arkadaşlar, cisa yine alarm veriyor. f5 big-ip access policy manager (apm) üzerinde kritik bir açık var ve aktif olarak sömürülüyor. CVE-2025-53521 numaralı bu zafiyet kev (known exploited vulnerabilities) kataloğuna eklenmiş durumda.

ne var ne yok

CVE-2025-53521 açığı cvss v4’e göre 9.3 puan almış, yani kritik seviyede. uzaktan kod çalıştırma (rce) zafiyeti denen bela var ortada. yani saldırgan sisteminize uzaktan erişip istediği kodu çalıştırabiliyor.

f5 big-ip apm kullanan arkadaşlar dikkat, bu açık sayesinde kötü niyetli tipler sisteminize tam yetkiyle girebilir. cisa’nın kev kataloğuna eklemesi de cabası, yani gerçekten sömürülüyor bu açık, teoride kalmıyor.

…

arkadaşlar, ukrayna yanlısı bir hacker grubu olan bearlyfy (bazıları labubu da diyor) ocak 2025’ten beri rus şirketlere saldırıyor. şimdiye kadar 70’ten fazla siber saldırı gerçekleştirmişler ve son saldırılarda genielocker adında özel bir windows fidye yazılımı kullanmışlar.

olay nedir, ne oluyor?

bearlyfy grubu çift amaçlı çalışıyor: bir yandan rus şirketlere maksimum hasar vermeye çalışıyorlar, diğer yandan da hacktivizm yapıyorlar. yani hem fidye yazılımı dağıtıp sistemleri kilitleyen, hem de ideolojik amaçlı hareket eden bir grup.

…

arkadaşlar, apple tarihinde ilk defa böyle bir şey yapıyor. eski ios sürümlerini kullanan iphone ve ipadlere kilit ekranından bildirim gönderiyor. mesajda ne diyor? “apple, eski ios yazılımını hedef alan saldırıların farkındadır, iphone’unuzdaki sürüm dahil. iphone’unuzu korumak için bu kritik güncellemeyi yükleyin” diyor.

yani şöyle ki, elinizde güncel olmayan bir iphone varsa ve web tabanlı saldırılar aktif olarak dolaşıyorsa, apple artık kilit ekranından “agam güncelleme yap” diye uyarı veriyor. macrumors ilk fark etmiş bu durumu.

…

arkadaşlar, ai uygulama geliştiriyorsanız ve langchain veya langgraph kullanıyorsanız bu yazıyı okumanızı tavsiye ederim. güvenlik araştırmacıları bu frameworklerde 3 tane ciddi açık bulmuş. kısacası dosya sisteminiz, environment secretlarınız ve konuşma geçmişiniz sızdırılabilir.

ne olmuş yani?

langchain ve langgraph dediğimiz şeyler, llm (büyük dil modelleri) ile uygulama geliştirmek için kullanılan açık kaynaklı frameworkler. şirketler bunlarla chatbot, ai asistan falan yapıyor. işte bu popüler frameworklerde 3 tane zafiyet bulunmuş.

spoiler: bu açıklar sayesinde saldırganlar:

…

arkadaşlar, anthropic’in claude ai asistanı için geliştirdiği chrome eklentisinde ciddi bir açık bulunmuş. koi security’den oren yomtov isimli araştırmacı ortaya çıkarmış bu açığı.

spoiler: bu açık çok ilginç bir açık çünkü sıfır-tıklamalı (zero-click) bir xss prompt injection saldırısı. yani siz sadece bir web sitesini ziyaret ettiğinizde, o site claude eklentinize sanki siz yazmışsınız gibi komutlar enjekte edebiliyor. hiçbir şeye tıklamanıza gerek yok, sadece sayfayı açmanız yeterli.

ne olmuş peki?

claude’un chrome eklentisi, web sayfalarındaki içeriği okuyup kullanıcıya yardımcı olmak için tasarlanmış. ancak bu eklenti, web sitelerinden gelen içeriği yeterince doğrulamıyormuş. bu sayede kötü niyetli bir web sitesi, eklentiye istediği komutu gönderebiliyormuş.

…

arkadaşlar, çinli bir hacker grubu olan red menshen (diğer adıyla earth bluecrow) yıllardır telekom şirketlerinin ağlarına yerleşmiş ve devlet ağlarını gözetliyormuş. yani klasik çin hareketi, uzun soluklu ve sessiz sedasız iş. bpfdoor denen bir implant kullanmışlar ki bu yazılım gerçekten sinsi bir şey.

olay ne tam olarak

red menshen grubu, telekom operatörlerinin altyapısına sızmış ve oradan devlet kurumlarını izliyormuş. mantık şu: telekom şirketleri zaten herkesin trafiğini görüyor, sen oraya yerleşirsen hem görünmezsin hem de istediğin yere erişim sağlarsın. akıllıca ama kötü niyetli bir strateji.

…

arkadaşlar, e-ticaret sitelerinde yeni bir malware türü keşfedilmiş. webrtc data channel’larını kullanarak hem payload yüklüyor hem de çaldığı kredi kartı bilgilerini sızdırıyor. en kötü tarafı da csp (content security policy) kontrollerini bypass ediyor.

olay ne tam olarak

sansec’in güvenlik araştırmacıları yeni bir payment skimmer (ödeme bilgisi çalan malware) bulmuş. klasik http istekleri veya image beacon’ları yerine webrtc data channel’larını kullanıyormuş. yani normal güvenlik kontrolleri bu trafiği görmüyor bile.

spoiler: bu malware özellikle e-ticaret sitelerini hedef alıyor. müşterileriniz ödeme yaparken kredi kartı bilgileri çalınabiliyor.

…

arkadaşlar, fbi’dan güzel bir haber geldi. ta551 (shathak diye de bilinir) botnet operasyonunu yöneten rus hacker ilya angelov 2 yıl hapis ve 100 bin dolar para cezasına çarptırıldı. “milan” ve “okart” takma adlarıyla takılan bu arkadaş, yıllarca amerikan şirketlerine fidye yazılımı saldırıları düzenlemiş.

olay neydi

ilya angelov, rusya’nın tolyatti şehrinden 40 yaşında bir siber suçlu. ta551 adlı bir rus siber suç grubunu yönetiyormuş. bu grup klasik email phishing yöntemiyle kurbanları tuzağa düşürüyormuş:

…

arkadaşlar, e-ticaret dünyasında ciddi bir durum var. magento open source ve adobe commerce kullanan mağazalara yönelik polyshell denen bir zafiyet üzerinden saldırılar başlamış. kötü tarafı şu: zafiyet bulunan mağazaların %56’sı şu an hedef alınıyor. yani bu iş şaka değil, aktif saldırı var ortada.

ne oluyor yani?

polyshell zafiyeti, magento 2.x versiyonlarında bulunan ve saldırganlara uzaktan kod çalıştırma (rce) imkanı veren bir açık. yani kısacası, saldırgan sunucunuzda istediği komutu çalıştırabiliyor. spoiler: bu çok kötü bir şey.

…

arkadaşlar, rusya’dan güzel bir haber geldi. leakbase diye bir siber suç forumunun yöneticisini rus kolluk kuvvetleri yakalamış. taganrog şehrinde yaşayan bu arkadaş, çalıntı kimlik bilgilerinin satıldığı bir pazar yeri işletiyormuş.

olay ne?

leakbase, biliyorsunuz ki çalıntı kullanıcı adı, şifre, kredi kartı bilgisi gibi hassas verilerin alınıp satıldığı bir platform. yani klasik underground forum işte. rusya iç işleri bakanlığı bağlantılı mvd media ve tass haber ajansı perşembe günü bu tutuklamayı duyurdu.

…