arkadaşlar, salesforce’tan bir uyarı geldi. kötü niyetli tipler, experience cloud sitelerini kitlesel olarak tarıyor ve yanlış yapılandırmaları istismar ediyor. işin ilginç tarafı, aurainspector diye açık kaynaklı bir aracı modifiye edip kullanıyorlar bu iş için.

ne oluyor yani?

salesforce’un açıklamasına göre, saldırganlar müşterilerin herkese açık experience cloud sitelerindeki aşırı izinli guest user (misafir kullanıcı) yapılandırmalarını istismar ediyor. yani şöyle ki, normalde misafir kullanıcıların görmemesi gereken hassas verilere erişim sağlıyorlar.

aurainspector normalde salesforce lightning component’lerini debug etmek için kullanılan meşru bir araç. ama saldırganlar bunu modifiye edip, otomatik tarama aracına çevirmişler. böylece binlerce salesforce sitesini tarayıp, zayıf yapılandırılmış olanları tespit ediyorlar.

…

arkadaşlar, hepimiz biliyoruz o panik anını. yeni bir kritik açık açıklanıyor, herkes telaşa düşüyor, gece yarısı yamalar atılıyor, kafeinli içecekler tüketiliyor. ama intruder’ın güvenlik şefi güzel bir yazı yazmış: “bu panik aslında önlenebilir” diyor.

şöyle ki, yeni bir açık ne zaman çıkacağını kontrol edemezsiniz ama ne kadar sisteminizin internete açık olduğunu kesinlikle kontrol edebilirsiniz. sorun şu: çoğu ekip aslında ne kadar fazla şeyin internete baktığının farkında bile değil.

sorun nerede yani

agalar, durum şöyle: sömürü süreleri (time-to-exploit) gittikçe kısalıyor. yani bir açık açıklandıktan sonra saldırganların onu kullanmaya başlaması eskiden günler alırken, şimdi saatler hatta dakikalar alıyor.

…

arkadaşlar, bir hafta daha geride kaldı ve yine “şaka mı bu?” dedirten haberlerle doluydu. saldırganlar mesaide, savunmacılar mesaide, ortada da pazartesi sabahı çok kötü geçiren bir sürü insan var. artık böyle işliyor bu iş.

ama iyi haber de var: bu hafta gerçekten kazanılan zaferler oldu. yani sahte değil, gerçek zaferler. iyi adamların ortaya çıkıp işi yaptığı, fark yarattığı türden.

qualcomm’da sıfır-gün açığı

spoiler: qualcomm yongalarında aktif olarak sömürülen bir sıfır-gün açığı var.

…

arkadaşlar, salesforce’un başı dertte. shinyhunters diye bildiğimiz hacker çetesi, salesforce aura platformundaki bir açığı sömürerek aktif olarak veri çalıyor. salesforce ise “yok yok, bu yanlış yapılandırma meselesi” diyor ama shinyhunters “yeni bir bug kullanıyoruz” diye ısrar ediyor. bakalım gerçek ne, ama siz yine de önleminizi alın.

ne oluyor yani?

salesforce, experience cloud (eski adıyla community cloud) kullanan müşterilerine uyarı yayınlamış. şöyle ki: eğer guest user’lara (misafir kullanıcılara) gerekenden fazla yetki vermişseniz, bunlar sisteminize girip veri çalabiliyormuş. salesforce bunu “misconfiguration” yani yanlış yapılandırma diye adlandırıyor.

…

arkadaşlar, palo alto networks unit 42’nin yeni raporuna göre çinli bir apt grubu yıllardır asya’daki kritik altyapılara saldırıyormuş. havacılık, enerji, hükümet, kolluk kuvvetleri, ilaç, teknoloji ve telekomünikasyon sektörlerini hedef almışlar. güney, güneydoğu ve doğu asya’daki yüksek değerli kurumlar risk altında.

spoiler: saldırganlar web sunucu açıklarını sömürüyor ve mimikatz kullanarak kimlik bilgilerini çalıyorlar. klasik apt hareketi yani.

saldırı detayları

bu yeni keşfedilen tehdit grubu, web sunucularındaki zafiyetleri istismar ederek ağlara sızıyormuş. ilk erişimi aldıktan sonra mimikatz denen meşhur aracı kullanarak kimlik bilgilerini topluyorlar. yani önce kapıdan giriyorlar, sonra bütün anahtarları çalıyorlar.

…

arkadaşlar, ilginç bir haber var bugün. anthropic’in claude opus 4.6 denen yapay zeka modeli, mozilla ile yaptıkları güvenlik ortaklığı kapsamında firefox’ta 22 tane yeni güvenlik açığı bulmuş. yani artık açık avında yapay zekalar da sahaya inmiş durumda.

spoiler: bu açıkların 14 tanesi yüksek (high), 7 tanesi orta (moderate), 1 tanesi de düşük (low) seviyede. hepsi firefox 148 sürümünde yamalanmış, geçen ay yayınlanmış.

ne olmuş peki

anthropic, claude opus 4.6 modelini firefox’un kaynak kodunu tarattırmış. sadece 2 haftalık bir sürede 22 tane güvenlik açığı tespit etmiş. yani yapay zeka, klasik güvenlik araştırmacılarının aylar süren işini 2 haftada yapmış.

…

arkadaşlar, openai yeni bir oyuncak daha çıkardı ortaya: codex security. yapay zeka destekli bir güvenlik ajanı bu, kodunuzdaki açıkları buluyor, doğruluyor ve üstüne bir de düzeltme önerisi sunuyor. yani artık kodunuzu tarayan bir ai asistan var.

ne bu codex security meselesi?

openai cuma günü bu özelliği duyurdu. şu an research preview aşamasında ve chatgpt pro, enterprise, business ve edu müşterilerine sunuluyor. bir ay boyunca ücretsiz kullanabiliyorsunuz codex web üzerinden.

spoiler: openai bu aracı kendi üzerinde test etmiş, 1.2 milyon commit taramış ve 10.561 tane yüksek öncelikli güvenlik sorunu bulmuş. yani iş yapıyor bu sistem.

…

arkadaşlar, yapay zeka asistanları (ai agents denen şeyler) son zamanlarda çok popüler olmaya başladı, özellikle developer ve sistem yöneticisi arkadaşlar arasında. ama şunu söylemek lazım: bu yeni oyuncaklar güvenlik önceliklerimizi tamamen değiştiriyor ve işler biraz karışık.

ne oluyor peki?

şöyle ki, bu ai asistanları artık sadece sohbet eden botlar değil. bilgisayarınıza erişebiliyorlar, dosyalarınızı okuyabiliyorlar, online servislerinize bağlanabiliyorlar ve neredeyse her işi otomatikleştirebiliyorlar. kulağa harika geliyor değil mi? ama işin içinde ciddi güvenlik riskleri var.

…

arkadaşlar, github’da yeni bir malware kampanyası tespit edilmiş. boryptgrab diye bir stealer var, 100’den fazla sahte repository üzerinden dağıtılıyor. klasik sosyal mühendislik hareketi, open source proje gibi görünüyorlar ama içinde malware var.

ne var ne yok bu işte

boryptgrab isimli bu stealer şunların peşinde:

• tarayıcı verileri (şifreler, çerezler, otomatik doldurma bilgileri)
• kripto para cüzdanları (metamask, trust wallet falan)
• sistem bilgileri
• kullanıcı dosyaları

yani kısacası elinizde ne varsa almaya çalışıyor. özellikle kripto para cüzdanlarına göz dikmiş, o yüzden kripto işi yapanlar dikkat.

…

arkadaşlar, velvet tempest denen fidye yazılımı grubu yine iş başında. bu sefer clickfix tekniğini kullanarak termite ransomware’i dağıtıyorlar. işin ilginç yanı, windows’un kendi araçlarını kullanarak donutloader ve castlerat denen arka kapıyı sisteme yerleştiriyorlar. klasik “meşru araçlarla kötü iş” hikayesi yani.

olay nasıl gelişiyor

velvet tempest grubu (microsoft’un storm-0875 dediği tipler), clickfix denen sosyal mühendislik tekniğini kullanıyor. şöyle ki:

• kullanıcıya sahte bir hata mesajı gösteriyorlar
• “sorunu çözmek için” bir düğmeye tıklamasını istiyorlar
• tıklayınca aslında kötü niyetli powershell komutları çalışıyor
• bu komutlar donutloader’ı indirip çalıştırıyor
• sonra castlerat arka kapısı sisteme yerleşiyor
• en sonunda termite fidye yazılımı devreye giriyor

spoiler: bütün bunlar windows’un meşru araçları (powershell, mshta, rundll32) kullanılarak yapılıyor, yani antivirüs atlatma şansları yüksek.

…