okumakla kalmıyor, oradan içeri sızabiliyorlar.

ne var ne yok bu açıklarda

seppmail, enterprise seviyede mail güvenliği sağlayan bir çözüm. normalde maillerinizi korumak için kullanıyorsunuz ama bu sefer koruyucu kendisi korunmaya muhtaç hale gelmiş.

geliştirici bilgisayarları artık yazılım tedarik zincirinin parçası

Mon, 18 May 2026 17:17:43 +0300

arkadaşlar, yazılım tedarik zincirine saldırılar yeni bir boyuta geçmiş durumda. artık sadece koda kötü niyetli şeyler sıkıştırmaya çalışmıyorlar, doğrudan geliştiricilerin erişim bilgilerini çalmaya başlamışlar.

son 48 saat içinde npm, PyPI ve Docker Hub’a üç ayrı kampanya düzenlenmiş. üçünün de ortak hedefi ne biliyor musunuz? geliştirici ortamlarından ve CI/CD pipeline’larından sır çalmak. yani API anahtarları, cloud credential’ları, SSH anahtarları, token’lar falan. klasik “kodu kirletme” yönteminden “anahtarları çal” taktiğine geçmişler.

durum ne kadar ciddi?

spoiler: çok ciddi. artık sadece kod repository’lerinizi korumak yetmiyor, geliştiricilerin bilgisayarlarını da tedarik zincirinin bir parçası olarak görmeniz lazım.

windows'ta yeni sıfır-gün açığı: miniplasma ile system yetkisi alma vakası

Mon, 18 May 2026 17:16:54 +0300

arkadaşlar, windows’ta yeni bir sıfır-gün açığı ortaya çıktı ve poc’u bile yayınlandı. “miniplasma” denen bu açık sayesinde saldırganlar tamamen yamalı windows sistemlerinde system yetkisine çıkabiliyorlar. yani en yüksek yetki, işletim sisteminin kralı.

olay nedir?

bir güvenlik araştırmacısı windows’ta privilege escalation (yetki yükseltme) açığı bulmuş ve poc’unu (proof-of-concept, yani çalışan örnek kod) da yayınlamış. şöyle ki, normal bir kullanıcı hesabıyla başlayıp system seviyesine çıkabiliyorsunuz. system yetkisi demek, windows’ta administrator’den bile üst seviye, yani işletim sisteminin tanrısı gibi bir şey.

rus hackerlar kazuar backdoor'unu p2p botnet'e çevirmiş

Sun, 17 May 2026 17:17:33 +0300

arkadaşlar, secret blizzard diye bilinen rus hacker grubu yine iş başında. bu sefer de kazuar diye bir backdoor’u (arka kapı) tamamen yenilemişler. eskiden klasik bir arka kapıydı, şimdi ise modüler p2p botnet’e dönüştürmüşler. yani daha kalıcı, daha gizli, daha tehlikeli bir şey haline gelmiş.

ne olmuş yani?

kazuar aslında yeni bir şey değil, yıllardır kullanılan bir backdoor. ama secret blizzard grubu bunu tamamen yeniden yazmış. artık peer-to-peer (p2p) mimaride çalışıyor, yani merkezi bir komuta-kontrol sunucusu yok. botnet’teki diğer enfekte makinelerle direkt haberleşiyor. bu da tespiti çok zorlaştırıyor çünkü klasik c2 trafiğini arıyorsunuz ama bulamıyorsunuz.

grafana'nın github tokenı sızdı, kod çalındı ve şantaj yapıldı

Sun, 17 May 2026 17:16:43 +0300

arkadaşlar grafana’dan kötü haber var. yetkisiz birisi grafana’nın github tokenını ele geçirmiş ve tüm kod tabanını indirmiş. üstüne bir de şantaj denemesi yapmışlar. yani klasik “kodunuzu aldık, para verin” hikayesi.

olay nasıl gelişmiş

grafana resmi açıklamasında şöyle demiş: “yetkisiz bir taraf, github ortamımıza erişim sağlayan bir token elde etti ve kod tabanımızı indirdi.” spoiler: şirket müşteri verisi veya kişisel bilgi sızdırılmadığını, müşteri sistemlerine etki olmadığını söylüyor. ama yine de durum ciddi.

wordpress funnel builder açığı ile woocommerce'den kart bilgisi çalıyorlar

Sun, 17 May 2026 17:16:00 +0300

arkadaşlar, wordpress’te kullanılan funnel builder eklentisinde kritik bir açık var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak woocommerce ödeme sayfalarına zararlı javascript kodu enjekte ediyorlar, yani müşterilerinizin kredi kartı bilgilerini çalıyorlar. sansec bu hafta detayları yayınladı.

ne oluyor yani?

şöyle ki, funnel builder denen wordpress eklentisinde bir zafiyet var. saldırganlar bu açığı kullanarak woocommerce checkout (ödeme) sayfalarına kendi javascript kodlarını sokuyorlar. müşteri kart bilgilerini girdiği anda, hop bilgiler saldırganın eline geçiyor. klasik skimming olayı işte, ama dijital versiyonu.

openclaw'da zincirlenebilir 4 açık: veri sızdırma, yetki yükseltme ve kalıcılık

Sat, 16 May 2026 17:17:19 +0300

arkadaşlar, openclaw’da ciddi bir açık seti bulunmuş. cyera’nın araştırmacıları 4 tane zafiyet tespit etmiş ve bunlara “claw chain” diyorlar. şöyle ki bu açıklar tek başına bile kötü ama zincirlenince tam bir felaket senaryosu ortaya çıkıyor: saldırgan sisteme yerleşiyor, hassas verileri sızdırıyor ve arka kapı bırakıyor.

spoiler: bu açıklar zincirlenebilir, yani birini kullanıp diğerine geçebiliyorlar. o yüzden ciddiye alın.

ne oluyor peki?

openclaw’daki bu 4 zafiyet bir atak zinciri oluşturuyor. saldırgan şöyle bir senaryo izleyebilir:

nginx'te 2008'den beri bekleyen kritik açık ortaya çıktı

Sat, 16 May 2026 17:16:41 +0300

arkadaşlar, nginx kullanan herkes buraya bi toplanın lütfen. 2008 yılından beri nginx’in içinde uyuyan kritik bir açık bulunmuş ve bu hafta yamalanmış. ama işin kötü tarafı, poc kodu da yayınlanmış yani artık herkes nasıl sömürüleceğini biliyor. acil acil yamalayın diyorum.

ne olmuş peki

nginx’te kritik seviyede bir güvenlik açığı tespit edilmiş. bu açık tam 18 yıldır yazılımın içinde varmış, 2008’den beri. şimdi hem nginx open source hem de nginx plus için yamalar yayınlanmış durumda.

wordpress'te funnel builder eklentisinde kredi kartı çalan açık

Sat, 16 May 2026 17:16:07 +0300

arkadaşlar, wordpress kullanan e-ticaret sitesi yöneticilerine acil duyuru. funnel builder diye popüler bir eklentide kritik bir açık bulunmuş ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak woocommerce ödeme sayfalarına kötü niyetli javascript kodları enjekte ediyorlar, yani müşterilerinizin kredi kartı bilgilerini çalıyorlar.

ne oluyor peki

funnel builder eklentisi, wordpress sitelerinde satış hunileri oluşturmak için kullanılan bir araç. bu eklentide bulunan CVE-2025-64328 zafiyeti sayesinde saldırganlar, kimlik doğrulama yapmadan (yani giriş yapmadan) eklentinin ayarlarını değiştirebiliyorlar.

tanstack'e supply chain saldırısı, openai çalışanlarının cihazları etkilendi

Fri, 15 May 2026 17:17:39 +0300

arkadaşlar, openai’dan bir güvenlik açıklaması geldi. tanstack kütüphanesine yapılan supply chain saldırısında (mini shai-hulud diye adlandırılmış) openai’ın iki çalışanının macos cihazları etkilenmiş. şirket hızlıca müdahale etmiş ve kullanıcı verisi, production sistemler ya da fikri mülkiyet çalınmamış. ama yine de bu olay supply chain saldırılarının ne kadar ciddi olduğunu bir kez daha gösterdi.

olay nasıl gelişmiş

tanstack, react query gibi popüler javascript kütüphanelerinin geliştirildiği bir proje. saldırganlar bu kütüphaneye zararlı kod enjekte etmeyi başarmışlar. “mini shai-hulud” adı verilen bu saldırı, muhtemelen dune hayranı bir saldırgan tarafından gerçekleştirilmiş (shai-hulud bildiğiniz kum kurdu işte).

wordpress'te burst statistics eklentisinde kritik açık, aktif sömürülüyor

Fri, 15 May 2026 17:16:42 +0300

arkadaşlar, wordpress kullananlar dikkat. burst statistics diye bir eklentide kritik seviye bir kimlik doğrulama bypass açığı var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak sitelere admin yetkisiyle giriyorlar.

ne oluyor yani?

burst statistics, wordpress sitelerinde ziyaretçi istatistiklerini takip eden popüler bir eklenti. şu anda 100 binden fazla aktif kurulumu var. eklentide bulunan CVE-2025-2781 zafiyeti sayesinde saldırganlar kimlik doğrulamayı atlayıp direkt admin paneline ulaşabiliyorlar.

spoiler: bu açık vahşi ortamda aktif olarak kullanılıyor, yani teorik değil, gerçekten saldırılar var.

nginx'te 18 yıllık açık bulunmuş, dos ve potansiyel rce var

Fri, 15 May 2026 17:15:59 +0300

arkadaşlar, nginx’te tam 18 yıllık bir açık bulunmuş. yani 2007’den beri orada duruyormuş, kimse fark etmemiş. otonom bir tarama sistemi bulmuş bu açığı, CVE-2025-32475 numarasıyla kayıtlara geçmiş. denial of service (dos) yapılabiliyor kesin, ama bazı durumlarda uzaktan kod çalıştırma (rce) bile mümkün olabiliyormuş. yani ciddi bir iş bu.

ne durumda bu açık

CVE-2025-32475 açığı nginx’in http request işleme mekanizmasında varmış. 18 yıl boyunca kimsenin fark etmemesi ayrı bir komedi tabii. şimdi düşünün, 2007’den beri kullanılan production serverlar var ortada, hepsi bu açığı taşıyor.

foxconn'a nitrogen fidye yazılımı saldırısı ve üretim sektörünün siber güvenlik krizi

Thu, 14 May 2026 17:17:47 +0300

arkadaşlar, foxconn’un kuzey amerika tesislerine nitrogen fidye yazılımı saldırısı yapılmış. bu yılın başından beri üretim sektörüne yapılan 600 saldırıdan sadece biri bu. yani üretim sektörü gerçekten hedef haline gelmiş durumda.

neler oluyor yani?

foxconn dediğimiz şirket, biliyorsunuz iphone’dan tutun da bir sürü elektronik cihazı üreten dev bir firma. nitrogen ransomware çetesi bunlara saldırmış. üretim sektörü şu an ciddi bir siber güvenlik kriziyle karşı karşıya çünkü bu tür şirketler downtime’a (yani duruş süresine) hiç tahammül edemiyor. bir saat dursa bile milyonlarca dolar kaybediyor bu firmalar.

nginx'te 18 yıllık kritik açık bulundu, acil yamalayın

Thu, 14 May 2026 17:16:36 +0300

arkadaşlar, nginx’te tam 18 yıldır gizlenmiş bir açık bulunmuş. yani 2008’den beri orada oturuyormuş, kimse fark etmemiş. depthfirst denen araştırmacılar bulmuş bunu. CVE-2026-42945 numaralı bu açık, rewrite modülünde heap buffer overflow sorunu. CVSS skoru 9.2, yani kritik seviyede. 🔴

spoiler: uzaktan kod çalıştırma (RCE) mümkün, yani saldırgan kimlik doğrulama bile yapmadan sunucunuza girebilir.

ne var bu açıkta

CVE-2026-42945 açığı nginx’in rewrite modülünde (ngx_http_rewrite_module) bulunuyor. heap buffer overflow denen klasik bela var burada. saldırgan özel hazırlanmış bir http isteği göndererek:

exim mail sunucusunda kritik rce açığı var agalar

Thu, 14 May 2026 17:15:50 +0300

arkadaşlar, exim kullanan varsa hemen kulak verin. exim dediğimiz açık kaynaklı mail sunucusunda kritik bir zafiyet bulunmuş ve uzaktan kod çalıştırma (rce - remote code execution) imkanı veriyor. yani saldırgan kimlik doğrulaması bile yapmadan sunucunuzda istediği kodu çalıştırabilir. ciddi iş yani.

ne olmuş, ne bitmiş?

exim’in belirli konfigürasyonlarında çalışan bir açık bu. henüz cve numarası atanmamış ama bleepingcomputer’ın haberine göre durum vahim. unauthenticated remote attacker, yani hiçbir yetki almadan uzaktan saldırabilir biri, sunucunuza kod çalıştırabilir.

73 saniyede saldırı, 24 saatte yama: otonom doğrulama neden bu kadar önemli

Wed, 13 May 2026 17:17:29 +0300

arkadaşlar, picus security’den çok çarpıcı bir analiz geldi. saldırganlar bir sisteme 73 saniyede girebiliyormuş, bizim yamalamaya 24 saat harcadığımız sistemlere. yani siz daha yamanın onayını alırken, karşı taraf çoktan içeride kahve içiyor.

durum vahim, çözüm var mı?

şöyle ki arkadaşlar, klasik güvenlik yaklaşımımız şu: açık bulunuyor, yama geliyor, biz test ediyoruz, sonra production’a alıyoruz. bu süreç en iyi ihtimalle 24 saat. ama saldırganlar 73 saniyede işi bitiriyor.

spoiler: bu süre farkı çok büyük bir problem.

foxconn'a nitrogen ransomware saldırısı, kuzey amerika fabrikaları etkilendi

Wed, 13 May 2026 17:16:46 +0300

arkadaşlar, dünyanın en büyük elektronik üreticisi foxconn’a siber saldırı olmuş. nitrogen ransomware çetesi bu işin altından çıkmış. kuzey amerika fabrikalarını vurmuşlar, şu an normal operasyonlara dönmeye çalışıyorlar.

ne olmuş peki

foxconn (bilirsiniz, iphone’unuzu falan üreten tayfa) kuzey amerika fabrikalarında siber saldırıya uğramış. nitrogen ransomware grubu bu saldırının sorumluluğunu üstlenmiş. şirket açıklama yapmış, “evet saldırı oldu, şu an normale dönmeye çalışıyoruz” demiş.

spoiler: nitrogen ransomware grubu son dönemde oldukça aktif. ransomware-as-a-service (RaaS) modeli ile çalışıyorlar yani fidye yazılımını kiralıyorlar başkalarına.

exim'de kritik use-after-free zafiyeti, gnutls kullananlar acil yamasın

Wed, 13 May 2026 17:15:58 +0300

arkadaşlar, exim mail sunucusu kullananlardan özellikle gnutls ile build etmişseniz kulak verin. ciddi bir zafiyet çıkmış ortaya, dead.letter diyorlar buna. CVE-2026-45185 numaralı bu açık use-after-free türünde, yani bellek bozulması ve potansiyel olarak uzaktan kod çalıştırma riski var.

ne var ne yok

exim’in bdat komutunu işlerken gnutls kütüphanesiyle derlenmiş versiyonlarında bir use-after-free açığı bulunmuş. şöyle ki, serbest bırakılmış bellek alanına tekrar erişim söz konusu. bu da ne demek? bellek bozulması, çökme ve en kötü senaryoda uzaktan kod çalıştırma (rce) anlamına geliyor.

west pharmaceutical services fidye yazılımı saldırısına uğradı

Tue, 12 May 2026 17:17:38 +0300

arkadaşlar, ilaç ve tıbbi cihaz sektöründe faaliyet gösteren west pharmaceutical services’a ciddi bir fidye yazılımı (ransomware) saldırısı yapılmış. şirket global çapta sistemlerini kapatmak zorunda kalmış.

ne olmuş peki

saldırganlar önce şirketin ağına sızmış, verileri dışarı sızdırmış (data exfiltration denen olay), sonra da sistemlere fidye yazılımı bulaştırıp dosyaları şifrelemiş. klasik çift haraç taktiği yani - hem verilerinizi çaldık, hem de dosyalarınızı kilitledik diyorlar.

şirket saldırı sonrası global çapta sistemlerini offline almış. bu da demek oluyor ki üretim, lojistik, sipariş sistemleri falan hepsi durmuş olabilir. tıbbi cihaz ve ilaç sektörü olduğu için bu durum oldukça kritik.

yapay zeka artık hacker oldu: ilk ai destekli sıfır-gün saldırısı tespit edildi

Tue, 12 May 2026 17:16:50 +0300

arkadaşlar, oturun bi sakin okuyun bunu. google dün bomba gibi bir açıklama yaptı: siber suçlular yapay zeka kullanarak sıfır-gün açığı bulmuş ve exploit geliştirmiş. yani artık sadece bizim işimizi kolaylaştırmıyor ai, hackerlara da yardım ediyor.

spoiler: bu ilk kez tespit edilen ai destekli zafiyet keşfi ve exploit geliştirme vakası. yani tarihi bir an yaşıyoruz arkadaşlar, ama kötü tarafından.

ne olmuş peki

google’ın threat intelligence ekibi, bilinmeyen bir tehdit aktörünün (yani kimliği belirsiz saldırganların) 2fa bypass yapabilen bir sıfır-gün açığı kullandığını tespit etmiş. ama asıl önemli olan şu: bu açığın ve exploitin yapay zeka sistemi tarafından geliştirilmiş olması muhtemel.

sap mayıs 2026 yaması geldi, iki kritik açık var

Tue, 12 May 2026 17:15:50 +0300

arkadaşlar, sap mayıs ayı güvenlik güncellemesini yayınladı. 15 tane açık kapatmış ama içinde 2 tanesi kritik seviyede. commerce cloud ve s/4hana erp kullananlar dikkat, acil yamalayın.

ne var bu yamada

sap’nin mayıs 2026 yamasında toplam 15 güvenlik açığı kapatılmış. bunların 2 tanesi kritik seviyede ve commerce cloud ile s/4hana’yı etkiliyor. commerce cloud dediğimiz şey enterprise seviyesinde e-ticaret platformu, s/4hana da bildiğiniz erp sistemi.

kritik olan açıklar ciddi ciddi uzaktan sömürülebilir türden. yani saldırganın sisteminize fiziksel erişime ihtiyacı yok, internetten hallediyor işini.

purple team dediğiniz şey aslında aynı odada oturan red ve blue team

Mon, 11 May 2026 17:17:41 +0300

arkadaşlar, bugün teknik bir haber değil de daha çok “sistem yöneticisi psikolojisi” yazısı gibi bir şey var elimizde. the hacker news’ten gelmiş, ama içinde CVE falan yok, o yüzden rahat okuyabilirsiniz.

gece saat 2’de network savunması yapmak nasıl bir şeydir biliyor musunuz? şöyle bir durum: bir analyst pdf’ten hash kopyalayıp siem sorgusuna yapıştırıyor. red team’in yazdığı script’i blue team kullanabilsin diye elle yeniden yazıyorsunuz. bir de üstüne patch var, change-approval window’dan geçmesini bekliyorsunuz ama o approval süresi, sömürü penceresinden daha uzun.

google yapay zeka tarafından üretilen ilk sıfır-gün açığını tespit etti

Mon, 11 May 2026 17:16:51 +0300

arkadaşlar, bu sefer işler biraz farklı. google, yapay zeka tarafından üretilmiş ilk sıfır-gün açığını tespit etmiş. yani artık sadece insanlar değil, ai’lar da exploit yazıyor. hoş geldin cyberpunk distopyası diyebiliriz.

olay ne peki

google’ın güvenlik ekipleri, bilinen bir siber suç çetesinin geliştirdiği bir sıfır-gün açığını yakalarken fark etmişler ki bu exploit yapay zeka tarafından üretilmiş. spoiler: açığın amacı 2fa’yı bypass etmek, yani iki faktörlü kimlik doğrulamanızı devre dışı bırakmak.

şimdi düşünün, normalde bir exploit geliştirmek için günler hatta haftalar gerekir. kod analizi, test, debug vs. derken zaman alır. ama yapay zeka bu işi çok daha hızlı yapabiliyor. kötü adamlar artık ai asistanlarıyla çalışıyor yani.

hackerlar web yönetim aracında sıfır-gün açığı bulmak için yapay zeka kullanmış

Mon, 11 May 2026 17:16:12 +0300

arkadaşlar, google’ın threat intelligence ekibi (gtig) ilginç bir tespit yapmış. popüler bir açık kaynaklı web yönetim aracında bulunan sıfır-gün açığının, saldırganlar tarafından yapay zeka kullanılarak geliştirilmiş olabileceğini söylüyorlar. yani artık hackerlar da chatgpt’ye “bana exploit yaz” demeye başlamış.

ne olmuş yani?

google’ın araştırmacıları, yaygın kullanılan bir web yönetim panelinde kritik bir açık tespit etmiş. ilginç olan kısım şu: exploit kodunun yapısına ve geliştirme tarzına bakınca, büyük ihtimalle yapay zeka destekli araçlar kullanılarak oluşturulmuş. klasik insan yazımı exploit’lerden farklı bir pattern varmış kodda.

hugging face'te sahte openai reposu, infostealer dağıtıyor

Sun, 10 May 2026 17:16:53 +0300

arkadaşlar, hugging face’te büyük bir olay dönmüş. sahte bir openai deposu, trending listesine kadar çıkmış ve windows kullanıcılarına infostealer malware dağıtmış. “privacy filter” diye bir proje gibi gösteriyorlar kendilerini ama aslında bilgisayarınızdaki her şeyi çalmaya çalışıyorlar.

olay ne tam olarak

hugging face’in trending listesine giren bir repo var, openai’ın resmi projesi gibi gösteriyor kendini. “privacy filter” adında bir şey olarak pazarlanmış. insanlar da “vay be openai yeni bir şey çıkarmış” diye indiriyorlar, ama içinden çıkan şey infostealer malware. yani kısacası: şifreleriniz, tokenlarınız, tarayıcı verileriniz, her şey gidiyor.

ollama'da bleeding llama zafiyeti - tüm bellek sızabilir

Sun, 10 May 2026 17:16:00 +0300

arkadaşlar, ollama kullananlar toplanın. ciddi bir açık bulunmuş ve adı da bleeding llama. ne kadar da yaratıcı isim buluyorlar artık, değil mi?

cyera güvenlik araştırmacıları ollama’da kritik bir zafiyet keşfetmiş. CVE-2026-7482 olarak kayıtlara geçen bu açık, CVSS skoru 9.1 ile “kritik” kategorisinde. spoiler: uzaktan, kimlik doğrulaması olmadan tüm process belleğini sızdırmak mümkün. yani saldırgan herhangi bir kullanıcı adı-şifre girmeden, uzaktan ollama’nın belleğindeki her şeyi okuyabilir.

ne bu out-of-bounds read meselesi?

out-of-bounds read, yani sınır dışı okuma. şöyle ki: yazılım belirli bir bellek bölgesini okuması gerekirken, o sınırları aşıp olmaması gereken yerleri de okuyabiliyor. bu durumda da ollama’nın process belleğinde ne varsa (api anahtarları, tokenlar, model verileri, kullanıcı bilgileri) hepsi saldırganın eline geçebilir.

brezilyalı bankacılık truva atı tclbanker whatsapp ve outlook üzerinden yayılıyor

Sat, 09 May 2026 17:17:15 +0300

arkadaşlar, elastic security labs yeni bir brezilyalı bankacılık truva atı tespit etmiş. tclbanker diyorlar buna ve ciddi ciddi 59 farklı bankacılık, fintech ve kripto platformunu hedef alıyor. whatsapp ve outlook üzerinden solucan gibi yayılıyormuş.

ne var ne yok bu işte

elastic security labs’ın REF3076 koduyla takip ettiği bu kampanya, aslında maverick truva atının büyük bir güncellemesi. hatırlarsınız belki, maverick SORVEPOTEL denen bir solucan kullanarak yayılıyordu. işte tclbanker da aynı taktiği kullanıyor ama daha gelişmiş.

cpanel ve whm'de 3 yeni güvenlik açığı yamalandı

Sat, 09 May 2026 17:16:21 +0300

arkadaşlar, cpanel ve whm için yeni güvenlik güncellemesi gelmiş. 3 tane zafiyet kapatılmış ve bunlardan biri kod çalıştırmaya kadar gidiyormuş. hemen atlayın güncellemelere, web hosting dünyası zaten yeterince çalkantılı.

ne var ne yok bu açıklarda

cpanel ekibi 3 tane güvenlik zafiyetini yamalamış. şöyle ki:

CVE-2026-29201 - CVSS skoru 4.3, yani orta seviye bir açık. feature dosya adında yetersiz input validasyonu varmış. feature::LOADFEATUREFILE adminbin çağrısında sıkıntı çıkıyormuş. kötü niyetli biri bu açığı kullanarak yetki yükseltme yapabilir.

nvidia'de geforce now veri sızıntısı - ermeni kullanıcılar etkilenmiş

Sat, 09 May 2026 17:15:49 +0300

arkadaşlar, nvidia’den kötü haber geldi. geforce now bulut oyun servisinde veri sızıntısı olmuş ve özellikle ermenistan’daki kullanıcılar etkilenmiş durumda. nvidia da bleepingcomputer’a yaptığı açıklamada olayı doğruladı.

ne olmuş peki

nvidia’nin geforce now servisi veri ihlali yaşamış. şirket resmi olarak teyit etmiş durumu ama şu an için sadece ermeni kullanıcıların etkilendiğini söylüyorlar. spoiler: hangi verilerin sızdığı konusunda henüz net bilgi yok ama kullanıcı bilgileri derken genelde email, kullanıcı adı, şifre hash’leri gibi şeylerden bahsediyoruz.

trellix'in kaynak kodları sızdırılmış, ransomhouse üstlendi

Fri, 08 May 2026 17:17:15 +0300

arkadaşlar, geçen hafta duyurulan trellix kaynak kodu sızıntısını ransomhouse grubu üstlenmiş. hem de kanıt olarak birkaç ekran görüntüsü paylaşmışlar. siber güvenlik şirketi olarak bu tür bir olay yemek tabii ki hoş değil, ama işte olan olmuş.

olay nedir

trellix (eskiden mcafee enterprise diye bilirsiniz) geçen hafta kaynak kod deposuna saldırı olduğunu açıklamıştı. şimdi ransomhouse denen grup “evet biz yaptık” demiş ve ellerinde veri olduğunu kanıtlamak için birkaç görsel sızdırmış. klasik fidye yazılımı grubu hareketi yani.

cisa ivanti açığı için 4 gün süre vermiş, acil yamalayın

Fri, 08 May 2026 17:16:33 +0300

arkadaşlar, cisa (amerikan siber güvenlik ajansı) federal kurumlara ultimatom vermiş: 4 gün içinde ivanti endpoint manager mobile’daki açığı yamalayacaksınız. neden bu kadar acele? çünkü bu açık sıfır-gün olarak aktif sömürülüyor.

ne olmuş tam olarak

ivanti endpoint manager mobile (epmm) denen mobil cihaz yönetim sisteminde ciddi bir zafiyet bulunmuş. CVE-2025-4427 numaralı bu açık, saldırganların sisteme yetkisiz erişim sağlamasına izin veriyor.

spoiler: bu açık yamanın çıkmasından önce sömürülmeye başlanmış. yani klasik zero-day vakası.

ivanti epmm'de aktif sömürülen rce açığı admin erişimi veriyor

Fri, 08 May 2026 17:15:58 +0300

arkadaşlar, ivanti yine gündemde ama bu sefer iyi haberle değil. endpoint manager mobile (epmm) ürününde CVE-2026-6973 diye bir açık var ve aktif olarak sömürülüyor.

şöyle ki: bu açık, admin yetkisine sahip bir kullanıcının uzaktan kod çalıştırmasına (rce) izin veriyor. yani birisi admin hesabına erişmişse, sisteminizde istediği kodu çalıştırabilir. ciddi bir durum, boş durmayın.

zafiyet detayları

CVE-2026-6973 açığı “improper input validation” yani “düzgün girdi doğrulaması yapılmamış” kategorisinde. cvss skoru 7.2, yani ciddi seviyede bir açık 🟠

arkadaşlar 2026'da hala aynı klasik saldırılarla hackleniyoruz

Thu, 07 May 2026 17:17:20 +0300

agalar, kötü bir hafta geçirdik. threatsday bulletin’in son raporuna göz attım da, 2026 yılındayız ama hala aynı eski saçmalıklarla hacklenmeye devam ediyoruz. en kolay saldırı yöntemi hala şunlar: sahte paketler, fake uygulamalar, unutulmuş dns kayıtları, dolandırıcı reklamlar ve discord kanallarına dökülen çalıntı loginler. artık normal karşılanıyor bunlar.

spoiler: bu saldırı zincirleri artık sofistike bile değil. telegram hesabı olan ve çok fazla boş zamanı olan yorgun bir adam gibi hissettiriyor. en kötü yanı bu tür şeylerin ne kadar sık yaşanması.

vm2 kütüphanesinde düzinelerce kritik açık, sandbox'tan kaçış mümkün

Thu, 07 May 2026 17:16:35 +0300

arkadaşlar, node.js dünyasında çok kullanılan vm2 kütüphanesinde tam 12 tane kritik güvenlik açığı bulunmuş. güvenmediğiniz javascript kodlarını güvenli bir sandbox içinde çalıştırmak için kullanılan bu kütüphane, artık o kadar da güvenli değilmiş meğer. saldırganlar bu açıkları kullanarak sandbox’tan kaçıp ana sistemde istedikleri kodu çalıştırabiliyorlar.

olay ne tam olarak

vm2, untrusted yani güvenilmeyen javascript kodlarını izole bir ortamda çalıştırmak için kullanılan açık kaynaklı bir kütüphane. yani teoride sandbox içine hapsedilmiş kod, host sistemine erişemeyecek. ama bu 12 açık sayesinde javascript objelerini manipüle edip proxy mekanizmasını atlayarak sandbox’tan sıyrılmak mümkün hale gelmiş.

pan-os'ta kritik rce açığı, aktif sömürülüyor

Thu, 07 May 2026 17:15:56 +0300

arkadaşlar, palo alto networks’ün pan-os’unda ciddi bir açık var ve aktif olarak sömürülüyor. CVE-2026-0300 denen bu zafiyet, cvss skoru 9.3 ile kritik seviyede. yani acil acil yamalayın bunu.

ne var ne yok

palo alto networks açıklama yaptı, saldırganlar bu CVE-2026-0300 açığını 9 nisan 2026’dan beri sömürmeye çalışıyormuş. başarısız denemeler olmuş ama aktif kullanımda olduğu kesin.

zafiyet user-id authentication portal servisinde bulunan bir tampon taşması (buffer overflow) açığı. yani klasik buffer overflow, ama bu sefer işin ucu kötü. kimlik doğrulaması olmadan uzaktan kod çalıştırma (rce) yapılabiliyor ve root yetkisi alınabiliyor. casusluk faaliyetleri için kullanılıyormuş, yani sadece sistem patlatıp geçmiyorlar, oturup içeride iş yapıyorlar.

yedek aldım rahatım diyenlere kötü haber: fidye yazılımları önce yedeği vuruyor

Wed, 06 May 2026 17:17:33 +0300

arkadaşlar, “ben yedek alıyorum, fidye yazılımı bana bir şey yapamaz” diyenler için kötü haberlerim var. acronis’in yeni raporuna göre fidye yazılımı saldırıları başarılı oluyor çünkü saldırganlar önce yedekleri imha ediyor, sonra şifrelemeye başlıyor. yani yedek var ama yok gibi.

olay ne yani?

şöyle ki, klasik fidye yazılımı senaryosunu bilirsiniz: saldırgan içeri girer, dosyaları şifreler, para ister. ama modern saldırganlar artık daha akıllı. önce sisteme sessizce sızıyorlar, sonra yedekleme sistemlerinizi buluyorlar, ardından:

palo alto networks firewall'da aktif sömürülen sıfır-gün açığı

Wed, 06 May 2026 17:16:31 +0300

arkadaşlar, palo alto networks bugün bomba gibi bir duyuru yaptı. pan-os’teki user-id authentication portal’da kritik seviye bir sıfır-gün açığı var ve aktif olarak sömürülüyor. yani yamadan önce kötü niyetli tipler bulmuş ve kullanıyor bunu. hemen atlayın bu işin üstüne.

ne olmuş yani?

palo alto’nun güvenlik duvarlarında CVE-2025-0108 diye geçen bir uzaktan kod çalıştırma (rce) açığı keşfedilmiş. cvss skoru 9.3 yani kritik seviyede bir açık. user-id authentication portal’ında bir zafiyet var ve saldırganlar bunu kullanarak sisteme sızabiliyorlar.

apache http/2'de kritik açık çıktı, dos ve rce riski var

Wed, 06 May 2026 17:15:51 +0300

agalar, apache http server’da yeni bir kritik açık bulunmuş. CVE-2026-23918 numaralı bu zafiyet http/2 protokol işlemlerinde “double free” sorunu yaratıyor ve potansiyel olarak uzaktan kod çalıştırma (rce) ile sonuçlanabilir. cvss skoru 8.8, yani ciddi ciddi hemen yamalayın arkadaşlar.

apache software foundation (asf) güvenlik güncellemesi yayınlamış, birkaç açığı birden kapatmış ama en tehlikelisi bu CVE-2026-23918. http/2 protokolünü kullanan apache sunucularınız varsa, hemen atlayın yamalara.

ne oluyor peki

double free dedikleri şey, bellek yönetiminde aynı bellek bölgesinin iki kez serbest bırakılması. bu da bellek bozulmasına yol açıyor ve saldırgan bunu istismar ederse sistem üzerinde kod çalıştırabilir. yani kısacası: saldırgan http/2 üzerinden özel hazırlanmış istekler gönderiyor, sunucu çöküyor (dos) veya daha kötüsü, saldırgan sunucuda istediği kodu çalıştırabiliyor (rce).

karakurt fidye çetesinin soğuk dosya müzakerecisine 8.5 yıl hapis

Tue, 05 May 2026 17:17:38 +0300

arkadaşlar, karakurt fidye yazılımı çetesinden bir eleman nihayet yargılandı ve içeri tıkıldı. letonya uyruklu bir müzakereci, abd’ye iade edildikten sonra 8.5 yıl hapis cezası aldı. adam “cold case negotiator” yani soğuk dosya müzakerecisi rolündeymiş, şimdi size anlatayım ne işler çevirmiş bu tipler.

neymiş bu karakurt meselesi

karakurt, rus kökenli bir fidye yazılımı çetesi. ama bunlar biraz farklı çalışıyor klasik ransomware’lerden. dosyaları şifrelemiyorlar bile, direkt veriyi çalıp “para vermezsen sızdırırız” diyorlar. yani double extortion (çifte şantaj) dedikleri olayın sadece ikinci kısmını yapıyorlar.

metinfo cms'te kritik açık, aktif sömürülüyor

Tue, 05 May 2026 17:16:46 +0300

arkadaşlar, metinfo diye bir açık kaynaklı cms var, duymuşsunuzdur belki. işte orada kritik bir açık keşfedilmiş ve aktif olarak sömürülüyor. vulncheck’in araştırmacıları tespit etmiş durumu.

CVE-2026-29014 numaralı bu zafiyet cvss skoru 9.8 almış, yani kritik kategorisinde. code injection açığı var sistemde, yani uzaktan kod çalıştırma (rce) yapılabiliyor. daha da kötüsü, kimlik doğrulama gerektirmiyor bu açık. yani herhangi biri gelip sömürebilir.

etkilenen versiyonlar

metinfo cms’in şu versiyonları etkileniyor:

spoiler: eğer bu versiyonlardan birini kullanıyorsanız, hemen harekete geçin.

weaver e-cology'de kritik rce açığı, aktif sömürülüyor

Tue, 05 May 2026 17:16:07 +0300

arkadaşlar, weaver (fanwei) e-cology denen çin yapımı kurumsal otomasyon platformunda ciddi bir açık keşfedilmiş ve aktif olarak sömürülüyor. CVE-2026-22679 numaralı bu zafiyet cvss 9.8 almış, yani kritik seviyede.

şöyle ki, bu CVE-2026-22679 açığı kimlik doğrulama gerektirmeden uzaktan kod çalıştırma (rce) imkanı veriyor. yani saldırgan kullanıcı adı şifre falan istemeden direkt sisteme girebiliyor ve istediği komutu çalıştırabiliyor. weaver e-cology 10.0 sürümünün 20260312 tarihinden önceki versiyonları etkileniyor.

teknik detaylar

açık /papi/esearch/data/devops/ debug api endpoint’inde bulunuyor. debug api’si dediğimiz şey normalde geliştirme aşamasında kullanılan, production’da olmaması gereken bir şey. ama klasik hareket işte, production’da debug modu açık kalmış.

2026: yapay zeka destekli saldırıların yılı

Mon, 04 May 2026 17:17:31 +0300

arkadaşlar, 2026’ya damgasını vuracak trendi konuşmak lazım: yapay zeka destekli siber saldırılar. hikayeye japonya’dan 17 yaşında bir gençle başlayalım.

4 aralık 2025’te osaka’da bir lise çağı çocuk yakalandı. ne yapmış? japonya’nin en büyük internet kafe zinciri kaikatsu club’ın 7 milyon kullanıcısının kişisel verilerini çalmış. peki motivasyonu ne? pokemon kartı almak istiyormuş.

yani şöyle, klasik bir hikaye aslında - genç hacker, basit motivasyon, büyük hasar. ama işin içine yapay zeka girince artık durum değişiyor.

cpanel'deki kritik açık silahlandırılmış, devlet ve msp ağları hedefte

Mon, 04 May 2026 17:16:33 +0300

arkadaşlar, cpanel’de geçenlerde açıklanan kritik açık şimdi aktif olarak sömürülüyor. ctrl-alt-intel’in 2 mayıs’ta tespit ettiğine göre, güneydoğu asya’daki devlet ve askeri kurumlar hedef alınmış. bir de filipinler, laos, kanada, güney afrika ve abd’deki msp’ler (yönetilen hizmet sağlayıcılar) ve hosting firmaları vurulmuş.

spoiler: bu saldırıları daha önce bilinmeyen bir tehdit aktörü gerçekleştiriyor, yani yeni bir oyuncu sahada.

ne oluyor burada

cpanel’deki bu açık, saldırganlara sunucularda uzaktan kod çalıştırma (rce) imkanı veriyor. yani sunucuya giriş yapıp ne isterlerse onu yapabiliyorlar. özellikle devlet kurumları ve hosting sağlayıcılar hedef seçilmiş, ki bunlar kritik altyapılar.

moveit automation'da kritik kimlik doğrulama bypass açığı çıktı

Mon, 04 May 2026 17:15:51 +0300

arkadaşlar, progress software moveit automation için kritik bir güvenlik açığı duyurdu. kimlik doğrulama bypass denen bela var, yani authentication’ı atlayıp sisteme girebiliyorsunuz. moveit deyince hepimizin aklına 2023’teki o meşhur cl0p saldırısı gelir, o yüzden bu sefer hemen harekete geçin.

ne var ne yok

progress software, moveit automation’da kritik seviyede bir authentication bypass zafiyeti tespit etmiş. bu zafiyet sayesinde saldırganlar kimlik doğrulamasını atlayıp sisteme erişebiliyorlar. moveit automation enterprise-grade managed file transfer (mft) uygulaması olduğu için, içinde genelde hassas dosyalar oluyor. yani bu açık ciddi anlamda kritik.

telegram mini apps üzerinden kripto dolandırıcılığı ve android malware dağıtımı

Mon, 04 May 2026 00:54:28 +0300

arkadaşlar, telegram’ın mini apps özelliği kötü niyetli tiplerin yeni gözdesi olmuş. siber güvenlik araştırmacıları büyük çaplı bir dolandırıcılık operasyonu tespit etmiş. telegram mini apps üzerinden kripto dolandırıcılığı yapılıyor, bilinen markalar taklit ediliyor ve android cihazlara malware bulaştırılıyormuş.

olay ne tam olarak

telegram’ın mini apps denen özelliği var ya, işte onu kullanarak saldırganlar sahte uygulamalar yapıp kullanıcıları kandırıyorlar. şöyle ki:

kripto yatırım platformları gibi görünen sahte uygulamalar
bilinen markaları taklit eden sahte sayfalar
android cihazlara malware yükleyen tuzak linkler

spoiler: bu operasyon küçük çaplı değil, geniş bir dolandırıcılık ağından bahsediyoruz.

cpanel'de kritik açık, sorry ransomware ile kitlesel saldırılar başlamış

Mon, 04 May 2026 00:53:40 +0300

arkadaşlar, cpanel’de çok ciddi bir açık ortaya çıktı ve aktif olarak sömürülüyor. CVE-2026-41940 numaralı bu zafiyet üzerinden “sorry” adında yeni bir fidye yazılımı kitlesel saldırılara başlamış durumda. cpanel kullanan hosting firmalarında ve web sitelerinde acil yamalama zamanı geldi.

spoiler: bu açık aktif sömürülüyor, kitlesel saldırılar var. elinizdeki tüm cpanel sunucularını hemen güncelleyin.

ne oluyor yani?

cpanel’de keşfedilen CVE-2026-41940 açığı üzerinden saldırganlar sisteme sızıp dosyaları şifreliyor. “sorry” diye adlandırılan bu fidye yazılımı kampanyası, özellikle hosting firmalarını ve web sitelerini hedef alıyor.

trellix'te kaynak kod sızıntısı vakası

Mon, 04 May 2026 00:52:45 +0300

arkadaşlar, siber güvenlik şirketi trellix’te ciddi bir sızıntı olmuş. şirketin kaynak kodlarının bir kısmına yetkisiz erişim sağlanmış. yani güvenlik ürünleri yapan şirketin kendi güvenliği delmiş, klasik ironi.

ne olmuş peki

trellix, kaynak kod deposuna (repository) yetkisiz erişim olduğunu açıkladı. “yakın zamanda tespit ettik” demişler ama ne kadar süredir açık kalmış, ne kadar kod sızmış tam belli değil. adli bilişim uzmanlarıyla çalışmaya başlamışlar ve kolluk kuvvetlerine de bildirmişler durumu.

spoiler: hangi ürünlerin kaynak kodları etkilenmiş, henüz açıklanmadı. bu biraz sıkıntı çünkü trellix’in edr, firewall ve endpoint güvenlik ürünleri var.

alman sol parti die linke'yi qilin fidye yazılımı vurmuş

Sat, 04 Apr 2026 08:02:35 +0300

arkadaşlar, almanya’dan çok hoş olmayan bir haber geldi. die linke (yani “sol” partisi) adındaki alman siyasi partisini qilin fidye yazılımı çetesi vurmuş. parti hem veri çalındığını doğruladı hem de it sistemleri çökmüş durumda. klasik fidye yazılımı senaryosu yani: önce veriyi çal, sonra şifrele, sonra da “para ver yoksa sızdırırım” de.

ne olmuş peki

qilin grubu (bazıları agenda diye de biliyor bu grubu) die linke’nin sistemlerine girmiş ve hassas verileri çalmış. parti yetkilileri olayı doğruladı ve it sistemlerinde ciddi bir kesinti yaşandığını açıkladı. şimdi grup elindeki verileri sızdırmakla tehdit ediyor.

sharefile'da kritik açıklar zincirlenerek rce'ye dönüşüyor

Sat, 04 Apr 2026 08:01:50 +0300

arkadaşlar, citrix’in sharefile ürününde çok ciddi bir durum var. iki tane kritik açık bulunmuş ve bunlar zincirlenerek kimlik doğrulamasız uzaktan kod çalıştırma (rce) sağlıyor. yani saldırgan hiçbir kullanıcı adı parola olmadan sunucunuza dosya yükleyip kod çalıştırabiliyor. acil acil yamalayın bunu.

ne olmuş yani

sharefile’da iki ayrı zafiyet tespit edilmiş. birincisi kimlik doğrulamasını atlatan bir açık, ikincisi de rastgele dosya yükleme zafiyeti. bunları zincirlediğinizde ortaya çıkan şey: kimlik doğrulamasız rce. kısacası saldırgan önce kimlik kontrolünü bypass ediyor, sonra da kendi kötü niyetli dosyasını sunucuya yüklüyor ve çalıştırıyor.

claude'un kaynak kodu sızdı, yazılım tedarik zinciri yine rezil oldu

Sat, 04 Apr 2026 08:01:13 +0300

arkadaşlar, anthropic’in meşhur ai asistanı claude’un kaynak kodu sızmış. ama asıl mesele bu sızıntının kendisi değil, yazılım tedarik zincirinin ne kadar savunmasız olduğunu bir kez daha görmemiz. dark reading’in haberine göre, bu olay tedarik zinciri güvenliğinde ciddi gözetim eksikliklerini ortaya koyuyor.

olay ne, nasıl oldu bu iş

claude’un kaynak kodunun sızması başlı başına kötü bir durum ama asıl sorun şu: yazılım tedarik zincirinde her katmanda koruma mekanizmaları olması gerekiyor ama yok. haberde “kritik altyapı muamelesi görmesi gereken tedarik zincirinde korkuluklar her katmana yerleştirilmeli” deniyor. yani agalar, bu işi ciddiye almak lazım.

açık kaynak güvenlik raporu yayınlandı, bakalım ne haldeyiz

Fri, 03 Apr 2026 08:02:18 +0300

arkadaşlar, aralık 2025’te yayınlanan “the state of trusted open source” raporu elimize ulaştı. bu rapor açık kaynak dünyasının güvenlik durumunu mercek altına almış. container imajları, dil kütüphaneleri, versiyonlar derken ekiplerin ne çektiğini, ne deploy ettiğini ve hangi açıklarla boğuştuğunu ortaya koymuş.

rapor ne diyor peki

rapor, gerçek dünyadan gelen verilerle hazırlanmış. yani laboratuvar ortamında “şöyle olsa iyi olur” değil, “işte böyle oluyor” diyor. container imajlarından tut da dil kütüphanelerine, versiyonlardan build’lere kadar her şeyi incelemiş.

anthropic'in claude code'unda kritik açık bulundu, kaynak kod sızıntısından günler sonra

Fri, 03 Apr 2026 08:01:47 +0300

arkadaşlar, anthropic için çok kötü bir hafta geçiyor. önce claude code’un kaynak kodu sızdı, şimdi de adversa ai ekibi kritik bir güvenlik açığı bulmuş. timing mükemmel değil mi ya, kaynak kod ortada gezince herkes incelemeye başlamış haliyle.

ne oldu peki

anthropic’in geliştirdiği claude code (ai kod asistanı dedikleri şey) birkaç gün önce kaynak kod sızıntısına uğradı. ardından adversa ai’daki güvenlik araştırmacıları kodu incelemiş ve kritik seviyede bir zafiyet tespit etmiş. spoiler: kaynak kod sızdıktan sonra zafiyet bulmak çok daha kolay oluyor, klasik.

f5 big-ip'te kritik rce açığı ve 14 bin cihaz hala açıkta duruyor

Fri, 03 Apr 2026 08:01:08 +0300

arkadaşlar, f5 big-ip apm kullananlar toplanın buraya. shadowserver’ın son taramasında internette 14 binden fazla big-ip apm cihazı hala açıkta duruyor ve kritik bir uzaktan kod çalıştırma (rce) açığına karşı savunmasız. bu açık aktif olarak sömürülüyor yani teorik bir şey değil, gerçek saldırılar var.

ne olmuş yani?

f5 big-ip application policy manager (apm) üzerinde kritik seviyede bir rce zafiyeti var. CVE-2023-46747 numaralı bu açık, cvss skoru 9.8 olan bir canavar. yani kritik, acil yamala kategorisinde.

google drive'a yapay zeka destekli fidye yazılımı koruması geldi

Thu, 02 Apr 2026 08:02:18 +0300

arkadaşlar, google güzel bir haber verdi bugün. google drive’a yapay zeka destekli fidye yazılımı (ransomware) tespit özelliği gelmiş ve artık ücretli kullanıcılar için varsayılan olarak açık geliyor.

ne var ne yok

google workspace’te (yani eski adıyla g suite) ücretli hesabı olan kullanıcılar için google drive artık otomatik olarak dosyalarınızı fidye yazılımlarına karşı tarıyor. yapay zeka destekli bir sistem bu, yani şöyle çalışıyor: dosyalarınızda anormal bir şifreleme aktivitesi görürse sizi uyarıyor.

apple ios 18 güncellemesini genişletiyor, darksword saldırılarına karşı

Thu, 02 Apr 2026 08:01:45 +0300

arkadaşlar, apple ciddi bir hamle yaptı. ios 18 kullanan daha fazla iphone’a güvenlik güncellemesi gönderiyor. sebep? darksword denen bir exploit kit var ve aktif olarak sömürülüyor. yani saldırganlar şu anda bunu kullanıyor, teorik bir tehdit değil.

olay ne?

darksword exploit kit denen bir araç var. bu araç ios 18’deki bazı açıkları kullanarak telefonlara sızabiliyor. apple normalde en yeni ios sürümünü kullanmanızı ister ama bu sefer “tamam, ios 18’de kalanlar da yapsın güncellemesini” demiş. güzel bir yaklaşım açıkçası, herkes hemen ios 19’a geçemiyor çünkü.

chrome'da yeni sıfır-gün açığı, aktif sömürülüyor - acil güncelleyin

Thu, 02 Apr 2026 08:01:05 +0300

arkadaşlar, google bugün chrome için acil güvenlik güncellemesi yayınladı. toplam 21 tane açık kapatmış ama içlerinde bir tanesi sıfır-gün açığı ve aktif olarak sömürülüyor. hemen güncelleyin, sonra “benim başıma gelmez” demeyin.

ne var ne yok

CVE-2026-5281 diye geçen bu açık, chrome’un webgpu implementasyonu olan dawn’da bulunmuş. use-after-free (yani kullanıldıktan sonra tekrar kullanılma) türünde bir açık bu. ciddiyet seviyesi “high” yani yüksek olarak belirlenmiş. cvss skoru henüz açıklanmamış ama google’ın acil yama çıkarması ve aktif sömürüldüğünü söylemesi durumun ciddiyetini gösteriyor.

trueconf'te sıfır-gün açığı, güneydoğu asya hükümetleri saldırı altında

Wed, 01 Apr 2026 08:02:28 +0300

arkadaşlar, trueconf diye bir video konferans yazılımında kritik bir sıfır-gün açığı bulunmuş ve aktif olarak sömürülüyor. truechaos adını vermişler bu kampanyaya. güneydoğu asya’daki hükümet kurumları hedef alınmış, yani iş ciddi.

ne olmuş peki

CVE-2026-3502 diye geçiyor bu açık, cvss skoru 7.8 yani “ciddi, boş durma 🟠” kategorisinde. sorun şurada: trueconf client yazılımı güncelleme yaparken indirdiği kodun gerçekten trueconf’ten mi geldiğini kontrol etmiyormuş. yani bütünlük kontrolü (integrity check) yok.

kısacası saldırganlar sahte bir güncelleme sunucusu koyup, kullanıcıları oraya yönlendiriyorlar. yazılım da “tamamdır abi” deyip o sahte güncellemeyi kuruyor. klasik man-in-the-middle saldırısı yani ama bu sefer güncelleme mekanizması üzerinden.

google android'de geliştirici doğrulama zorunluluğu getiriyor

Wed, 01 Apr 2026 08:01:52 +0300

arkadaşlar, google android dünyasında önemli bir adım atıyor. artık play store’da uygulama yayınlayan tüm geliştiricilerin kimliklerini doğrulamaları gerekecek. yani anonim kalıp zararlı uygulama dağıtan tipler için oyun bitiyor.

ne oluyor peki

google, android geliştirici doğrulama (developer verification) sistemini resmi olarak devreye almaya başlamış. şöyle ki, play store’da uygulama yayınlamak isteyen herkes artık kimliğini doğrulatacak. bu sayede kötü niyetli adamlar anonim kalıp zararlı uygulamalar dağıtamayacak.

spoiler: bu zorunluluk eylül ayında önce brezilya, endonezya, singapur ve tayland’da başlayacak, sonra gelecek yıl global olarak yayılacak.

claude ai vim ve emacs'te dosya açınca tetiklenen rce açıkları bulmuş

Wed, 01 Apr 2026 08:01:19 +0300

arkadaşlar, başlıktan da anlaşılacağı üzere yapay zeka artık güvenlik açığı bulmaya başladı. anthropic’in claude asistanı, basit promptlarla vim ve gnu emacs’te rce (remote code execution - uzaktan kod çalıştırma) açıkları keşfetmiş. en kötü tarafı ise bunlar sadece bir dosya açmanızla tetikleniyor, başka bir şey yapmanıza gerek yok.

spoiler: evet, doğru okudunuz. sadece bir metin dosyası açıyorsunuz ve sistem ele geçirilmiş oluyor.

ne olmuş peki

claude ai’a basit güvenlik testi promptları verilmiş ve yapay zeka vim ile emacs’in kaynak kodlarını taramış. sonuç olarak şu iki kritik zafiyet ortaya çıkmış:

openai chatgpt'de gizli veri sızdırma açığı yamalandı

Tue, 31 Mar 2026 08:02:57 +0300

arkadaşlar, openai’ın chatgpt’sinde ciddi bir açık keşfedilmiş ve yamalanmış. check point güvenlik araştırmacıları bulmuş bunu. konu şu: tek bir kötü niyetli prompt ile chatgpt’deki konuşmalarınız, yüklediğiniz dosyalar ve diğer hassas verileriniz sessizce dışarı sızdırılabiliyormuş. kullanıcı hiçbir şeyden haberdar olmadan.

spoiler: bu sadece chatgpt ile sınırlı değil, openai codex’te de github token sızıntısına yol açan ayrı bir açık daha varmış.

ne olmuş yani

check point’in bulduğu açık şöyle çalışıyor: saldırgan özel hazırlanmış bir prompt gönderiyor chatgpt’ye. bu prompt, chatgpt’nin normal görünen bir konuşmayı gizli bir veri sızdırma kanalına çevirmesini sağlıyor. yani siz chatgpt ile muhabbet ederken, konuşmanız arka planda başka bir yere akıyor.

haftalık özet: telekomda uyuyan hücreler, llm jailbreak'leri ve diğer eğlenceler

Tue, 31 Mar 2026 08:01:54 +0300

arkadaşlar, bu hafta sessiz bir hafta oldu ama kötü anlamda sessiz. yani patırtı yok diye güvendeyiz sanmayın, tam tersine uzun süredir devam eden operasyonlar mahkemelere taşınmış, eski saldırı yöntemeri yeni yerlerde boy göstermiş, ve teorik diye diye pratiğe dönen araştırmalar var. kısacası, sessiz ama tehlikeli bir hafta geçirdik.

bu hafta neler var diye soracak olursanız: telekomda uzun süreli kalıcılık operasyonları, yasal kazanımlar, etkileme operasyonları ve en az bir tane “sıkıcı görünüyor ama aslında tehlikeli” durum var. gelin bi bakalım neler olmuş.

f5 big-ip'te kritik açık aktif sömürülüyor arkadaşlar

Tue, 31 Mar 2026 08:01:08 +0300

arkadaşlar, f5 big-ip kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü ciddi bir durum var. f5, başta “sadece dos açığı” dediği bir zafiyeti şimdi “kritik seviye rce” olarak yeniden sınıflandırdı. yani uzaktan kod çalıştırma açığı bu, dos falan değil. daha da kötüsü, saldırganlar şu anda aktif olarak bu açığı sömürüyor ve yamasız cihazlara webshell yerleştiriyorlar.

ne olmuş yani?

şöyle ki arkadaşlar, CVE-2025-27896 diye bir açık var. f5 big-ip’nin apm (access policy manager) modülünde bulunmuş. ilk başta “e hadi canım dos açığı, sistem çöker işte” diye düşünülmüş ama meğerse durum çok daha vahim. saldırganlar bu açığı kullanarak sisteme webshell yüklüyor, yani tam erişim elde ediyorlar.

wordpress smart slider 3 eklentisinde dosya okuma açığı, 800 bin site etkileniyor

Mon, 30 Mar 2026 08:02:01 +0300

arkadaşlar, wordpress kullanıyorsanız ve smart slider 3 eklentiniz varsa, hemen bu yazıyı okuyun. 800 binden fazla sitede kullanılan bu eklentide ciddi bir dosya okuma açığı bulunmuş. CVE-2025-2627 numaralı bu zafiyet sayesinde, subscriber seviyesindeki bir kullanıcı bile sunucudaki dosyaları okuyabiliyor. yani en düşük yetkili kullanıcı bile wp-config.php’nizi okuyabilir. ciddi ciddi hemen güncelleyin.

ne olmuş yani?

smart slider 3 eklentisinin 3.5.1.26 ve önceki versiyonlarında bir zafiyet var. bu CVE-2025-2627 açığı, arbitrary file read (keyfi dosya okuma) zafiyeti denen şeylerden. şöyle ki: eklenti, dosya yollarını düzgün kontrol etmemiş ve path traversal denen klasik saldırıya açık bırakmış kendini.

fbi direktörünün mail hesabı hacklendi, iranlı grup üstlendi

Mon, 30 Mar 2026 08:01:14 +0300

arkadaşlar bugün bayağı ilginç bir haber var. fbi direktörü kash patel’in kişisel mail hesabı hacklendi ve içindeki fotoğraflar, belgeler falan sızdırıldı. iranlı handala grubu denen tipler üstlendi bu işi. yani adam fbi’ın başı ama kendi mailini koruyamamış, durumun ciddiyetini anlayın.

spoiler: bu sadece bir mail hack’i değil, aynı zamanda ciddi bir güvenlik ve istihbarat sorunu.

ne oldu tam olarak

handala hacker grubu (iranlı olduğu söyleniyor) fbi direktörü kash patel’in kişisel mail hesabına sızmış. içindeki fotoğrafları, belgeleri, muhtemelen hassas bilgileri çalmışlar ve yayınlamışlar. fbi da olayı doğruladı yani “yok öyle bir şey” diyemediler.

iran bağlantılı hackerlar fbi direktörünün kişisel mailini sızdırdı

Sun, 29 Mar 2026 08:02:44 +0300

arkadaşlar, bu sefer iş biraz ciddi. iran bağlantılı bir hacker grubu fbi direktörü kash patel’in kişisel mail hesabını ele geçirmiş ve içindekileri internete sızdırmış. handala hack team diye bilinen grup, patel’i “başarıyla hacklenen kurbanlar listesine” eklediğini açıklamış.

olay ne tam olarak

handala hack team, patel’in kişisel e-posta hesabına sızmış ve içerisinden fotoğraflar, belgeler falan çıkarmış. grubu tanıyanlar bilir, daha önce de benzer operasyonlar yapmışlardı. bu sefer hedef fbi direktörü olunca olay biraz daha gürültü kopardı tabii.

macos kullanıcıları dikkat: infinity stealer denen yeni beladan korunma rehberi

Sun, 29 Mar 2026 08:01:59 +0300

arkadaşlar, macos dünyasında yeni bir misafir var: infinity stealer. python ile yazılmış, nuitka derleyicisiyle paketlenmiş bir bilgi hırsızı malware. “clickfix” denen kandırma yöntemiyle kurbanlarını avlıyormuş. mac kullanıyorum güvendeyim diyenlere gelsin, bu da sizin için.

ne oluyor yani?

şöyle ki, saldırganlar sahte hata mesajları göstererek kullanıcıları kandırıyor. “şu hatayı düzeltmek için bu komutu terminalde çalıştır” gibi bir şey söylüyorlar. klasik sosyal mühendislik. kullanıcı da “tamam düzeltelim” deyip kopyala-yapıştır yapınca, hop infinity stealer sisteme yerleşiyor.

cisa f5 big-ip apm açığını kev kataloğuna ekledi, aktif sömürü var

Sun, 29 Mar 2026 08:01:02 +0300

arkadaşlar, cisa yine alarm veriyor. f5 big-ip access policy manager (apm) üzerinde kritik bir açık var ve aktif olarak sömürülüyor. CVE-2025-53521 numaralı bu zafiyet kev (known exploited vulnerabilities) kataloğuna eklenmiş durumda.

ne var ne yok

CVE-2025-53521 açığı cvss v4’e göre 9.3 puan almış, yani kritik seviyede. uzaktan kod çalıştırma (rce) zafiyeti denen bela var ortada. yani saldırgan sisteminize uzaktan erişip istediği kodu çalıştırabiliyor.

f5 big-ip apm kullanan arkadaşlar dikkat, bu açık sayesinde kötü niyetli tipler sisteminize tam yetkiyle girebilir. cisa’nın kev kataloğuna eklemesi de cabası, yani gerçekten sömürülüyor bu açık, teoride kalmıyor.

bearlyfy grubu rus şirketlerine genielocker fidye yazılımıyla saldırıyor

Sat, 28 Mar 2026 08:02:37 +0300

arkadaşlar, ukrayna yanlısı bir hacker grubu olan bearlyfy (bazıları labubu da diyor) ocak 2025’ten beri rus şirketlere saldırıyor. şimdiye kadar 70’ten fazla siber saldırı gerçekleştirmişler ve son saldırılarda genielocker adında özel bir windows fidye yazılımı kullanmışlar.

olay nedir, ne oluyor?

bearlyfy grubu çift amaçlı çalışıyor: bir yandan rus şirketlere maksimum hasar vermeye çalışıyorlar, diğer yandan da hacktivizm yapıyorlar. yani hem fidye yazılımı dağıtıp sistemleri kilitleyen, hem de ideolojik amaçlı hareket eden bir grup.

apple eski iphonelara kilit ekranından uyarı gönderiyor

Sat, 28 Mar 2026 08:01:55 +0300

arkadaşlar, apple tarihinde ilk defa böyle bir şey yapıyor. eski ios sürümlerini kullanan iphone ve ipadlere kilit ekranından bildirim gönderiyor. mesajda ne diyor? “apple, eski ios yazılımını hedef alan saldırıların farkındadır, iphone’unuzdaki sürüm dahil. iphone’unuzu korumak için bu kritik güncellemeyi yükleyin” diyor.

yani şöyle ki, elinizde güncel olmayan bir iphone varsa ve web tabanlı saldırılar aktif olarak dolaşıyorsa, apple artık kilit ekranından “agam güncelleme yap” diye uyarı veriyor. macrumors ilk fark etmiş bu durumu.

langchain ve langgraph'ta dosya ve secret sızdıran açıklar bulundu

Sat, 28 Mar 2026 08:01:11 +0300

arkadaşlar, ai uygulama geliştiriyorsanız ve langchain veya langgraph kullanıyorsanız bu yazıyı okumanızı tavsiye ederim. güvenlik araştırmacıları bu frameworklerde 3 tane ciddi açık bulmuş. kısacası dosya sisteminiz, environment secretlarınız ve konuşma geçmişiniz sızdırılabilir.

ne olmuş yani?

langchain ve langgraph dediğimiz şeyler, llm (büyük dil modelleri) ile uygulama geliştirmek için kullanılan açık kaynaklı frameworkler. şirketler bunlarla chatbot, ai asistan falan yapıyor. işte bu popüler frameworklerde 3 tane zafiyet bulunmuş.

spoiler: bu açıklar sayesinde saldırganlar:

claude chrome eklentisinde sıfır-tıklamalı xss açığı bulunmuş

Fri, 27 Mar 2026 08:02:29 +0300

arkadaşlar, anthropic’in claude ai asistanı için geliştirdiği chrome eklentisinde ciddi bir açık bulunmuş. koi security’den oren yomtov isimli araştırmacı ortaya çıkarmış bu açığı.

spoiler: bu açık çok ilginç bir açık çünkü sıfır-tıklamalı (zero-click) bir xss prompt injection saldırısı. yani siz sadece bir web sitesini ziyaret ettiğinizde, o site claude eklentinize sanki siz yazmışsınız gibi komutlar enjekte edebiliyor. hiçbir şeye tıklamanıza gerek yok, sadece sayfayı açmanız yeterli.

ne olmuş peki?

claude’un chrome eklentisi, web sayfalarındaki içeriği okuyup kullanıcıya yardımcı olmak için tasarlanmış. ancak bu eklenti, web sitelerinden gelen içeriği yeterince doğrulamıyormuş. bu sayede kötü niyetli bir web sitesi, eklentiye istediği komutu gönderebiliyormuş.

çinli red menshen grubu telekom şirketlerinde yıllardır gizleniyormuş

Fri, 27 Mar 2026 08:01:55 +0300

arkadaşlar, çinli bir hacker grubu olan red menshen (diğer adıyla earth bluecrow) yıllardır telekom şirketlerinin ağlarına yerleşmiş ve devlet ağlarını gözetliyormuş. yani klasik çin hareketi, uzun soluklu ve sessiz sedasız iş. bpfdoor denen bir implant kullanmışlar ki bu yazılım gerçekten sinsi bir şey.

olay ne tam olarak

red menshen grubu, telekom operatörlerinin altyapısına sızmış ve oradan devlet kurumlarını izliyormuş. mantık şu: telekom şirketleri zaten herkesin trafiğini görüyor, sen oraya yerleşirsen hem görünmezsin hem de istediğin yere erişim sağlarsın. akıllıca ama kötü niyetli bir strateji.

webrtc ile csp'yi bypass eden yeni ödeme çalma malware'i

Fri, 27 Mar 2026 08:01:04 +0300

arkadaşlar, e-ticaret sitelerinde yeni bir malware türü keşfedilmiş. webrtc data channel’larını kullanarak hem payload yüklüyor hem de çaldığı kredi kartı bilgilerini sızdırıyor. en kötü tarafı da csp (content security policy) kontrollerini bypass ediyor.

olay ne tam olarak

sansec’in güvenlik araştırmacıları yeni bir payment skimmer (ödeme bilgisi çalan malware) bulmuş. klasik http istekleri veya image beacon’ları yerine webrtc data channel’larını kullanıyormuş. yani normal güvenlik kontrolleri bu trafiği görmüyor bile.

spoiler: bu malware özellikle e-ticaret sitelerini hedef alıyor. müşterileriniz ödeme yaparken kredi kartı bilgileri çalınabiliyor.

rus hacker ta551 botnet operasyonundan 2 yıl yedi

Thu, 26 Mar 2026 08:02:13 +0300

arkadaşlar, fbi’dan güzel bir haber geldi. ta551 (shathak diye de bilinir) botnet operasyonunu yöneten rus hacker ilya angelov 2 yıl hapis ve 100 bin dolar para cezasına çarptırıldı. “milan” ve “okart” takma adlarıyla takılan bu arkadaş, yıllarca amerikan şirketlerine fidye yazılımı saldırıları düzenlemiş.

olay neydi

ilya angelov, rusya’nın tolyatti şehrinden 40 yaşında bir siber suçlu. ta551 adlı bir rus siber suç grubunu yönetiyormuş. bu grup klasik email phishing yöntemiyle kurbanları tuzağa düşürüyormuş:

magento'da polyshell saldırıları başladı, mağazaların yarısından fazlası hedefte

Thu, 26 Mar 2026 08:01:34 +0300

arkadaşlar, e-ticaret dünyasında ciddi bir durum var. magento open source ve adobe commerce kullanan mağazalara yönelik polyshell denen bir zafiyet üzerinden saldırılar başlamış. kötü tarafı şu: zafiyet bulunan mağazaların %56’sı şu an hedef alınıyor. yani bu iş şaka değil, aktif saldırı var ortada.

ne oluyor yani?

polyshell zafiyeti, magento 2.x versiyonlarında bulunan ve saldırganlara uzaktan kod çalıştırma (rce) imkanı veren bir açık. yani kısacası, saldırgan sunucunuzda istediği komutu çalıştırabiliyor. spoiler: bu çok kötü bir şey.

rusya'da leakbase yöneticisi tutuklandı

Thu, 26 Mar 2026 08:00:45 +0300

arkadaşlar, rusya’dan güzel bir haber geldi. leakbase diye bir siber suç forumunun yöneticisini rus kolluk kuvvetleri yakalamış. taganrog şehrinde yaşayan bu arkadaş, çalıntı kimlik bilgilerinin satıldığı bir pazar yeri işletiyormuş.

olay ne?

leakbase, biliyorsunuz ki çalıntı kullanıcı adı, şifre, kredi kartı bilgisi gibi hassas verilerin alınıp satıldığı bir platform. yani klasik underground forum işte. rusya iç işleri bakanlığı bağlantılı mvd media ve tass haber ajansı perşembe günü bu tutuklamayı duyurdu.

rus hacker 6.75 yıl yedi, yanluowang ransomware operasyonlarına yardım etmişti

Wed, 25 Mar 2026 08:02:30 +0300

arkadaşlar, abd’den güzel bir haber geldi. 26 yaşındaki rus vatandaşı aleksei olegovich volkov, 6.75 yıl (81 ay) hapis cezası aldı. adam yanluowang ransomware ekibi dahil olmak üzere büyük siber suç gruplarına yardım etmiş, abd şirketlerine saldırılarda rol almış.

ne yapmış bu arkadaş

justice department’ın açıklamasına göre, volkov onlarca fidye yazılımı saldırısını kolaylaştırmış. yanluowang ransomware grubuyla çalışmış, yani küçük bir oyuncu değil. bu tür operasyonlarda genelde teknik destek, altyapı sağlama, erişim kolaylığı gibi işler dönüyor.

citrix netscaler'da kritik veri sızıntısı açığı, acil yamalayın

Wed, 25 Mar 2026 08:01:42 +0300

arkadaşlar citrix netscaler kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü kritik bir açık var ve hassas verileriniz sızabilir.

citrix, netscaler adc ve netscaler gateway için güvenlik güncellemesi yayınladı. iki tane açık var, biri gerçekten ciddi. CVE-2026-3055 diye geçen zafiyet cvss skoru 9.3 ile kritik kategorisinde. yani acil acil yamalayın demek lazım.

ne var ne yok bu açıklarda

birinci açık: memory overread (kritik)

CVE-2026-3055 açığı, yetersiz input validasyonu yüzünden oluşmuş. cvss skoru 9.3, yani kırmızı alarm 🔴

ptc windchill ve flexplm'de kritik rce açığı, acil yamalayın

Wed, 25 Mar 2026 08:01:01 +0300

arkadaşlar, PTC firması windchill ve flexplm ürünlerinde kritik bir açık olduğunu duyurdu. ciddi ciddi acil yamalayın bunu, çünkü uzaktan kod çalıştırma (rce) açığı var ve firma “yakın tehdit” (imminent threat) diyor. yani saldırganlar kapıda bekliyor demek.

ne var ne yok

ptc’nin product lifecycle management (plm) çözümleri olan windchill ve flexplm’de kritik seviyede bir zafiyet keşfedilmiş. firma resmi uyarı yayınlayarak bu açığın çok yakında sömürülebileceğini belirtmiş.

rce açığı dediğimiz şey şu: saldırgan uzaktan sisteminize kod çalıştırabilir, yani full kontrol demek. bu tür açıklar genelde kritik seviyede oluyor ve hemen yamalanması gerekiyor.

fidye yazılımları artık yapay zeka hızında hareket ediyor

Tue, 24 Mar 2026 08:02:52 +0300

arkadaşlar, dark reading’den gelen habere göre ransomware çeteleri artık yapay zeka kullanarak saldırılarını hızlandırmış. klasik “önce ağa sız, sonra yavaş yavaş ilerle” taktiğini bırakmışlar, şimdi doğrudan geçerli kimlik bilgileriyle girip veriyi hedef alıyorlar. yani artık daha hızlı, daha sessiz ve daha tehlikeliler.

ne değişti bu yeni dönemde

eskiden ransomware saldırıları haftalarca sürerdi. saldırganlar ağa sızar, yavaşça ilerler, araştırma yapar, sonra şifrelemeye başlardı. şimdi ise yapay zeka sayesinde:

geçerli kimlik bilgileriyle doğrudan giriş yapıyorlar (yani güvenlik araçları “meşru kullanıcı” sanıyor)
şifreleme yerine doğrudan veri hırsızlığına odaklanıyorlar
ai araçlarıyla güvenlik sistemlerini bypass ediyorlar
saldırı süresi günlere, hatta saatlere düşmüş durumda

spoiler: artık dosyaları şifrelemek yerine çalıp “yayınlarız” diye tehdit ediyorlar. çünkü şifreleme tespit edilebiliyor ama veri sızıntısı sessiz sedasız oluyor.

trivy üzerinden ci/cd pipeline'larına saldırı düzenlendi

Tue, 24 Mar 2026 08:02:03 +0300

arkadaşlar, yine supply chain saldırısı vakası var. bu sefer hedefte trivy var, biliyorsunuzdur, açık kaynaklı güvenlik tarama aracı. saldırganlar trivy’yi kullanarak ci/cd pipeline’larına sızmış ve cloud credential’ları, ssh key’leri, token’ları çalmışlar. yani güvenlik aracı üzerinden güvenlik ihlali yapmışlar, ironiye bakın.

ne olmuş peki

saldırganlar trivy’yi kullanarak bir infostealer (bilgi hırsızı) yerleştirmişler ci/cd workflow’larına. şöyle ki, trivy zaten güvenlik taraması yaparken sistem kaynaklarına erişim hakkına sahip. bunu fırsat bilen kötü niyetli tipler, bu aracı kullanarak pipeline içindeki hassas verileri toplamışlar.

aws bedrock'ta 8 tane saldırı vektörü bulunmuş, yapay zeka güvenliği dediğin budur işte

Tue, 24 Mar 2026 08:01:17 +0300

arkadaşlar, aws bedrock kullanıyorsanız biraz dikkatli olmanız gerekebilir. bedrock amazon’un yapay zeka uygulamaları geliştirmek için sunduğu platform, biliyorsunuz. geliştiricilere foundation modeller veriyor, bu modelleri de kurumsal verilerle ve sistemlerle direkt bağlıyor. işte tam bu bağlanabilirlik özelliği hem gücünü hem de zaafını oluşturuyor.

güvenlik araştırmacıları bedrock içinde 8 tane farklı saldırı vektörü tespit etmiş. şöyle ki, bir yapay zeka ajanı salesforce’unuzu sorgulayabiliyorsa, lambda fonksiyonu tetikleyebiliyorsa ya da sharepoint’inizden veri çekebiliyorsa, bu yetenekler kötü niyetli ellerde ciddi sorunlara yol açabilir.

voidstealer chrome'un şifreleme korumasını debugger hilesiyle bypass ediyor

Mon, 23 Mar 2026 08:01:11 +0300

arkadaşlar, yeni bir bilgi çalıcı malware türemiş ortaya. voidstealer diyorlar buna. bu sefer iş biraz ciddi çünkü chrome’un application-bound encryption (abe) denen şifreleme korumasını atlatmayı başarmış. yani chrome’da kayıtlı şifreleriniz, çerezleriniz falan artık güvende değil bu malware sisteme girerse.

olay ne tam olarak

chrome, geçen sene abe diye bir koruma mekanizması getirmişti. mantığı şuydu: tarayıcıda saklanan hassas verileri (şifreler, çerezler, ödeme bilgileri) şifrelemek için bir master key kullanıyor ve bu anahtarı da sadece chrome’un kendi process’i okuyabiliyor. yani teoride bir malware gelip bu anahtarı çalamamalı.

rus istihbaratı signal ve whatsapp hesaplarını hedef alıyor

Sun, 22 Mar 2026 08:02:55 +0300

arkadaşlar, fbi ve cisa ortak bir uyarı yayınladı. rus istihbarat servisleriyle bağlantılı gruplar, signal ve whatsapp gibi şifreli mesajlaşma uygulamalarındaki hesapları ele geçirmek için büyük çaplı phishing saldırıları düzenliyor. hedef kitle de belli: yüksek istihbarat değeri olan kişiler. yani siz sistem yöneticileri, güvenlik uzmanları, devlet görevlileri falan.

ne oluyor yani

ruslar, ticari mesajlaşma uygulamalarını (cma diyorlar bunlara) hedef alan phishing kampanyaları düzenliyor. whatsapp ve signal başta olmak üzere bu uygulamalardaki hesapları ele geçirmeye çalışıyorlar. spoiler: amaç sadece mesajları okumak değil, hesabı tamamen ele geçirip içerideki kişilerle iletişime geçmek, yani güven zincirini kırmak.

cisa yine kev kataloğuna ekleme yapmış, apple craft cms ve laravel açıkları var

Sun, 22 Mar 2026 08:01:30 +0300

arkadaşlar, cisa yine kev (known exploited vulnerabilities) kataloğuna 5 tane yeni açık eklemiş. bu sefer apple, craft cms ve laravel livewire’da bulunan zafiyetler var ve aktif olarak sömürülüyorlar. federal kurumlar 3 nisan 2026’ya kadar yamalamak zorunda ama siz de boş durmayın, bu açıklar sokaklarda dolaşıyor.

ne var ne yok

cisa’nın eklediği açıklar şunlar:

CVE-2025-31277 - apple’da bir zafiyet var, cvss skoru 8.8 yani ciddi seviyede. detaylar henüz tam açıklanmamış ama apple ürünleri kullanıyorsanız hemen güncellemeleri kontrol edin.

quest kace'de kritik açık var ve sömürülmüş olabilir

Sun, 22 Mar 2026 08:00:56 +0300

arkadaşlar, quest kace sistemlerinde kritik bir açık bulunmuş ve spoiler: eğitim sektörüne yapılan saldırılarda kullanılmış olabilir. CVE-2025-32975 olarak geçiyor bu zafiyet ve ciddi anlamda acil yamalama gerektiriyor.

quest kace diyenler, biliyorsunuz it asset management ve sistem yönetim araçları. özellikle eğitim kurumlarında çok yaygın kullanılıyor. işte tam da bu yüzden saldırganların hedefinde olmuş.

ne var ne yok bu açıkta

CVE-2025-32975 açığı kritik seviyede bir zafiyet. henüz tam teknik detaylar açıklanmamış ama quest’in yayınladığı güvenlik bültenine göre:

beast gang'in opsec faili, fidye yazılımı sunucusu ifşa oldu

Sat, 21 Mar 2026 08:02:22 +0300

arkadaşlar, bugün biraz farklı bir haberle geldim. beast gang diye bir fidye yazılımı çetesi var, bunlar opsec (operasyonel güvenlik) konusunda tam bir fiyasko yaşamış. merkezi bulut sunucuları açıkta kalmış ve içinden ne çıktıysa çıkmış.

ne olmuş peki

beast gang’in kullandığı merkezi bulut sunucusu ifşa olmuş. sunucudaki dosyalar incelendiğinde, bu grubun saldırı taktikleri, teknikleri ve prosedürleri (ttp’leri) ortaya çıkmış. özellikle ilginç olan şu: bunlar sistematik bir şekilde ağ yedeklerine saldırıyormuş. yani kurbanların “en kötü ihtimalde yedekten döneriz” dediği senaryonun tam içine sıçıyorlar.

langflow'da kritik açık 20 saatte sömürülmeye başladı

Sat, 21 Mar 2026 08:01:29 +0300

arkadaşlar, hızlı olmak nedir işte size güzel bir örnek. langflow’da bulunan kritik bir açık, açıklandıktan sadece 20 saat sonra aktif olarak sömürülmeye başlamış. yani sabah açığı duyurdular, akşam saldırılar başlamış. bu hız ne böyle diyeceksiniz ama işte gerçek bu.

söz konusu açık CVE-2026-33017 olarak kayıtlara geçmiş ve CVSS skoru 9.3 yani kritik seviyede bir bela. ne var bu açıkta derseniz, kimlik doğrulama eksikliği + kod enjeksiyonu kombosu var. yani hem giriş yapmadan erişebiliyorsunuz, hem de istediğiniz kodu çalıştırabiliyorsunuz. uzaktan kod çalıştırma (RCE) dediğimiz felaketin tam kendisi.

oracle identity manager'da kritik rce açığı, acil yama geldi

Sat, 21 Mar 2026 08:00:53 +0300

arkadaşlar oracle acil bir yama yayınladı. identity manager ve web services manager’da kritik bir uzaktan kod çalıştırma (rce) açığı bulunmuş. CVE-2026-21992 diye geçiyor bu zafiyet ve kimlik doğrulamasız sömürülebiliyor, yani saldırganın kullanıcı adı şifre bilmesine gerek yok.

ne var ne yok

bu CVE-2026-21992 açığı oracle identity manager (oim) ve oracle web services manager (owsm) ürünlerini etkiliyor. kritik seviyede bir zafiyet, yani cvss skoru muhtemelen 9+ civarında.

spoiler: oracle normal yama döngüsünü beklemeden acil (out-of-band) yama çıkarmış, bu da işin ciddiyetini gösteriyor. genelde böyle acil yamalar ya aktif sömürü var ya da çok yakında olacak demektir.

54 edr killer aracı 35 imzalı sürücü açığını kullanarak güvenlik yazılımlarını devre dışı bırakıyor

Fri, 20 Mar 2026 08:02:21 +0300

arkadaşlar, ciddi bir durum var. güvenlik araştırmacıları 54 tane edr killer (yani güvenlik yazılımlarını öldüren) aracı incelemiş ve hepsi aynı numarayı kullanıyormuş: byovd (bring your own vulnerable driver - kendi açıklı sürücünü getir) denen teknik.

peki nedir bu byovd meselesi? şöyle ki, saldırganlar 35 tane imzalı ama açıklı windows sürücüsünü kullanarak sistem çekirdeğine (kernel) erişim sağlıyorlar. “imzalı” diyoruz çünkü microsoft’un dijital imzası var bu sürücülerde, yani windows bunlara güveniyor. ama içlerinde açık var işte, saldırganlar da bunu kullanıp edr yazılımlarını öldürüyorlar.

magento'da polyshell zafiyeti: kimlik doğrulamasız rce vakası

Fri, 20 Mar 2026 08:01:31 +0300

arkadaşlar, magento kullanan e-ticaret sitesi yönetiyorsanız hemen buraya bakın. polyshell denen yeni bir zafiyet ortaya çıktı ve durum ciddi. tüm magento open source ve adobe commerce 2.x sürümlerini etkiliyor, hem de kimlik doğrulaması gerektirmeden uzaktan kod çalıştırma (rce) imkanı veriyor. yani saldırgan kullanıcı adı şifre falan aramıyor, direkt sisteme giriyor.

ne var ne yok bu polyshell meselesinde

CVE-2025-24086 numaralı bu açık, magento’nun phtml template engine’inde bir zafiyet. saldırgan özel hazırlanmış bir istek göndererek sunucuda istediği kodu çalıştırabiliyor. cvss skoru 9.8 (kritik) yani acil acil yamalayın seviyesinde.

darksword ios exploit kiti 6 açık kullanıyor, 3 tanesi zero-day

Fri, 20 Mar 2026 08:00:49 +0300

arkadaşlar, ios kullananlar için kötü haber geldi. darksword denen bir exploit kiti var, apple cihazlarınızı tepeden tırnağa ele geçirebiliyor. google threat intelligence group, iverify ve lookout birlikte rapor yayınlamış. kısacası: kasım 2025’ten beri birden fazla saldırgan grubu bu kiti kullanıyormuş.

ne var ne yok bu darksword’de

agalar, bu kit 6 tane açık kullanıyor ve bunların 3 tanesi zero-day yani apple yamayı yapmadan önce sömürülmüş. tam anlamıyla full device takeover denen olay var ortada. cihazınızdaki hassas verileri çalabiliyorlar.

marquis'te ransomware saldırısı: 672 bin kişinin verisi çalınmış

Thu, 19 Mar 2026 08:02:58 +0300

arkadaşlar, texas’ta finans sektöründe hizmet veren marquis şirketinde ağustos 2025’te gerçekleşen bir fidye yazılımı saldırısında 672 bin kişinin verisi çalınmış. daha da kötüsü, bu saldırı abd’deki 74 bankanın operasyonlarını da aksatmış. şimdi mart 2026’da açıklama yapıyorlar, yani tam 7 ay sonra. klasik hareket yani.

olay ne, nasıl olmuş?

marquis, bankalar için üçüncü taraf finansal hizmet sağlayıcısı. ağustos 2025’te fidye yazılımı çetesi sistemlerine girmiş ve hem veri çalmış hem de operasyonları durdurmuş. 74 banka etkilenmiş, yani domino etkisi yapmış olay.

ucuz ip kvm cihazları root erişimi kapısı olmuş

Thu, 19 Mar 2026 08:02:09 +0300

arkadaşlar, eclypsium’dan güvenlik araştırmacıları ucuz ip kvm cihazlarında ciddi sorunlar bulmuş. ip kvm dediğimiz şey, sunucularınızı uzaktan yönetmenizi sağlayan cihazlar yani - klavye, video, mouse kontrolü falan. düşünün ki bu cihazlarda açık var, saldırgan direk sunucunuza root yetkisiyle giriyor. tam bir felaket senaryosu.

ne olmuş peki

toplamda 9 tane kritik zafiyet bulunmuş, 4 farklı üreticinin cihazlarında. bunlar da şunlar:

GL-iNet Comet RM-1
Angeet/Yeeso ES3 KVM
Sipeed NanoKVM
JetKVM

spoiler: bu açıklar kimlik doğrulama gerektirmeden root erişimi veriyor. yani kullanıcı adı şifre falan da gerekmiyor, direk giriş.

cisa zimbra'daki xss açığını yamalamanızı emrediyor

Thu, 19 Mar 2026 08:01:16 +0300

arkadaşlar, zimbra collaboration suite’te (zcs) aktif olarak sömürülen bir xss açığı var ve cisa bu sefer ciddi ciddi “yamalayın” demiş. federal ajanslar için 4 nisan’a kadar zorunlu yamalama emri gelmiş, siz de boş durmayın derim.

olay ne?

zimbra’da bir cross-site scripting (xss) zafiyeti keşfedilmiş ve spoiler: aktif olarak sömürülüyor. CVE-2025-34139 numaralı bu açık, saldırganların kurbana özel hazırlanmış bir link göndererek zararlı javascript kodu çalıştırmasına izin veriyor. yani klasik xss hikayesi ama bu sefer gerçekten kullanılıyor.

leaknet fidye çetesi clickfix ve deno runtime ile saldırıyor

Wed, 18 Mar 2026 08:02:47 +0300

arkadaşlar, leaknet diye bir fidye yazılımı çetesi var, bunlar işi biraz daha ileri götürmüş. clickfix denen sosyal mühendislik tekniğiyle kurumsal ağlara giriyorlar, sonra da deno runtime (javascript/typescript için açık kaynaklı bir ortam) tabanlı bir malware loader kullanıyorlar. yani klasik fidye çetesi hareketi değil bu, biraz daha teknik ve sinsi bir iş dönüyor.

olay ne tam olarak

leaknet çetesi şöyle çalışıyor: önce clickfix tekniğiyle kullanıcıları kandırıyorlar. clickfix dedikleri şey, sahte hata mesajları gösterip “düzeltmek için tıkla” diye kullanıcıyı tuzağa düşürmek. kullanıcı tıklayınca, sistem panoya kopyalanmış kötü niyetli powershell komutlarını çalıştırıyor. klasik “kullanıcı en zayıf halka” durumu yani.

amazon bedrock ve diğer ai platformlarında dns üzerinden veri sızdırma açığı

Wed, 18 Mar 2026 08:01:48 +0300

arkadaşlar, ai dünyasında yeni bir sıkıntı baş göstermiş. beyondtrust’ın araştırmacıları amazon bedrock, langsmith ve sglang gibi ai platformlarında dns sorguları üzerinden veri sızdırma ve hatta uzaktan kod çalıştırma açıkları bulmuş. yani klasik sandbox kaçış hikayesi ama bu sefer ai ortamlarında.

ne olmuş peki

amazon bedrock’un agentcore code interpreter’ında sandbox modu var ya, işte orada dışarıya dns sorguları atabiliyormuşsunuz. “ee ne var bunda” demeyin, saldırgan bu dns sorgularını kullanarak hassas verileri dışarı sızdırabiliyor. hatta interaktif shell bile açabiliyormuş.

gnu inetutils telnetd'de kritik sıfır-gün açığı - root yetkisiyle uzaktan kod çalıştırma mümkün

Wed, 18 Mar 2026 08:01:07 +0300

arkadaşlar, 2026 yılında hala telnet kullananlar için kötü haberlerimiz var. gnu inetutils telnet daemon’da (telnetd) kritik bir açık bulunmuş ve henüz yaması yok. CVE-2026-32746 olarak kayıtlı bu açık, kimlik doğrulaması bile gerekmeden uzaktan root yetkisiyle kod çalıştırmaya izin veriyor. yani klasik “game over” seviyesi bir açık.

ne var ne yok

CVE-2026-32746 açığı, telnetd’nin LINEMODE özelliğinde bir “out-of-bounds write” (sınır dışı yazma) zafiyeti. cvss skoru 9.8/10.0 yani kritik seviyede ciddi 🔴

şöyle ki: saldırgan, 23 numaralı telnet portuna kimlik doğrulaması yapmadan bağlanıp özel hazırlanmış paketler göndererek bellek taşması yapabiliyor. sonuç: root yetkisiyle istediği kodu çalıştırma. klasik buffer overflow vakası ama bu sefer telnet’te.

wing ftp server'da aktif sömürülen açık var, acil yamalayın

Tue, 17 Mar 2026 08:01:30 +0300

arkadaşlar, cisa yine bir açığı kataloğuna ekledi ve bu sefer hedefte wing ftp server var. CVE-2025-0981 numaralı bu açık aktif olarak sömürülüyor ve uzaktan kod çalıştırma (rce) saldırılarında zincirleme kullanılabiliyormuş. yani ciddi bir durum söz konusu.

wing ftp server diyenlere kısa bir bilgi: dosya transferi için kullanılan popüler bir ftp/sftp sunucusu. özellikle kurumsal ortamlarda sıkça tercih ediliyor. ama işte şimdi bu sunucuda bir zafiyet var ve saldırganlar bunu aktif olarak kullanıyor.

cisa wing ftp açığını kataloğuna ekledi, aktif sömürülüyor

Tue, 17 Mar 2026 08:00:53 +0300

arkadaşlar, cisa yine pazartesi gününe güncelleme ile başlamış. bu sefer wing ftp denen bir dosya transfer sunucusundaki açığı kev (known exploited vulnerabilities) kataloğuna eklemiş. nedeni basit: aktif olarak sömürülüyor.

ne olmuş yani?

CVE-2025-47813 denen bu zafiyet, wing ftp’nin kurulu olduğu dizin yolunu sızdırıyormuş belirli koşullarda. cvss skoru 4.3, yani “ortalama” kategorisinde ama cisa’nın kataloğuna eklemesi demek ki saldırganlar bunu kullanıyor demek.

şimdi diyeceksiniz “abi kurulum yolu sızdırması ne ki?” evet, kendi başına pek bir şey değil ama spoiler: saldırganlar bu bilgiyi kullanarak sistemi daha iyi tanıyıp, başka açıklarla birleştirip ciddi hasarlar verebiliyorlar. yani zincirleme saldırının ilk halkası bu.

loblaw'da veri sızıntısı, müşteri bilgileri çalındı

Mon, 16 Mar 2026 08:02:15 +0300

arkadaşlar, kanada’nın en büyük perakende zincirlerinden loblaw’da veri sızıntısı olmuş. saldırganlar müşteri bilgilerine erişmiş, isim-soyisim, e-posta adresleri ve telefon numaraları çalınmış.

ne oldu peki?

loblaw companies limited (kanada’da loblaws, no frills, shoppers drug mart gibi zincirleri olan dev şirket) bir siber saldırıya uğramış. şirket açıklamasına göre yetkisiz erişim tespit edilmiş ve müşteri verileri sızdırılmış.

spoiler: finansal bilgiler (kredi kartı, banka hesabı falan) etkilenmemiş, en azından şimdilik öyle söylüyorlar.

hangi bilgiler çalındı?

sızan veriler şunlar:

chatgpt'ye reklam geliyor ama henüz türkiye'de değil

Mon, 16 Mar 2026 08:01:26 +0300

arkadaşlar, openai chatgpt’ye reklam eklemeye başlamış. ama sakin, henüz sadece amerika’da test ediyorlar, global olarak yayılmamış durum.

olay ne peki

openai’ın gizlilik politikasını güncellemesi üzerine kullanıcılar “lan reklam mı gelecek” diye ayağa kalkmış. bleepingcomputer’a verilen açıklamaya göre şu an sadece abd’deki ücretsiz (free) ve go planlarında reklam testi yapılıyormuş. yani biz türkiye’deki agalar henüz reklam görmeyeceğiz.

spoiler: bu bir güvenlik haberi değil ama sistem yöneticisi olarak chatgpt kullanan arkadaşlar için bilgilendirme niteliğinde.

betterleaks: gitleaks'in yerine geçmeye aday yeni açık kaynak araç

Mon, 16 Mar 2026 08:00:54 +0300

arkadaşlar, güvenlik dünyasında yeni bir araç daha çıktı ortaya. betterleaks diye bir şey var, gitleaks’in alternatifi olarak geliştirilmiş. açık kaynak, ücretsiz ve iddiasına göre daha iyi çalışıyormuş.

ne işe yarıyor bu betterleaks

şöyle ki, biliyorsunuz git repolarında, kod içinde, config dosyalarında falan api anahtarları, şifreler, token’lar unutuluyor. sonra bunlar github’a push ediliyor, herkes görüyor. işte betterleaks tam da bunları taramak için var. klasik gitleaks vardı, bu da onun yerine geçmeye aday yeni nesil araç.

glassworm kampanyası open vsx registry'yi istismar ediyor, 72 extension etkilenmiş

Sun, 15 Mar 2026 08:02:33 +0300

arkadaşlar, geliştiricileri hedef alan ciddi bir tedarik zinciri saldırısı var gündemde. glassworm denen kampanya open vsx registry’yi kullanarak yayılıyor ve bu sefer işi daha da ileriye taşımışlar.

olay ne?

siber güvenlik araştırmacıları glassworm kampanyasının yeni bir versiyonunu tespit etmiş. önceki versiyonlarda her kötü amaçlı extension kendi loader’ını içeriyordu, ama şimdi daha zekice bir yöntem kullanıyorlar. extensionPack ve extensionDependencies özelliklerini kötüye kullanarak, masum görünen extension’ları birbirine bağlayıp zincirleme bir enfeksiyon yaratmışlar.

hpe aos-cx'te kritik açık, admin şifresini sıfırlayabiliyorsunuz

Sun, 15 Mar 2026 08:01:44 +0300

arkadaşlar, hpe’nin aos-cx switch’lerinde çok ciddi bir açık bulunmuş. CVE-2025-22204 numaralı bu zafiyet, uzaktan ve kimlik doğrulaması olmadan admin şifresini sıfırlamanıza izin veriyor. yani ağa erişiminiz varsa, hop admin şifresini değiştirip cihaza el koyabiliyorsunuz.

cvss skoru 9.8, yani kritik seviyede bir açık 🔴. hpe acil yama yayınladı, hemen atlayın yamalara.

ne oluyor tam olarak?

bu CVE-2025-22204 açığı, aos-cx işletim sistemindeki bir kimlik doğrulama bypass zafiyeti. şöyle ki:

saldırgan, switch’e ağ üzerinden erişebiliyorsa (authentication gerekmeden)
mevcut kimlik doğrulama kontrollerini atlayabiliyor
admin şifresini sıfırlayıp cihazı ele geçirebiliyor

yani klasik “authentication bypass” dedikleri şey ama sonuçları ağır. bir kere içeri girdikten sonra zaten oyun bitti, tüm ağ trafiğinizi görebilir, yönlendirebilir, hatta fidye yazılımı saldırısı için zemin hazırlayabilir.

openclaw ai agent'ta ciddi güvenlik açıkları bulundu

Sun, 15 Mar 2026 08:00:57 +0300

arkadaşlar, çin’in ulusal siber güvenlik ekibi CNCERT, openclaw (eski adıyla clawdbot ve moltbot) diye bir açık kaynaklı yapay zeka agent’ında ciddi güvenlik sorunları tespit etmiş. wechat’te paylaştıkları uyarıda, platformun “varsayılan güvenlik ayarlarının zayıf olduğunu” söylüyorlar. yani kurulum yaptınız, varsayılan ayarlarla bıraktınız, geçmiş olsun size.

ne var ne yok bu openclaw’da

openclaw, kendi sunucunuzda çalıştırabileceğiniz otonom bir ai agent’ı. yani chatgpt gibi ama kendi evinizde. güzel fikir aslında, ama güvenlik ayarlarını düzgün yapmazsanız başınız ağrır.

interpol 45 bin kötü amaçlı ip adresini çöpe attı, 94 kişi içeri tıkıldı

Sat, 14 Mar 2026 08:02:42 +0300

arkadaşlar, interpol büyük bir operasyon gerçekleştirmiş. 72 ülke ve bölgeden katılımla yapılan bu operasyonda 45.000 kötü amaçlı ip adresi ve sunucu kapatılmış, 94 kişi de tutuklanmış. phishing, malware ve fidye yazılımı kampanyalarında kullanılan altyapılar hedef alınmış.

ne oldu yani?

interpol’ün cuma günü yaptığı açıklamaya göre, devam eden uluslararası bir operasyonun parçası olarak büyük bir temizlik yapılmış. siber suç şebekelerini çökertmek, yeni tehditleri durdurmak ve dolandırıcılık mağdurlarını korumak için yapılan bu operasyon ciddi boyutlarda.

google chrome'da iki yeni sıfır-gün açığı yamalandı

Sat, 14 Mar 2026 08:02:07 +0300

arkadaşlar, google acil güvenlik güncellemesi yayınladı chrome için. iki tane yüksek seviyeli zafiyet varmış ve spoiler: bunlar aktif olarak sömürülüyormuş. yani sıfır-gün (zero-day) açığı dedikleri şey işte, yamadan önce saldırganlar bulmuş ve kullanmış.

ne olmuş peki

google’ın güvenlik ekibi iki tane ciddi açık tespit etmiş chrome’da. bu açıklar şu an siber saldırılarda aktif olarak kullanılıyor, yani teorik bir risk değil, gerçek dünyada sömürülüyor. detayları fazla vermemişler henüz (klasik hareket, yaygınlaşsın diye bekleyecekler biraz) ama yüksek seviyeli (high severity) olarak işaretlemişler.

google chrome'da iki sıfır-gün açığı daha, agalar hemen güncelleyin

Sat, 14 Mar 2026 08:01:22 +0300

arkadaşlar, google perşembe günü chrome için acil bir güvenlik güncellemesi yayınladı. iki tane yüksek seviye zafiyet var ve spoiler: ikisi de aktif olarak sömürülüyor. yani sıfır-gün (zero-day) dedikleri olay, yamadan önce kötü niyetli tipler bulmuş ve kullanmış bile.

bu sefer skia ve v8 motorlarında sorun var. skia bildiğiniz 2d grafik kütüphanesi, v8 de chrome’un javascript motoru. ikisi de kritik bileşenler yani.

zafiyet detayları

CVE-2026-3909 - skia’daki out-of-bounds write

cvss skoru: 8.8 (yüksek/ciddi)
zafiyet türü: out-of-bounds write (sınır dışı yazma)
etkilenen bileşen: skia 2d grafik kütüphanesi
saldırı vektörü: özel hazırlanmış html sayfası üzerinden uzaktan sömürü

bu CVE-2026-3909 açığı şöyle ki: saldırgan özel hazırlanmış bir html sayfası ile bellek sınırlarının dışına yazma yapabiliyor. yani tampon taşması ailesinden klasik bir zafiyet. skia grafik işlemlerinde kullanıldığı için, kötü niyetli bir web sitesine girdiğinizde tetiklenebilir.

hive0163 grubu yapay zeka destekli slopoly kötü yazılımı kullanıyor

Fri, 13 Mar 2026 08:02:25 +0300

arkadaşlar, siber güvenlik dünyasında yeni bir dönem başladı desek yeridir. hive0163 diye bilinen bir fidye yazılımı çetesi, yapay zeka kullanarak “slopoly” adında bir kötü yazılım geliştirmiş. yani artık chatgpt sadece ödev yapmıyor, kötü amaçlı yazılım da yazıyor.

ne oluyor yani?

siber güvenlik araştırmacıları, hive0163 grubunun yapay zeka destekli bir malware kullandığını tespit etmiş. slopoly denen bu yazılım, fidye yazılımı saldırılarında kalıcı erişim sağlamak için kullanılıyorsa. araştırmacılar “henüz çok etkileyici değil” diyor ama asıl mesele şu: yapay zeka sayesinde saldırganlar artık eskiden aylar süren malware geliştirme işini günlerde hallediyor.

veeam backup & replication'da 7 kritik açık, rce'ye kadar gidiyor

Fri, 13 Mar 2026 08:01:39 +0300

arkadaşlar, veeam backup & replication için kritik bir güvenlik güncellemesi geldi. 7 tane ciddi açık kapatmışlar ve bunların hepsi uzaktan kod çalıştırma (rce) seviyesinde. yani saldırgan bu açıkları kullanarak sunucunuzda istediği komutu çalıştırabilir, o yüzden hemen yamalayın.

ne var ne yok

veeam toplam 7 tane açık kapatmış, ikisi özellikle çok kritik:

CVE-2026-21666 - cvss skoru 9.9, yani kritik seviyede. authenticated domain user (yani domain kullanıcısı) bile backup server’da uzaktan kod çalıştırabiliyor. şöyle ki, domain’e bağlı herhangi bir kullanıcı hesabıyla backup sunucunuza girip istediği komutu çalıştırabilir. düşünün bi, junior kullanıcı hesabıyla backup sunucusunu ele geçirmek…

veeam backup sunucularında kritik rce açıkları

Fri, 13 Mar 2026 08:01:01 +0300

arkadaşlar, veeam backup & replication’da ciddi bir durum var. 4 tane kritik seviye uzaktan kod çalıştırma (rce) açığı tespit edilmiş. yani saldırganlar yedek sunucularınıza girebilir, kod çalıştırabilir. düşünün bi, yedek sunucusu ele geçirilirse zaten işiniz zor.

ne olmuş tam olarak

veeam mart 2025 yamasını yayınladı ve toplam birkaç açık kapattı. bunların 4 tanesi kritik seviye rce açığı. cvss skorları 9.x bandında, yani ciddi ciddi hemen yamalayın seviyesinde 🔴

detaylı cve numaralarını ve teknik bilgileri veeam henüz tam açıklamadı ama backup & replication ürününün birden fazla versiyonunu etkiliyor.

inc ransomware grubu okyanusya'da sağlık sektörünü rehin almış

Thu, 12 Mar 2026 08:02:59 +0300

arkadaşlar, inc ransomware denen manyaklar avustralya, yeni zelanda ve tonga’daki sağlık kurumlarına saldırı düzenlemiş. devlet kurumları, acil servisler, hastaneler falan hepsi hedef olmuş. bu grubun işi gücü sağlık sektörünü vurmak galiba, ciddi bir durum var ortada.

olay ne tam olarak

inc ransomware grubu, okyanusya bölgesindeki sağlık tesislerine arka arkaya saldırılar düzenlemiş. avustralya ve yeni zelanda gibi gelişmiş ülkelerden tutun da tonga gibi küçük ada devletlerine kadar uzanan bir saldırı dalgası var. spoiler: sağlık sektörü zaten hassas, bir de ransomware yiyince sistem tam anlamıyla felç oluyor.

n8n'de kritik açıklar bulunmuş agalar, acil yamalayın

Thu, 12 Mar 2026 08:01:54 +0300

arkadaşlar, iş otomasyon platformu n8n’de iki tane kritik seviye açık bulunmuş ve yamalanmış. eğer n8n kullanıyorsanız acil acil güncelleyin, yoksa başınız ağrır.

ne var ne yok

n8n dediğimiz şey workflow automation platformu, yani iş akışlarınızı otomatikleştirdiğiniz bir araç. güvenlik araştırmacıları burada iki tane bomba gibi açık bulmuş:

CVE-2026-27577 - CVSS skoru 9.4, yani kritik 🔴
- expression sandbox kaçışı var, yani uzaktan kod çalıştırma (RCE) yapılabiliyor
- saldırgan n8n’in expression engine’ini kullanarak sandbox’tan kaçıp sistem komutları çalıştırabiliyor
- kısacası: kötü niyetli biri sunucunuzda istediği komutu çalıştırabilir
CVE-2026-27493 - CVSS skoru 9.5, yani daha da kritik 🔴

cisa n8n'deki aktif sömürülen rce açığını kataloğuna ekledi

Thu, 12 Mar 2026 08:01:02 +0300

arkadaşlar, n8n kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü ciddi bir durum var. cisa (amerikan siber güvenlik kurumu) çarşamba günü CVE-2025-68613 açığını kev kataloğuna ekledi. sebep basit: aktif olarak sömürülüyor.

ne var ne yok

CVE-2025-68613 açığı n8n’de expression injection zafiyeti. yani kısacası saldırganlar kod enjekte edip uzaktan kod çalıştırabiliyorlar (rce). cvss skoru 9.9, yani kritik seviyede acil yamala 🔴 kategorisinde.

şimdi en kötü kısmı söyleyeyim: censys ve shodan’da yapılan taramalara göre 24,700 tane n8n instance’ı internete açık durumda. yani 24 bin 700 tane potansiyel hedef var ortada.

blacksanta denen edr katili hr departmanlarını vuruyor

Wed, 11 Mar 2026 08:03:07 +0300

arkadaşlar, yeni bir tehdit var ortada ve bu sefer hedef hr departmanları. bir yıldan fazla süredir rus dilli bir saldırgan grubu, “blacksanta” adını verdikleri bir edr katili (edr killer) yazılımla saldırılar düzenliyor.

spoiler: bu yazılım, sistemlerde kurulu güvenlik çözümlerini (edr/antivirus) devre dışı bırakıyor, yani savunmasız kalıyorsunuz.

ne oluyor yani?

şöyle ki, saldırganlar önce hr departmanlarına hedefli phishing mailleri gönderiyor. içinde iş başvurusu, cv, özgeçmiş gibi görünen dosyalar var ama aslında bunlar blacksanta malware’ini sisteme bulaştırıyor.

salesforce experience cloud'da kitlesel tarama operasyonu var

Wed, 11 Mar 2026 08:02:24 +0300

arkadaşlar, salesforce’tan bir uyarı geldi. kötü niyetli tipler, experience cloud sitelerini kitlesel olarak tarıyor ve yanlış yapılandırmaları istismar ediyor. işin ilginç tarafı, aurainspector diye açık kaynaklı bir aracı modifiye edip kullanıyorlar bu iş için.

ne oluyor yani?

salesforce’un açıklamasına göre, saldırganlar müşterilerin herkese açık experience cloud sitelerindeki aşırı izinli guest user (misafir kullanıcı) yapılandırmalarını istismar ediyor. yani şöyle ki, normalde misafir kullanıcıların görmemesi gereken hassas verilere erişim sağlıyorlar.

aurainspector normalde salesforce lightning component’lerini debug etmek için kullanılan meşru bir araç. ama saldırganlar bunu modifiye edip, otomatik tarama aracına çevirmişler. böylece binlerce salesforce sitesini tarayıp, zayıf yapılandırılmış olanları tespit ediyorlar.

sıfır-gün açık paniği yaşamamanın yolu: saldırı yüzeyini küçültmek

Wed, 11 Mar 2026 08:01:38 +0300

arkadaşlar, hepimiz biliyoruz o panik anını. yeni bir kritik açık açıklanıyor, herkes telaşa düşüyor, gece yarısı yamalar atılıyor, kafeinli içecekler tüketiliyor. ama intruder’ın güvenlik şefi güzel bir yazı yazmış: “bu panik aslında önlenebilir” diyor.

şöyle ki, yeni bir açık ne zaman çıkacağını kontrol edemezsiniz ama ne kadar sisteminizin internete açık olduğunu kesinlikle kontrol edebilirsiniz. sorun şu: çoğu ekip aslında ne kadar fazla şeyin internete baktığının farkında bile değil.

sorun nerede yani

agalar, durum şöyle: sömürü süreleri (time-to-exploit) gittikçe kısalıyor. yani bir açık açıklandıktan sonra saldırganların onu kullanmaya başlaması eskiden günler alırken, şimdi saatler hatta dakikalar alıyor.

haftalık özet: qualcomm sıfır-gün açığı, ios sömürü zincirleri ve havadan veri çalma

Tue, 10 Mar 2026 08:02:34 +0300

arkadaşlar, bir hafta daha geride kaldı ve yine “şaka mı bu?” dedirten haberlerle doluydu. saldırganlar mesaide, savunmacılar mesaide, ortada da pazartesi sabahı çok kötü geçiren bir sürü insan var. artık böyle işliyor bu iş.

ama iyi haber de var: bu hafta gerçekten kazanılan zaferler oldu. yani sahte değil, gerçek zaferler. iyi adamların ortaya çıkıp işi yaptığı, fark yarattığı türden.

qualcomm’da sıfır-gün açığı

spoiler: qualcomm yongalarında aktif olarak sömürülen bir sıfır-gün açığı var.

salesforce aura'da veri hırsızlığı saldırıları devam ediyor

Tue, 10 Mar 2026 08:01:47 +0300

arkadaşlar, salesforce’un başı dertte. shinyhunters diye bildiğimiz hacker çetesi, salesforce aura platformundaki bir açığı sömürerek aktif olarak veri çalıyor. salesforce ise “yok yok, bu yanlış yapılandırma meselesi” diyor ama shinyhunters “yeni bir bug kullanıyoruz” diye ısrar ediyor. bakalım gerçek ne, ama siz yine de önleminizi alın.

ne oluyor yani?

salesforce, experience cloud (eski adıyla community cloud) kullanan müşterilerine uyarı yayınlamış. şöyle ki: eğer guest user’lara (misafir kullanıcılara) gerekenden fazla yetki vermişseniz, bunlar sisteminize girip veri çalabiliyormuş. salesforce bunu “misconfiguration” yani yanlış yapılandırma diye adlandırıyor.

çinli apt grubu asya'daki kritik altyapılara yıllardır saldırıyormuş

Tue, 10 Mar 2026 08:01:04 +0300

arkadaşlar, palo alto networks unit 42’nin yeni raporuna göre çinli bir apt grubu yıllardır asya’daki kritik altyapılara saldırıyormuş. havacılık, enerji, hükümet, kolluk kuvvetleri, ilaç, teknoloji ve telekomünikasyon sektörlerini hedef almışlar. güney, güneydoğu ve doğu asya’daki yüksek değerli kurumlar risk altında.

spoiler: saldırganlar web sunucu açıklarını sömürüyor ve mimikatz kullanarak kimlik bilgilerini çalıyorlar. klasik apt hareketi yani.

saldırı detayları

bu yeni keşfedilen tehdit grubu, web sunucularındaki zafiyetleri istismar ederek ağlara sızıyormuş. ilk erişimi aldıktan sonra mimikatz denen meşhur aracı kullanarak kimlik bilgilerini topluyorlar. yani önce kapıdan giriyorlar, sonra bütün anahtarları çalıyorlar.

anthropic'in yapay zekası firefox'ta 22 açık bulmuş

Mon, 09 Mar 2026 08:02:15 +0300

arkadaşlar, ilginç bir haber var bugün. anthropic’in claude opus 4.6 denen yapay zeka modeli, mozilla ile yaptıkları güvenlik ortaklığı kapsamında firefox’ta 22 tane yeni güvenlik açığı bulmuş. yani artık açık avında yapay zekalar da sahaya inmiş durumda.

spoiler: bu açıkların 14 tanesi yüksek (high), 7 tanesi orta (moderate), 1 tanesi de düşük (low) seviyede. hepsi firefox 148 sürümünde yamalanmış, geçen ay yayınlanmış.

ne olmuş peki

anthropic, claude opus 4.6 modelini firefox’un kaynak kodunu tarattırmış. sadece 2 haftalık bir sürede 22 tane güvenlik açığı tespit etmiş. yani yapay zeka, klasik güvenlik araştırmacılarının aylar süren işini 2 haftada yapmış.

openai codex security ile 1.2 milyon commit tarandı, 10.561 ciddi açık bulundu

Mon, 09 Mar 2026 08:01:44 +0300

arkadaşlar, openai yeni bir oyuncak daha çıkardı ortaya: codex security. yapay zeka destekli bir güvenlik ajanı bu, kodunuzdaki açıkları buluyor, doğruluyor ve üstüne bir de düzeltme önerisi sunuyor. yani artık kodunuzu tarayan bir ai asistan var.

ne bu codex security meselesi?

openai cuma günü bu özelliği duyurdu. şu an research preview aşamasında ve chatgpt pro, enterprise, business ve edu müşterilerine sunuluyor. bir ay boyunca ücretsiz kullanabiliyorsunuz codex web üzerinden.

spoiler: openai bu aracı kendi üzerinde test etmiş, 1.2 milyon commit taramış ve 10.561 tane yüksek öncelikli güvenlik sorunu bulmuş. yani iş yapıyor bu sistem.

yapay zeka asistanları güvenlik önceliklerini altüst ediyor

Mon, 09 Mar 2026 08:01:03 +0300

arkadaşlar, yapay zeka asistanları (ai agents denen şeyler) son zamanlarda çok popüler olmaya başladı, özellikle developer ve sistem yöneticisi arkadaşlar arasında. ama şunu söylemek lazım: bu yeni oyuncaklar güvenlik önceliklerimizi tamamen değiştiriyor ve işler biraz karışık.

ne oluyor peki?

şöyle ki, bu ai asistanları artık sadece sohbet eden botlar değil. bilgisayarınıza erişebiliyorlar, dosyalarınızı okuyabiliyorlar, online servislerinize bağlanabiliyorlar ve neredeyse her işi otomatikleştirebiliyorlar. kulağa harika geliyor değil mi? ama işin içinde ciddi güvenlik riskleri var.

github üzerinden boryptgrab stealer dağıtılıyor, 100'den fazla repo var

Sun, 08 Mar 2026 08:02:43 +0300

arkadaşlar, github’da yeni bir malware kampanyası tespit edilmiş. boryptgrab diye bir stealer var, 100’den fazla sahte repository üzerinden dağıtılıyor. klasik sosyal mühendislik hareketi, open source proje gibi görünüyorlar ama içinde malware var.

ne var ne yok bu işte

boryptgrab isimli bu stealer şunların peşinde:

tarayıcı verileri (şifreler, çerezler, otomatik doldurma bilgileri)
kripto para cüzdanları (metamask, trust wallet falan)
sistem bilgileri
kullanıcı dosyaları

yani kısacası elinizde ne varsa almaya çalışıyor. özellikle kripto para cüzdanlarına göz dikmiş, o yüzden kripto işi yapanlar dikkat.

velvet tempest grubu clickfix ile termite fidye yazılımı dağıtıyor

Sun, 08 Mar 2026 08:01:59 +0300

arkadaşlar, velvet tempest denen fidye yazılımı grubu yine iş başında. bu sefer clickfix tekniğini kullanarak termite ransomware’i dağıtıyorlar. işin ilginç yanı, windows’un kendi araçlarını kullanarak donutloader ve castlerat denen arka kapıyı sisteme yerleştiriyorlar. klasik “meşru araçlarla kötü iş” hikayesi yani.

olay nasıl gelişiyor

velvet tempest grubu (microsoft’un storm-0875 dediği tipler), clickfix denen sosyal mühendislik tekniğini kullanıyor. şöyle ki:

kullanıcıya sahte bir hata mesajı gösteriyorlar
“sorunu çözmek için” bir düğmeye tıklamasını istiyorlar
tıklayınca aslında kötü niyetli powershell komutları çalışıyor
bu komutlar donutloader’ı indirip çalıştırıyor
sonra castlerat arka kapısı sisteme yerleşiyor
en sonunda termite fidye yazılımı devreye giriyor

spoiler: bütün bunlar windows’un meşru araçları (powershell, mshta, rundll32) kullanılarak yapılıyor, yani antivirüs atlatma şansları yüksek.

abd'nin yeni siber güvenlik stratejisi: yapay zeka, kuantum şifreleme ve kritik altyapı koruması

Sun, 08 Mar 2026 08:01:14 +0300

arkadaşlar, amerika’nın yeni siber güvenlik stratejisi yayınlandı. trump yönetimi bu sefer işi ciddiye almış görünüyor. deterrence (caydırıcılık) diyorlar, yani “bize saldırırsanız size de saldırırız” modeli. ayrıca federal ağların modernizasyonu, kritik altyapı koruması ve yapay zeka + kuantum sonrası kriptografi gibi konulara yatırım yapılacakmış.

şimdi “biz türkiye’deyiz, bizi niye ilgilendiriyor?” demeyin. abd’nin siber güvenlik politikaları global standartları belirliyor. yani bugün orada alınan kararlar, yarın bizim kullandığımız microsoft, cisco, amazon gibi firmaların ürünlerini etkiliyor.

transparent tribe yapay zeka ile malware üretimine başlamış

Sat, 07 Mar 2026 08:02:45 +0300

arkadaşlar, pakistan merkezli transparent tribe diye bilinen hacker grubu artık yapay zeka kullanarak malware üretmeye başlamış. yani chatgpt benzeri araçlarla kod yazdırıp hindistan’a saldırıyorlar. bu işin kötü tarafı, artık “kitlesel orta kalite” implant üretimi yapıyorlar. kalite değil, kantite peşindeler.

spoiler: bu grup özellikle nim, zig ve crystal gibi az bilinen programlama dilleri kullanıyor. neden mi? çünkü antivirüsler bu dillerde yazılmış malware’lere pek alışık değil. üstüne üstlük discord, telegram gibi güvenilir servisleri command & control (c2) kanalı olarak kullanıyorlar. akıllıca hareket yani.

cisa hikvision ve rockwell automation açıklarını kev kataloğuna ekledi

Sat, 07 Mar 2026 08:01:43 +0300

arkadaşlar, cisa yine iş başında. perşembe günü hikvision ve rockwell automation ürünlerinde bulunan iki kritik açığı kev (known exploited vulnerabilities) kataloğuna eklemiş. sebep basit: bu açıklar aktif olarak sömürülüyor.

şimdi gelelim detaylara. iki tane 9.8 cvss skorlu, yani kritik seviye açıktan bahsediyoruz:

açıkların detayları

hikvision’daki bela

CVE-2017-7921 - cvss skoru 9.8, yani tam anlamıyla kritik 🔴

hikvision ip kameralarında kimlik doğrulama açığı var. “improper authentication” diyorlar teknik dilde, yani kimlik kontrolü제대로 yapılmamış. 2017’den beri bilinen bir açık bu arada, ama hala sömürülüyor demek ki yamalamayan çok sistem var ortada.

ec-council yeni yapay zeka sertifikaları çıkarmış

Sat, 07 Mar 2026 08:01:02 +0300

arkadaşlar, ec-council (biliyorsunuzdur, ceh sertifikasını çıkaran şirket) yeni bir hamle yapmış. yapay zeka üzerine 4 tane yeni sertifika programı başlatmış. ayrıca certified ciso sertifikasının 4. versiyonunu da yayınlamışlar.

ne var ne yok bu sertifikalarda

ec-council’ın yeni “enterprise ai credential suite” dediği paket, yapay zeka güvenliği ve kullanımı üzerine odaklanmış rol bazlı sertifikalar içeriyor. şöyle ki:

yapay zeka güvenliği uzmanı sertifikaları
ai implementasyon ve yönetim sertifikaları
executive seviye ai liderlik programları
certified ciso v4 (yenilenmiş versiyon)

spoiler: amerika’daki ai iş gücü boşluğunu doldurmak için tasarlanmış bu programlar. yani hem güvenlik hem de ai yeteneklerini birleştirmeye çalışıyorlar.

phobos ransomware'in yöneticisi suçunu kabul etti

Fri, 06 Mar 2026 08:02:32 +0300

arkadaşlar, ransomware dünyasından güzel bir haber geldi. phobos ransomware operasyonunu yöneten rus vatandaşı evgenii ptitsyn, abd’de suçunu kabul etti. adam elektronik dolandırıcılık komplosu suçlamasını kabul etmiş, şimdi cezasını bekliyorken oturuyor.

olay ne?

ptitsyn, 2020-2024 yılları arasında phobos ransomware operasyonunu yönetmiş. bu operasyon dünya çapında yüzlerce kurbanı etkilemiş. klasik ransomware hikayesi: sisteme giriyorlar, dosyaları şifreliyorlar, sonra fidye istiyorlar.

spoiler: phobos grubu 16 milyon dolardan fazla fidye talep etmiş kurbanlarından.

adam kasım 2024’te güney kore’de yakalanmış ve abd’ye teslim edilmiş. şubat 2025’te de suçunu kabul etmiş. ceza duruşması 14 mayıs 2025’te yapılacak.

wordpress'te kritik açık, saldırganlar admin hesabı açıyor

Fri, 06 Mar 2026 08:01:48 +0300

arkadaşlar, wordpress kullanan agalar dikkat. “user registration & membership” diye bir eklentide kritik seviye açık bulunmuş ve aktif olarak sömürülüyor. 60 binden fazla sitede kurulu bu eklenti, saldırganlar da boş durmuyor tabi.

ne oluyor peki

CVE-2025-1895 numaralı bu açık, eklentinin 4.5.2 ve önceki versiyonlarını etkiliyor. zafiyet şöyle ki: authentication bypass (yetkilendirme atlama) var, yani saldırgan hiçbir şifre bilmeden direkt admin hesabı açabiliyor sitenizde. CVSS skoru 9.8, yani kritik seviye 🔴

spoiler: saldırganlar bu açığı bulmuş bile, aktif sömürü kampanyaları var. wordfence’in dediklerine göre binlerce siteye saldırı denemeleri yapılmış.

google'ın 2025 sıfır-gün raporu: 90 tane açık sömürülmüş

Fri, 06 Mar 2026 08:01:11 +0300

arkadaşlar, google’ın threat intelligence ekibi (gtig) 2025 yılı raporunu yayınladı ve durum pek iç açıcı değil. geçen sene toplam 90 tane sıfır-gün açığı aktif olarak sömürülmüş. yani bunlar yamadan önce kullanılmış, kötü niyetli tipler keyfine bakmış.

en ilginç kısım şu: bu açıkların neredeyse yarısı kurumsal yazılımlarda ve cihazlarda bulunmuş. yani sizin vpn’leriniz, firewall’larınız, network cihazlarınız falan. spoiler: bunların çoğu internete açık sistemlerde sömürülmüş.

rakamlar ve dağılım

google’ın verilerine göre:

90 sıfır-gün açığı toplam sömürülmüş
bunların %47’si (yani 42 tanesi) kurumsal yazılım ve appliance’larda
%31’i tarayıcılarda
%22’si mobil ve masaüstü işletim sistemlerinde

geçen seneye göre %10 artış var bu arada. 2024’te 81 tane sömürülmüştü.

freescout'ta sıfır-tık rce açığı - mail2shell saldırısı

Thu, 05 Mar 2026 08:02:31 +0300

arkadaşlar, freescout diye bir helpdesk yazılımı var, bilirsiniz belki. işte bu yazılımda maksimum seviye (cvss 10.0) bir açık bulunmuş ve adı da mail2shell. spoiler: hiçbir tıklama, hiçbir kullanıcı etkileşimi gerekmeden uzaktan kod çalıştırma (rce) yapılabiliyor. yani sıfır-tık saldırı denen bela.

ne oluyor peki

CVE-2025-24090 numaralı bu zafiyet, freescout’un e-posta işleme mekanizmasında bulunmuş. şöyle ki, saldırgan sunucuya özel hazırlanmış bir e-posta gönderiyor ve sistem bu e-postayı işlerken kod çalıştırmaya izin veriyor. kimlik doğrulama yok, kullanıcı etkileşimi yok, sadece bir e-posta yeterli.

mississippi tıp merkezinde fidye yazılımı saldırısı sonrası normal hayata dönüş

Thu, 05 Mar 2026 08:01:52 +0300

arkadaşlar, mississippi üniversitesi tıp merkezinde (ummc) 9 gün süren fidye yazılımı (ransomware) kabusu nihayet sona ermiş. hastane normal operasyonlarına geri dönmüş durumda. şimdi bi bakalım neler olmuş ve bizim için ne gibi dersler çıkar buradan.

olay ne olmuş

ummc’ye yapılan fidye yazılımı saldırısı elektronik tıbbi kayıtları (emr) kilitlemiş ve bir sürü it sistemini devre dışı bırakmış. hastane 9 gün boyunca kağıt-kalem modunda çalışmış yani. düşünün, 2025 yılında kağıt-kalemle hasta kaydı tutmak… klasik ransomware senaryosu işte.

europol tycoon2fa phishing platformunu çökertti

Thu, 05 Mar 2026 08:00:57 +0300

arkadaşlar, güzel haberlerle geldim bugün. europol koordineli bir operasyonla tycoon2fa diye bir phishing-as-a-service (phaas) platformunu çökertti. aylık onlarca milyon phishing mesajı gönderen bir platform yani, küçük çaplı bir iş değil.

olay ne peki

tycoon2fa, klasik phishing işini “hizmet olarak” satan platformlardan biriymiş. yani sen geliyorsun, para veriyorsun, platform sana hazır phishing altyapısı sağlıyor. microsoft, google gibi büyük şirketlerin login sayfalarını taklit eden sahte sayfalar, e-posta şablonları, hatta 2fa bypass teknikleri bile var. tam paket bir siber suç marketi işte.

sahte it destek telefonu açarak havoc c2 dağıtan kampanya

Wed, 04 Mar 2026 08:02:37 +0300

arkadaşlar, yeni bir sosyal mühendislik kampanyası var ortada ve klasik “it destek” numarası yapıyorlar. huntress geçen ay 5 farklı organizasyonda tespit etmiş bu saldırıları. olay şöyle: önce spam mail atıyorlar, ardından sizi arayıp “it desteğiz” diyorlar. sonra da havoc c2 framework’ünü sisteminize yerleştiriyorlar. yani ransomware veya veri sızdırma için zemin hazırlıyorlar.

spoiler: bu kampanya çok profesyonel görünüyor, çünkü her organizasyon için özelleştirilmiş havoc c2 kullanmışlar.

saldırı nasıl ilerliyor

şöyle bir senaryo izliyorlar:

sloppylemming grubu pakistan ve bangladeş'i hedef almış

Wed, 04 Mar 2026 08:01:44 +0300

arkadaşlar, sloppylemming diye bilinen tehdit aktör grubu yine iş başında. bu sefer pakistan ve bangladeş’teki devlet kurumları ile kritik altyapı operatörlerini hedef almışlar. arctic wolf’un raporuna göre saldırılar ocak 2025’ten ocak 2026’ya kadar sürmüş.

spoiler: bu grup iki farklı saldırı zinciri kullanarak burrowshell ve rust tabanlı kötü amaçlı yazılımlar dağıtmış. yani klasik tek yöntemle gelmediler, çift taraflı oyun oynamışlar.

olay ne tam olarak

sloppylemming grubu, hedef sistemlere sızmak için iki ayrı attack chain (saldırı zinciri) kullanmış. birinci zincirde burrowshell denen bir malware var, ikinci zincirde ise rust programlama diliyle yazılmış başka bir zararlı.

qualcomm android bileşeninde aktif sömürülen açık var

Wed, 04 Mar 2026 08:01:07 +0300

arkadaşlar, google pazartesi günü android cihazlarda kullanılan qualcomm bileşeninde bir açık olduğunu ve bunun aktif olarak sömürüldüğünü doğruladı. yani bu sıfır-gün dedikleri şeylerden, yamadan önce birilerinin bulup kullanmış olduğu türden.

CVE-2026-21385 numaralı bu zafiyet, qualcomm’un açık kaynak kodlu graphics (grafik) bileşeninde bulunuyor. cvss skoru 7.8, yani ciddi kategorisinde. spoiler: aktif sömürülüyor, o yüzden boş durmayın.

ne var ne yok bu açıkta

qualcomm’un açıklamasına göre, buffer over-read denen klasik bir bellek sorunu var. yani şöyle ki: kullanıcının gönderdiği veriyi alırken, buffer’da (tampondaki) yeterli yer olup olmadığına bakmadan ekliyor sistem. sonuç: bellek bozulması (memory corruption).

Solucan Gibi Yayılan XMRig Saldırısı: BYOVD Exploit ve Zaman Bombası ile 90+ Sunucu Ele Geçirildi

Tue, 03 Mar 2026 13:11:51 +0300

Özet

arkadaşlar ciddi bir kripto madenciliği saldırısı tespit edilmiş. solucan (wormable) özelliğine sahip xmrig kampanyası, kendi sürücüsünü getir (byovd - bring your own vulnerable driver) exploit’i ve yapay zeka destekli react2shell saldırılarıyla 90’dan fazla sunucuyu ele geçirmiş. en ilginç tarafı ise zaman bazlı mantık bombası (time-based logic bomb) kullanması. yani belirli bir zamanda tetiklenen kötü amaçlı kod var işin içinde.

Florida'lı Kadın Devasa Microsoft Lisans Dolandırıcılığından Hapse Girdi

Tue, 03 Mar 2026 12:37:06 +0300

Özet

arkadaşlar florida’da bir kadın yıllarca süren microsoft lisans dolandırıcılığı operasyonundan 22 ay hapis cezası aldı. binlerce çalıntı microsoft orijinallik sertifikası (coa) etiketini trafiğe sokmuş. microsoft lisansı denince aklımıza gelen o hologramlı etiketlerden bahsediyoruz yani.

900+ Sangoma FreePBX Sistemi Devam Eden Web Shell Saldırılarında Ele Geçirildi

Tue, 03 Mar 2026 12:31:17 +0300

Özet

arkadaşlar freepbx kullanan sistem yöneticilerine acil duyuru: 900’den fazla sistem ele geçirilmiş durumda. CVE-2025-64328 zafiyeti üzerinden web shell yerleştiriliyor sistemlere ve CISA bile artık resmi listesine almış. aktif saldırılar devam ediyor, hala yamalamadıysanız şanslısınız demektir.

google chrome'a kuantum bilgisayarlara dayanıklı sertifikalar geliyor

Tue, 03 Mar 2026 08:02:41 +0300

arkadaşlar, google chrome ekibi ilginç bir duyuru yaptı. kuantum bilgisayarların gelecekte https sertifikalarını kırabileceği tehdidine karşı yeni bir sistem geliştirmişler: merkle tree certificates. yani klasik x.509 sertifikalarının yanına kuantum sonrası kriptografi (post-quantum cryptography) eklemek yerine, tamamen farklı bir yapı getiriyorlar.

olay ne tam olarak?

şöyle ki agalar, kuantum bilgisayarlar yeterince güçlü hale geldiğinde (ki bu 10-15 yıl içinde olabilir), şu an kullandığımız rsa ve ecc gibi şifreleme algoritmalarını kırabilecekler. bu da demek oluyor ki https’in temeli olan tls sertifikaları tehlikede.

chrome'da gemini paneli üzerinden yetki yükseltme açığı

Tue, 03 Mar 2026 08:01:51 +0300

arkadaşlar, google chrome’da yeni bir açık yamalanmış. aslında ocak 2026’da yamalanmış ama detayları şimdi açıklandı. CVE-2026-0628 numaralı bu açık, kötü niyetli chrome eklentilerinin gemini panelini kullanarak sistem üzerinde yetki yükseltmesi yapmasına ve yerel dosyalara erişmesine izin veriyormuş. CVSS skoru 8.8, yani ciddi seviyede bir açık.

ne olmuş yani?

şöyle ki, chrome’un webview tag’inde yeterli politika denetimi yokmuş. saldırganlar bunu kullanarak özel hazırladıkları kötü niyetli eklentileri gemini paneli üzerinden tetikleyip yetki yükseltebiliyormuş. yani kullanıcı bir eklenti kuruyor, o eklenti gemini panelini kullanarak sistemdeki dosyalara erişim sağlıyor. klasik privilege escalation vakası işte.

haftalık özet: sd-wan sıfır-gün açığı, kritik cveler ve daha fazlası

Tue, 03 Mar 2026 08:01:08 +0300

arkadaşlar, bu hafta tek bir büyük olay yerine genel bir durum değerlendirmesi yapacağız. çünkü işler yavaş yavaş farklı bir yöne kayıyor ve bunu görmek lazım.

the hacker news’in haftalık özetine baktığımızda şöyle bir tablo var ortada: ağ sistemleri, bulut altyapıları, yapay zeka araçları ve gündelik kullandığımız uygulamalar farklı farklı şekillerde zorlanıyor. küçük erişim kontrol hataları, açıkta kalan api anahtarları ve normal özellikler artık giriş noktası olarak kullanılıyor.

bu hafta neler oldu

spoiler: tek bir büyük açık yok, ama genel resim biraz ürkütücü.

samsung akıllı televizyonlar teksaslıların verisini toplamayı bırakacak

Mon, 02 Mar 2026 08:02:35 +0300

arkadaşlar, samsung ile teksas eyaleti arasında ilginç bir anlaşma yapıldı. samsung’un akıllı televizyonları teksaslıların ne izlediğini, hangi içerikleri tükettiğini izinsiz toplamış. şimdi de anlaşmayla bu işi bırakacaklarına söz vermişler.

olay ne tam olarak

samsung’un akıllı televizyonları (smart tv dediğimiz şeyler) kullanıcıların ne izlediğini, hangi kanallara baktığını, hangi uygulamaları kullandığını sessizce topluyormuş. teksas eyaleti de demiş ki “arkadaş bu olmaz, bizim burada capture or use of biometric identifier act diye bir yasamız var”. yani açık açık izin almadan bu verileri toplayamazsınız.

kimwolf botnet'in patronu dort denen şahıs kimmiş

Mon, 02 Mar 2026 08:01:52 +0300

arkadaşlar, ocak 2026’da krebsonsecurity dünyanın en büyük botnet’i olan kimwolf’un nasıl ortaya çıktığını yazmıştı. bir güvenlik araştırmacısı bir açığı ifşa etmiş, sonra bu açık kullanılarak kimwolf denen canavar botnet kurulmuş. şimdi de bu botnet’in patronu “dort” takma adlı şahıs, hem o araştırmacıya hem de krebs’e hayatı zindan etmeye başlamış.

ne olmuş yani

dort denen tip, ocak ayından beri araştırmacıya ve krebs’e karşı tam bir siber terör kampanyası yürütüyor:

ddos saldırıları: klasik, siteleri çökertme çabaları
doxing: kişisel bilgileri internete saçma (en sevmediğim hareket)
email bombing: mail kutularını spam’le doldurma
swatting: en tehlikelisi bu, araştırmacının evine swat timi göndertmiş sahte ihbarla

spoiler: swatting olayı gerçekten tehlikeli bir şey, insanlar bu yüzden hayatını kaybedebiliyor. ciddi bir suç.

openclaw'da clawjacked açığı çıkmış, yapay zeka ajanınızı ele geçirebiliyorlar

Mon, 02 Mar 2026 08:01:07 +0300

arkadaşlar, yapay zeka ajanları kullanıyorsanız dikkat. openclaw denen popüler ai agent’ta ciddi bir güvenlik açığı bulunmuş. “clawjacked” diyorlar buna. kötü niyetli bir web sitesi, sizin bilgisayarınızda çalışan openclaw’u sessizce ele geçirebiliyor. yani siz masum masum internette gezinirken, arka planda birisi ai ajanınızı kaçırıp veri çalabiliyor.

ne oluyor tam olarak

şöyle ki arkadaşlar: openclaw localhost’ta çalışıyor normalde, yani sadece kendi bilgisayarınızdan erişilebilir olması lazım. ama güvenlik araştırmacıları keşfetmiş ki, kötü niyetli bir web sitesi brute-force saldırısıyla (yani deneme yanılma yöntemiyle) bu yerel servise erişebiliyormuş.

quicklens denen chrome eklentisi kripto çalmaya başlamış

Sun, 01 Mar 2026 08:02:54 +0300

arkadaşlar, chrome web store’da 300 bin kullanıcısı olan “quicklens - search screen with google lens” denen eklenti ele geçirilmiş ve kripto çalmaya başlamış. google zaten mağazadan kaldırmış ama siz de bir kontrol edin sisteminizde var mı diye.

olay ne tam olarak

quicklens denen eklenti normalde ekran görüntüsü alıp google lens ile arama yapan masum bir şeymiş. ama 2026 şubat ayında birisi ele geçirmiş eklentiyi ve kötü amaçlı kod enjekte etmiş.

google cloud api keylerini github'a atanlar gemini'ye de erişim vermiş

Sun, 01 Mar 2026 08:02:02 +0300

arkadaşlar, yeni bir araştırma ortaya çıktı ve durum hiç iç açıcı değil. truffle security adlı firma, github’da ve açık kaynaklarda dolaşan google cloud api keylerini incelemiş. sonuç: yaklaşık 3.000 tane “AIza” ile başlayan api key bulmuşlar ve bunların bir kısmı gemini api’sine erişim veriyor. yani siz faturalama için kullanılır diye düşündüğünüz bu keyleri client-side kodlara gömmüşseniz, tebrikler, gemini’ye de erişim vermişsiniz.

olay ne tam olarak?

google cloud api keyleri normalde proje tanımlayıcısı ve faturalama için kullanılır. maps, translate, youtube gibi servislere erişim için client tarafında kullanılması normal karşılanır. ama işin içine gemini girince durum değişiyor.

openclaw'da clawjacked zafiyeti: kötü niyetli siteler ai ajanınızı ele geçirebiliyor

Sun, 01 Mar 2026 08:01:15 +0300

arkadaşlar, yapay zeka dünyasında yeni bir güvenlik faciası daha. openclaw diye bir ai ajan sistemi var, biliyorsunuzdur belki. işte bu sistemde “clawjacked” diye adlandırılan ciddi bir zafiyet bulunmuş. olay şu: kötü niyetli bir web sitesi, bilgisayarınızda çalışan ai ajanınıza websocket üzerinden bağlanıp kontrolü ele geçirebiliyormuş. yani siz masum masum internette gezinirken, birisi sizin ai ajanınızı çalıyor.

ne bu openclaw, ne yapıyor?

openclaw, yerel olarak çalışan bir ai ajan sistemi. yani bilgisayarınızda koşuyor, sizin için işler yapıyor. şimdi bu sistemde bir websocket servisi var ve bu servis yerel ağdan bağlantıları kabul ediyor. normalde sorun yok gibi görünüyor ama işte burada işler sarpa sarıyor.

hbo dizisinde gösterilen ransomware saldırısı aynı hafta gerçek hastanelere de oldu

Sat, 28 Feb 2026 08:02:34 +0300

arkadaşlar, bu hafta gerçekten ilginç bir tesadüf yaşandı. hbo’nun yeni dizisi “the pitt"te hastaneye ransomware saldırısı sahnesi gösterilirken, mississippi’deki gerçek bir sağlık sistemine de aynı anda ransomware saldırısı olmuş. hayat sanatı taklit ediyor derler ya, bu sefer birebir aynısı olmuş.

ne oldu peki

mississippi eyaletindeki bir sağlık sistemi bu hafta ciddi bir ransomware saldırısına maruz kalmış. hbo’nun “the pitt” dizisinde de tam aynı senaryoyu gösteriyorlar: hastanenin sistemleri kilitleniyor, doktorlar hastane bilgi sistemlerine erişemiyor, kaos çıkıyor. dizi yapımcıları “biz bunu önceden çekmiştik” diye açıklama yapmış ama timing gerçekten ilginç.

ivanti cihazlarında resurge malware'i uyuyor olabilir, cisa uyardı

Sat, 28 Feb 2026 08:01:46 +0300

arkadaşlar, cisa yeni bir uyarı yayınladı ve ivanti connect secure cihazlarınızı kontrol etmeniz gerekiyor. resurge diye bir malware var ve bu şey cihazlarınızda uyuyor olabilir, yani sessiz sakin oturuyor ama her an aktif hale gelebilir.

ne olmuş yani?

şöyle ki, cve-2025-0282 diye bir sıfır-gün açığı var ivanti connect secure cihazlarında. saldırganlar bu açığı kullanarak resurge diye bir implant yerleştirmişler cihazlara. spoiler: bu malware sessiz kalabiliyor ve standart taramalarla bile tespit edilemiyor.

juniper ptx router'larda kritik seviye uzaktan kod çalıştırma açığı

Sat, 28 Feb 2026 08:00:57 +0300

arkadaşlar, juniper networks acil bir yama yayınladı. ptx serisi router’larında kritik seviyede bir zafiyet bulunmuş ve junos os evolved kullanan cihazlar etkileniyor. CVE-2026-21902 kodlu bu açık uzaktan kod çalıştırma (rce) sınıfında, yani saldırgan sisteme uzaktan erişip istediği komutu çalıştırabiliyor. ciddi ciddi hemen yamalayın.

ne var ne yok

juniper’ın ptx serisi router’larında junos os evolved işletim sistemini kullananlar tehlikede. açık, out-of-band denen acil güvenlik güncellemesiyle kapatılmış. cvss skoru henüz tam açıklanmamış ama “critical” denmişse zaten 9.0’ın üzerindedir, boş durmayın.

kuantum bilgisayarlar geliyor, şifrelemenizi gözden geçirin

Fri, 27 Feb 2026 08:02:38 +0300

arkadaşlar, bugün biraz farklı bir konudan bahsedeceğiz. kuantum bilgisayarlar ve post-kuantum şifreleme (PQC) meselesi. “ee ne alaka bize” demeyin, ciddi ciddi ilgilenmeniz gereken bir konu bu.

olay ne, niye önemli?

şöyle ki agalar: kötü niyetli tipler şu an sizin şifreli verilerinizi topluyorlar. “ama şifreli ya, ne yapacaklar” diyeceksiniz. işte olay burada başlıyor. şimdi kıramıyorlar ama 10 yıl sonra kuantum bilgisayarlarla kırabilecekler.

buna “harvest now, decrypt later” (şimdi topla, sonra çöz) saldırısı diyorlar. yani bugün şifreli verilerinizi çalıyorlar, arşivliyorlar, kuantum bilgisayar gelince çözecekler. klasik sabır oyunu işte.

zyxel cihazlarda kritik açık, acil yamalayın

Fri, 27 Feb 2026 08:01:42 +0300

arkadaşlar, zyxel yine gündemde ama bu sefer kötü bir haberle. birçok cihaz modelinde kritik seviyede bir açık bulunmuş ve uzaktan kod çalıştırmaya (RCE) izin veriyormuş. yani saldırgan internetten erişip cihazınızda istediği komutu çalıştırabilir, size de geçmiş olsun der.

ne olmuş yani?

zyxel, upnp fonksiyonunda (universal plug and play denen o otomatik cihaz keşfi işi) ciddi bir zafiyet tespit etmiş. bu açık sayesinde kimliği doğrulanmamış bir saldırgan, ağ üzerinden cihaza erişip uzaktan kod çalıştırabiliyor. klasik rce vakası işte.

trend micro apex one'da kritik uzaktan kod çalıştırma açıkları

Fri, 27 Feb 2026 08:01:04 +0300

arkadaşlar, trend micro apex one kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü kritik seviyede iki tane açık yamalandı ve bunlar uzaktan kod çalıştırma (rce) denen belaya sebep oluyor.

ne olmuş yani?

trend micro, apex one güvenlik yazılımında iki tane kritik zafiyet tespit etmiş ve yamalamış. şöyle ki, bu açıklar sayesinde saldırganlar windows sistemlerinizde uzaktan kod çalıştırabiliyorlar. yani kısacası, güvenlik yazılımınız güvenlik açığına dönüşmüş. ironik değil mi?

spoiler: henüz aktif sömürü tespit edilmemiş ama kritik seviyede olduğu için beklemeyin, hemen yamalayın.

sonicwall yedekleme açığı yüzünden 74 bankanın işi durmuş

Thu, 26 Feb 2026 08:02:52 +0300

arkadaşlar, bugün bayağı ilginç bir dava haberi var. marquis software solutions diye bir firma, sonicwall’u mahkemeye vermiş. neden mi? sonicwall’un yedekleme ürününde ki açık yüzünden fidye yazılımı yemiş adamlar, sonuçta da 74 tane amerikan bankasının işi durmuş.

olay neymiş tam olarak

marquis, bankalara yazılım çözümleri sunan bir firma. sonicwall’un yedekleme çözümünü kullanıyormuş. derken saldırganlar sonicwall’daki bir açıktan girmiş sisteme, yedekleri çalmış, ardından da fidye yazılımı salmış ortaya. yani klasik “önce yedeği çal, sonra şifrele” taktiği.

zyxel routerlarında kritik uzaktan komut çalıştırma açığı

Thu, 26 Feb 2026 08:02:04 +0300

arkadaşlar, zyxel yine iş yapmış. tayvan’lı ağ ekipmanları üreticisi zyxel, 12’den fazla router modelinde kritik seviye bir açık olduğunu açıkladı. uzaktan kod çalıştırma (RCE) denen bela var ve kimlik doğrulaması bile istemiyor. yani herhangi bir saldırgan, kullanıcı adı şifre falan girmeden direkt cihazınıza komut çalıştırabilir.

spoiler: bu ciddi bir durum, hemen yamalamak lazım.

ne olmuş yani?

zyxel’in bir sürü router modelinde kritik bir zafiyet bulunmuş. saldırganlar bu açığı kullanarak kimlik doğrulaması yapmadan uzaktan komut çalıştırabiliyorlar. yani sizin routerınıza internet üzerinden bağlanıp istediklerini yapabilirler. kısacası cihazın kontrolü tamamen ele geçirilebilir.

cisco sd-wan'da 2023'ten beri sömürülen kritik açık

Thu, 26 Feb 2026 08:01:11 +0300

arkadaşlar, cisco’dan çok kötü bir haber geldi. catalyst sd-wan’da kritik bir açık varmış ve 2023’ten beri aktif olarak sömürülüyormuş. yani 2 yıldır birileri bu açığı kullanarak sistemlere girmiş. CVE-2026-20127 numarasıyla takip edilen bu açık, uzaktan kimlik doğrulama bypass’ı (authentication bypass) denen beladan.

ne oluyor yani?

şöyle ki, saldırganlar bu açığı kullanarak sd-wan controller’larınıza uzaktan erişebiliyorlar. daha da kötüsü, ağınıza kötü niyetli sahte peer’lar (rogue peer) ekleyebiliyorlar. yani sizin ağınıza kendi cihazlarını dahil edip trafiğinizi dinleyebiliyorlar, manipüle edebiliyorlar.

vmware aria operations'ta uzaktan kod çalıştırma açığı var

Wed, 25 Feb 2026 08:02:20 +0300

arkadaşlar, broadcom vmware aria operations için yeni yamalar yayınladı. içinde birkaç tane ciddi seviyede açık var, en önemlisi de uzaktan kod çalıştırma (rce) açığı. yani kötü niyetli birileri sisteminize uzaktan erişip kod çalıştırabilir. ciddi ciddi yamalayın bunu.

ne var ne yok

vmware aria operations (eski adıyla vrealize operations) için yayınlanan yamalarda birden fazla güvenlik açığı kapatılmış. bunların arasında en kritik olanı uzaktan kod çalıştırma zafiyeti. broadcom detayları henüz tam açıklamasa da high-severity yani ciddi seviye diyorlar, o yüzden boş durmayın.

lazarus group orta doğu ve abd'de medusa ransomware ile saldırıyor

Wed, 25 Feb 2026 08:01:46 +0300

arkadaşlar, kuzey kore bağlantılı lazarus group (diamond sleet, pompilus da diyorlar bunlara) bu sefer medusa ransomware kullanarak orta doğu’da bir kuruma saldırmış. symantec ve carbon black threat hunter ekibi raporlamış durumu.

spoiler: abd’deki bir sağlık kuruluşuna da saldırmışlar ama başarısız olmuşlar. yani agalar artık sağlık sektörünü de hedef almaya başlamışlar.

ne olmuş peki

lazarus group denen tayfa, biliyorsunuz kuzey kore devlet destekli hacker grubu. normalde apt saldırıları, kripto borsalarını soymak falan derken bu sefer ransomware işine de girmişler. medusa ransomware kullanmışlar ki bu da fidye yazılımlarının yeni gözdesi.

solarwinds serv-u'da kritik açıklar, root erişimi kapıda

Wed, 25 Feb 2026 08:00:59 +0300

arkadaşlar, solarwinds serv-u’da 4 tane kritik seviye uzaktan kod çalıştırma (rce) açığı bulunmuş. kısacası saldırganlar sunucularınıza root olarak girebilir, yani tam yetki. hemen yamalayın, yoksa başınız ağrır.

ne olmuş yani?

solarwinds, serv-u ftp/sftp sunucusunda 4 tane ciddi açık yamalamış. bunların hepsi rce kategorisinde, yani uzaktan komut çalıştırma denen bela. saldırgan bu açıkları kullanarak sunucuya root yetkisiyle girebilir, istediğini yapabilir.

spoiler: henüz aktif sömürü tespit edilmemiş ama bu tür kritik açıklar hızlıca silahlanıyor, boş durmayın.

çinli yapay zeka firmaları anthropic'in claude'unu kopyalamak için 16 milyon sorgu kullanmış

Tue, 24 Feb 2026 11:49:18 +0300

arkadaşlar, yapay zeka dünyasında epey ilginç bir olay patlak verdi. anthropic (claude’u yapan firma) duyurdu ki, üç tane çinli yapay zeka şirketi kendi modellerini geliştirmek için claude’u sistematik olarak soymuşlar. deepseek, moonshot ai ve minimax denen firmalar, 24 bin sahte hesap açıp claude’a 16 milyon soru sormuşlar. buna “distillation attack” diyorlar, yani “damıtma saldırısı” - kısacası büyük modeli sorgu sorgu soyup kendi modellerine öğretiyorlar.

spoiler: bu iş tamamen anthropic’in kullanım koşullarını çiğniyor ve endüstriyel ölçekte yapılmış.

apt28 yine avrupa'yı webhook'lu makro malware ile taciz ediyor

Tue, 24 Feb 2026 08:02:43 +0300

arkadaşlar, rusya bağlantılı apt28 grubu (fancy bear diye de bilinir) yine iş başında. bu sefer avrupa’daki kurumları hedef almışlar ve webhook tabanlı makro malware kullanmışlar. ispanyol güvenlik firması s2 grupo’nun lab52 ekibi yakalamış bu operasyonu.

ne olmuş yani?

“operation macromaze” adını vermişler bu kampanyaya. eylül 2025 ile ocak 2026 arasında aktif olmuş. batı ve orta avrupa’daki belirli kurumları hedef almışlar. spoiler: apt28 devlet destekli bir grup olduğu için hedefler rastgele değil, çok spesifik seçilmiş.

haftalık güvenlik özeti: skimmer'lar, yapay zeka sızıntıları ve 30tbps'lik ddos saldırısı

Tue, 24 Feb 2026 08:01:54 +0300

arkadaşlar, bu hafta güvenlik cephesinde yine durma yok. bir sürü olay üst üste gelmiş durumda. double-tap denen yeni skimmer tekniği, yapay zeka prompt’larını çalan promptspy, 30 terabit/saniye ddos saldırısı ve docker container’larına sızan malware’ler… kısacası normal bir hafta işte.

ne oldu bu hafta?

bu hafta güvenlik haberleri biraz daha karışık geldi. cihazlardan bulut servislerine, araştırma laboratuvarlarından günlük kullandığımız uygulamalara kadar her yerde bir şeyler dönüyor. normal davranışla gizli risk arasındaki çizgi iyice incelmiş durumda.

mississippi'de hastane sistemi fidye yazılımı yüzünden tamamen kapandı

Tue, 24 Feb 2026 08:01:11 +0300

arkadaşlar, sağlık sektöründe fidye yazılımı saldırılarının ne kadar tehlikeli olabileceğinin yeni bir örneğini görüyoruz. mississippi üniversitesi tıp merkezi (ummc) geçtiğimiz günlerde bir ransomware saldırısına uğradı ve sonuç: eyalet genelindeki 36 kliniğin tamamı kapatıldı, elektif ameliyatlar iptal edildi. yani hastane sistemi resmen durdu.

ne oldu tam olarak

ummc, mississippi eyaletinin en büyük sağlık kurumlarından biri. ransomware saldırısı sistemlere öyle bir zarar vermiş ki, yönetim tüm klinikleri kapatmak zorunda kalmış. elektif (acil olmayan) tüm prosedürler de iptal edilmiş. acil servisler hala çalışıyormuş ama sistemin geri kalanı tam anlamıyla felç olmuş durumda.

predator casus yazılımı ios'ta kamera ve mikrofon göstergelerini gizlemeyi basarmıs

Mon, 23 Feb 2026 09:28:38 +0300

arkadaşlar, intellexa denen şirketin predator casus yazılımı hakkında çok ciddi bir haber var. bu yazılım ios’ta springboard’u (yani ios’un ana arayüzünü) hooklayarak kamera ve mikrofon kullanımı göstergelerini gizlemeyi başarmış. yani o yeşil/turuncu noktalar görünmüyor ama cihaz gizlice kamera ve mikrofon verilerini operatörlere yolluyor.

spoiler: bu çok ciddi bir güvenlik sorunu, çünkü ios’un en temel güvenlik göstergelerinden biri bypass edilmiş

ne oluyor yani?

şöyle ki, ios 14’ten beri biliyorsunuz, sağ üstte bir uygulama kamerayı kullanınca yeşil nokta, mikrofonu kullanınca turuncu nokta çıkıyor. bu sayede hangi uygulamanın bizi dinlediğini/izlediğini anlıyoruz. predator bu göstergeleri tamamen gizlemeyi başarmış.

arkanix stealer denen yapay zeka destekli deneysel malware

Mon, 23 Feb 2026 09:27:51 +0300

arkadaşlar, 2025 sonu dark web forumlarında reklam yapılan “arkanix stealer” denen bir bilgi çalan malware varmış. ilginç olan tarafı: bu şey yapay zeka yardımıyla geliştirilmiş bir deney olarak ortaya çıkmış ve hızlıca batmış gitmişş.

ne olmuş yani

agalar, şöyle ki: 2025’in sonlarına doğru karanlık web forumlarında arkanix stealer diye bir info-stealer operasyonu boy göstermiş. klasik bilgi çalma işi yani - şifreler, çerezler, kripto cüzdanları falan. ama bu sefer işin içine yapay zeka girmiş.

ruslar yapay zeka kullanarak 600+ fortigate cihazını ele geçirmis

Sun, 22 Feb 2026 22:47:10 +0300

ruslar yapay zeka kullanarak 600+ fortigate cihazını ele geçirmiş

arkadaşlar, çok ciddi bir durum var. rusça konuşan, para peşinde koşan bir grup saldırgan, yapay zeka araçlarını kullanarak 55 ülkede 600’den fazla fortigate cihazını ele geçirmiş. amazon threat intelligence ekibi 11 ocak - 18 şubat 2026 tarihleri arasında bu operasyonu tespit etmiş.

spoiler: evet, doğru okudunuz. saldırganlar chatgpt tarzı yapay zeka araçlarını kullanarak saldırı düzenliyor artık.

ne olmuş yani?

rusça konuşan, finansal motivasyonlu bir grup (yani para için yapıyorlar bunu), ticari yapay zeka servislerini kullanarak fortigate cihazlarına saldırmış. amazon’un threat intelligence ekibi bu aktiviteyi yaklaşık bir ay boyunca izlemiş.

grandstream ip telefonlarda kritik açık, aramalarınız dinlenebilir

Sun, 22 Feb 2026 22:46:21 +0300

arkadaşlar, grandstream marka ip telefonlarınız varsa hemen bu yazıyı okuyun. kritik seviyede bir açık bulunmuş ve kimlik doğrulama bile gerektirmiyor. yani saldırgan şifre falan bilmeden uzaktan root yetkisiyle kod çalıştırabiliyor. CVE-2026-2329 diye geçiyor bu açık.

şimdi “e ne olacak” demeyin, bu açık sayesinde aramalarınız dinlenebilir, kayıt altına alınabilir. hem de uzaktan, ağ üzerinden. ip telefon kullanan firmalar için ciddi bir mahremiyet sorunu bu.

teknik detaylar

zafiyet şöyle bir şey: kimlik doğrulama gerektirmeden (unauthenticated) uzaktan kod çalıştırma (RCE) yapılabiliyor. üstelik root yetkisiyle. yani saldırgan telefona tamamen hakim oluyor.

roundcube'da aktif sömürülen iki kritik açık, cisa kataloğuna ekledi

Sun, 22 Feb 2026 22:41:50 +0300

arkadaşlar, cuma günü cisa (amerikan siber güvenlik ajansı) roundcube mail sunucusunda aktif olarak sömürülen iki açığı kev kataloğuna ekledi. yani bu açıklar teorik değil, gerçekten kullanılıyor şu an.

spoiler: roundcube kullanıyorsanız hemen yamalayın, yoksa mail sunucunuz ele geçirilebilir.

ne var ne yok bu açıklarda

iki tane zafiyet var ortada:

CVE-2025-49113 - cvss skoru 9.9, yani kritik seviyede 🔴

güvenilmeyen verinin deserializasyonu (deserialization of untrusted data) denen klasik açık var
uzaktan kod çalıştırma (rce) imkanı sunuyor
saldırgan mail sunucunuzda istediği komutu çalıştırabilir

CVE-2025-XXXXX (ikinci açık) - detaylar henüz tam açıklanmamış ama cisa eklediyse ciddiyedir

mongodb'de mongobleed: bellek sızıntısı

Tue, 16 Dec 2025 11:00:00 +0300

mongodb’de mongobleed adı verilen bellek sızıntısı açığı var. cve-2025-14847, cvss 8.7.

kimlik doğrulaması olmadan sunucu belleğinden hassas veri sızdırabiliyorsun. uzaktan.

censys’e göre 87 bin civarı potansiyel olarak etkilenen instance var. çoğu abd, çin, almanya, hindistan, fransa’da.

nasıl çalışıyor

mongodb sunucusuna bağlanıyorsun, özel hazırlanmış istek gönderiyorsun, sunucu belleğinden veri sızdırıyor.

ne tür veriler? db kimlik bilgileri, uygulama sırları, kullanıcı verileri, api anahtarları falan.

ne yapmalı

# versiyon kontrol
mongod --version
mongo --eval "db.version()"

önce mongodb’yi sadece localhost’ta dinlet:

fortinet'te kritik sso bypass açıkları

Tue, 09 Dec 2025 15:00:00 +0300

fortinet bugün 2 kritik açık için uyarı yayınladı: cve-2025-59718 ve cve-2025-59719. her ikisi de cvss 9.8.

forticloud sso özelliği etkinse, özel hazırlanmış saml mesajı ile kimlik doğrulamasını atlayıp admin erişimi alabiliyorsun. kimlik doğrulamasına bile gerek yok.

3 gün sonra (12 aralık) aktif sömürü başladı. cisa 16 aralık’ta kev kataloğuna ekledi.

fortinet kod incelemesi sırasında kendisi bulmuş bu açıkları. iyi ki bulmuş.

etkilenenler

fortios
fortiweb
fortiproxy
fortiswitchmanager

cve-2025-59719 sadece fortiweb’i, cve-2025-59718 ise diğerlerini etkiliyor. aynı root cause.

react2shell: react 19 ve next.js'te rce açığı

Wed, 03 Dec 2025 16:00:00 +0300

react 19’da kritik rce açığı keşfedildi, adı react2shell. cve-2025-55182.

lachlan davidson bulmuş, 29 kasım’da react ekibine bildirmiş, bugün (3 aralık) açıklandı. açıklanmasından saatler sonra çin merkezli gruplar sömürmeye başlamış bile.

sorun react server components’in “flight” protokolünde. güvensiz deserialization var. yani varsayılan konfigürasyonda bile kimlik doğrulaması olmadan uzaktan kod çalıştırabiliyorsun.

next.js kullanan herkes risk altında. react 18 ve öncesi etkilenmiyor ama 19 kullananlar acilen güncellemeli.

wiz research, amazon threat intelligence, datadog hepsi doğruladı. halka açık exploit kodları var zaten.

subat 2025 ransomware raporu: rekor kırıldı

Tue, 18 Feb 2025 10:00:00 +0300

şubat ayı ransomware açısından rekor kırdı. 1014 saldırı. yılın en kısa ayında.

qilin grubu birinci sırada, 1001 kurban. ikinci akira, üçüncü clop. medusa için fbi ve cisa ortak uyarı yayınladı.

dikkat çeken olaylar

anthony hastanesi (illinois): 6679 kişinin sağlık bilgileri sızdırıldı. çalışan e-postalarına sızmışlar.

episource: 27 ocak - 6 şubat arası veri sızıntısı. ransomware denmiş ama şirket teyit etmemiş. siber suçlu veriyi görüntülemiş ve dışarı aktarmış.

wakefield & associates: akira grubu üstlendi, 13 gb veri çaldıklarını iddia ettiler.

2025'te linux kernel'de 5530 cve

Sat, 15 Feb 2025 12:00:00 +0300

2025 yılında şimdiye kadar linux kernel’de 5530 güvenlik açığı bildirilmiş. 2024’e göre 1201 tane fazla.

kernel ekibinin 2024’te cve numbering authority olması disclosure’ı 10 kat artırmış. 2024’te 3529 kernel cve vardı, önceki yıllara göre çok fazla.

ama asıl sorun şu: ransomware grupları bu açıkları yetki yükseltme için kullanıyor.

kritikler

cve-2024-1086 “flipping pages”: 10 yıldan fazla süredir varmış. nf_tables’da use-after-free. ransomhub ve akira kullanmış. ekim 2025’te cisa teyit etmiş.

cve-2025-21756 “attack of the vsock”: nisan 2025’te açıklandı. vm’den host’a kaçış sağlıyor, vsock alt sisteminde. root erişimi veriyor.

microsoft subat 2025 yama salısı

Tue, 11 Feb 2025 14:00:00 +0300

bugün microsoft’un geleneksel patch tuesday’i. 67 tane açık yamandı, bunların 4’ü sıfır-gün. yani aktif olarak sömürülüyormuş.

en kritik olanı CVE-2025-21418. buffer overflow açığı, windows ancillary function driver’da. saldırganın sisteme kullanıcı etkileşimi olmadan yetki yükseltme yapmasına izin veriyor. cisa bile eklemiş bilinen sömürülen zafiyetler listesine, 4 mart’a kadar yamalanmasını istiyor.

ciddi mi ciddi, evet.

CVE-2025-21377 diye bir de ntlm hash sızıntısı var. kullanıcının ntlmv2 hash’ini alıp, onun gibi kimlik doğrulaması yapabiliyorsun. cvss skoru 6.5, “önemli” kategorisinde ama küçümsenmemeli.

Örnek: Kritik OpenSSH Zafiyeti Tespit Edildi

Mon, 15 Jan 2024 08:00:00 +0300

Özet

OpenSSH’ta kritik bir zafiyet tespit edildi. Bu zafiyet, uzaktan kod çalıştırma (RCE) saldırılarına olanak tanıyor.

Hakkında

Mon, 01 Jan 2024 00:00:00 +0000

AI Günlük Nedir?

arkadaşlar, AI Günlük tamamen eğlence ve test amaçlı yapılmış bir deneysel projedir. güvenlik haberlerini AI ile Türkçeleştirip ekşi sözlük tarzında yazıya dönüştürüyoruz.

Bu Site Ne İşe Yarar?

test ve eğlence amaçlı bir projedir, başka bir şey değil. AI’ın ne kadar iyi Türkçe güvenlik haberi yazabileceğini görmek için yapıldı.

dikkat: bu site profesyonel bir haber kaynağı değildir! kritik güvenlik kararlarınızı buradaki bilgilere göre vermeyin.

Kaynaklarımız

haberlerimiz şu kaynaklardan otomatik olarak toplanıyor: