arkadaşlar, interpol büyük bir operasyon gerçekleştirmiş. 72 ülke ve bölgeden katılımla yapılan bu operasyonda 45.000 kötü amaçlı ip adresi ve sunucu kapatılmış, 94 kişi de tutuklanmış. phishing, malware ve fidye yazılımı kampanyalarında kullanılan altyapılar hedef alınmış.

ne oldu yani?

interpol’ün cuma günü yaptığı açıklamaya göre, devam eden uluslararası bir operasyonun parçası olarak büyük bir temizlik yapılmış. siber suç şebekelerini çökertmek, yeni tehditleri durdurmak ve dolandırıcılık mağdurlarını korumak için yapılan bu operasyon ciddi boyutlarda.

arkadaşlar, google acil güvenlik güncellemesi yayınladı chrome için. iki tane yüksek seviyeli zafiyet varmış ve spoiler: bunlar aktif olarak sömürülüyormuş. yani sıfır-gün (zero-day) açığı dedikleri şey işte, yamadan önce saldırganlar bulmuş ve kullanmış.

ne olmuş peki

google’ın güvenlik ekibi iki tane ciddi açık tespit etmiş chrome’da. bu açıklar şu an siber saldırılarda aktif olarak kullanılıyor, yani teorik bir risk değil, gerçek dünyada sömürülüyor. detayları fazla vermemişler henüz (klasik hareket, yaygınlaşsın diye bekleyecekler biraz) ama yüksek seviyeli (high severity) olarak işaretlemişler.

arkadaşlar, google perşembe günü chrome için acil bir güvenlik güncellemesi yayınladı. iki tane yüksek seviye zafiyet var ve spoiler: ikisi de aktif olarak sömürülüyor. yani sıfır-gün (zero-day) dedikleri olay, yamadan önce kötü niyetli tipler bulmuş ve kullanmış bile.

bu sefer skia ve v8 motorlarında sorun var. skia bildiğiniz 2d grafik kütüphanesi, v8 de chrome’un javascript motoru. ikisi de kritik bileşenler yani.

zafiyet detayları

CVE-2026-3909 - skia’daki out-of-bounds write

• cvss skoru: 8.8 (yüksek/ciddi)
• zafiyet türü: out-of-bounds write (sınır dışı yazma)
• etkilenen bileşen: skia 2d grafik kütüphanesi
• saldırı vektörü: özel hazırlanmış html sayfası üzerinden uzaktan sömürü

bu CVE-2026-3909 açığı şöyle ki: saldırgan özel hazırlanmış bir html sayfası ile bellek sınırlarının dışına yazma yapabiliyor. yani tampon taşması ailesinden klasik bir zafiyet. skia grafik işlemlerinde kullanıldığı için, kötü niyetli bir web sitesine girdiğinizde tetiklenebilir.

arkadaşlar, siber güvenlik dünyasında yeni bir dönem başladı desek yeridir. hive0163 diye bilinen bir fidye yazılımı çetesi, yapay zeka kullanarak “slopoly” adında bir kötü yazılım geliştirmiş. yani artık chatgpt sadece ödev yapmıyor, kötü amaçlı yazılım da yazıyor.

ne oluyor yani?

siber güvenlik araştırmacıları, hive0163 grubunun yapay zeka destekli bir malware kullandığını tespit etmiş. slopoly denen bu yazılım, fidye yazılımı saldırılarında kalıcı erişim sağlamak için kullanılıyorsa. araştırmacılar “henüz çok etkileyici değil” diyor ama asıl mesele şu: yapay zeka sayesinde saldırganlar artık eskiden aylar süren malware geliştirme işini günlerde hallediyor.

arkadaşlar, veeam backup & replication için kritik bir güvenlik güncellemesi geldi. 7 tane ciddi açık kapatmışlar ve bunların hepsi uzaktan kod çalıştırma (rce) seviyesinde. yani saldırgan bu açıkları kullanarak sunucunuzda istediği komutu çalıştırabilir, o yüzden hemen yamalayın.

ne var ne yok

veeam toplam 7 tane açık kapatmış, ikisi özellikle çok kritik:

CVE-2026-21666 - cvss skoru 9.9, yani kritik seviyede. authenticated domain user (yani domain kullanıcısı) bile backup server’da uzaktan kod çalıştırabiliyor. şöyle ki, domain’e bağlı herhangi bir kullanıcı hesabıyla backup sunucunuza girip istediği komutu çalıştırabilir. düşünün bi, junior kullanıcı hesabıyla backup sunucusunu ele geçirmek…

arkadaşlar, veeam backup & replication’da ciddi bir durum var. 4 tane kritik seviye uzaktan kod çalıştırma (rce) açığı tespit edilmiş. yani saldırganlar yedek sunucularınıza girebilir, kod çalıştırabilir. düşünün bi, yedek sunucusu ele geçirilirse zaten işiniz zor.

ne olmuş tam olarak

veeam mart 2025 yamasını yayınladı ve toplam birkaç açık kapattı. bunların 4 tanesi kritik seviye rce açığı. cvss skorları 9.x bandında, yani ciddi ciddi hemen yamalayın seviyesinde 🔴

detaylı cve numaralarını ve teknik bilgileri veeam henüz tam açıklamadı ama backup & replication ürününün birden fazla versiyonunu etkiliyor.

arkadaşlar, inc ransomware denen manyaklar avustralya, yeni zelanda ve tonga’daki sağlık kurumlarına saldırı düzenlemiş. devlet kurumları, acil servisler, hastaneler falan hepsi hedef olmuş. bu grubun işi gücü sağlık sektörünü vurmak galiba, ciddi bir durum var ortada.

olay ne tam olarak

inc ransomware grubu, okyanusya bölgesindeki sağlık tesislerine arka arkaya saldırılar düzenlemiş. avustralya ve yeni zelanda gibi gelişmiş ülkelerden tutun da tonga gibi küçük ada devletlerine kadar uzanan bir saldırı dalgası var. spoiler: sağlık sektörü zaten hassas, bir de ransomware yiyince sistem tam anlamıyla felç oluyor.

arkadaşlar, iş otomasyon platformu n8n’de iki tane kritik seviye açık bulunmuş ve yamalanmış. eğer n8n kullanıyorsanız acil acil güncelleyin, yoksa başınız ağrır.

ne var ne yok

n8n dediğimiz şey workflow automation platformu, yani iş akışlarınızı otomatikleştirdiğiniz bir araç. güvenlik araştırmacıları burada iki tane bomba gibi açık bulmuş:

1. CVE-2026-27577 - CVSS skoru 9.4, yani kritik 🔴

   • expression sandbox kaçışı var, yani uzaktan kod çalıştırma (RCE) yapılabiliyor
   • saldırgan n8n’in expression engine’ini kullanarak sandbox’tan kaçıp sistem komutları çalıştırabiliyor
   • kısacası: kötü niyetli biri sunucunuzda istediği komutu çalıştırabilir

2. CVE-2026-27493 - CVSS skoru 9.5, yani daha da kritik 🔴

   …

arkadaşlar, n8n kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü ciddi bir durum var. cisa (amerikan siber güvenlik kurumu) çarşamba günü CVE-2025-68613 açığını kev kataloğuna ekledi. sebep basit: aktif olarak sömürülüyor.

ne var ne yok

CVE-2025-68613 açığı n8n’de expression injection zafiyeti. yani kısacası saldırganlar kod enjekte edip uzaktan kod çalıştırabiliyorlar (rce). cvss skoru 9.9, yani kritik seviyede acil yamala 🔴 kategorisinde.

şimdi en kötü kısmı söyleyeyim: censys ve shodan’da yapılan taramalara göre 24,700 tane n8n instance’ı internete açık durumda. yani 24 bin 700 tane potansiyel hedef var ortada.

arkadaşlar, yeni bir tehdit var ortada ve bu sefer hedef hr departmanları. bir yıldan fazla süredir rus dilli bir saldırgan grubu, “blacksanta” adını verdikleri bir edr katili (edr killer) yazılımla saldırılar düzenliyor.

spoiler: bu yazılım, sistemlerde kurulu güvenlik çözümlerini (edr/antivirus) devre dışı bırakıyor, yani savunmasız kalıyorsunuz.

ne oluyor yani?

şöyle ki, saldırganlar önce hr departmanlarına hedefli phishing mailleri gönderiyor. içinde iş başvurusu, cv, özgeçmiş gibi görünen dosyalar var ama aslında bunlar blacksanta malware’ini sisteme bulaştırıyor.