arkadaşlar, trend micro apex one kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü kritik seviyede iki tane açık yamalandı ve bunlar uzaktan kod çalıştırma (rce) denen belaya sebep oluyor.

ne olmuş yani?

trend micro, apex one güvenlik yazılımında iki tane kritik zafiyet tespit etmiş ve yamalamış. şöyle ki, bu açıklar sayesinde saldırganlar windows sistemlerinizde uzaktan kod çalıştırabiliyorlar. yani kısacası, güvenlik yazılımınız güvenlik açığına dönüşmüş. ironik değil mi?

spoiler: henüz aktif sömürü tespit edilmemiş ama kritik seviyede olduğu için beklemeyin, hemen yamalayın.

…

arkadaşlar, bugün bayağı ilginç bir dava haberi var. marquis software solutions diye bir firma, sonicwall’u mahkemeye vermiş. neden mi? sonicwall’un yedekleme ürününde ki açık yüzünden fidye yazılımı yemiş adamlar, sonuçta da 74 tane amerikan bankasının işi durmuş.

olay neymiş tam olarak

marquis, bankalara yazılım çözümleri sunan bir firma. sonicwall’un yedekleme çözümünü kullanıyormuş. derken saldırganlar sonicwall’daki bir açıktan girmiş sisteme, yedekleri çalmış, ardından da fidye yazılımı salmış ortaya. yani klasik “önce yedeği çal, sonra şifrele” taktiği.

…

arkadaşlar, zyxel yine iş yapmış. tayvan’lı ağ ekipmanları üreticisi zyxel, 12’den fazla router modelinde kritik seviye bir açık olduğunu açıkladı. uzaktan kod çalıştırma (RCE) denen bela var ve kimlik doğrulaması bile istemiyor. yani herhangi bir saldırgan, kullanıcı adı şifre falan girmeden direkt cihazınıza komut çalıştırabilir.

spoiler: bu ciddi bir durum, hemen yamalamak lazım.

ne olmuş yani?

zyxel’in bir sürü router modelinde kritik bir zafiyet bulunmuş. saldırganlar bu açığı kullanarak kimlik doğrulaması yapmadan uzaktan komut çalıştırabiliyorlar. yani sizin routerınıza internet üzerinden bağlanıp istediklerini yapabilirler. kısacası cihazın kontrolü tamamen ele geçirilebilir.

…

arkadaşlar, cisco’dan çok kötü bir haber geldi. catalyst sd-wan’da kritik bir açık varmış ve 2023’ten beri aktif olarak sömürülüyormuş. yani 2 yıldır birileri bu açığı kullanarak sistemlere girmiş. CVE-2026-20127 numarasıyla takip edilen bu açık, uzaktan kimlik doğrulama bypass’ı (authentication bypass) denen beladan.

ne oluyor yani?

şöyle ki, saldırganlar bu açığı kullanarak sd-wan controller’larınıza uzaktan erişebiliyorlar. daha da kötüsü, ağınıza kötü niyetli sahte peer’lar (rogue peer) ekleyebiliyorlar. yani sizin ağınıza kendi cihazlarını dahil edip trafiğinizi dinleyebiliyorlar, manipüle edebiliyorlar.

…

arkadaşlar, broadcom vmware aria operations için yeni yamalar yayınladı. içinde birkaç tane ciddi seviyede açık var, en önemlisi de uzaktan kod çalıştırma (rce) açığı. yani kötü niyetli birileri sisteminize uzaktan erişip kod çalıştırabilir. ciddi ciddi yamalayın bunu.

ne var ne yok

vmware aria operations (eski adıyla vrealize operations) için yayınlanan yamalarda birden fazla güvenlik açığı kapatılmış. bunların arasında en kritik olanı uzaktan kod çalıştırma zafiyeti. broadcom detayları henüz tam açıklamasa da high-severity yani ciddi seviye diyorlar, o yüzden boş durmayın.

…

arkadaşlar, kuzey kore bağlantılı lazarus group (diamond sleet, pompilus da diyorlar bunlara) bu sefer medusa ransomware kullanarak orta doğu’da bir kuruma saldırmış. symantec ve carbon black threat hunter ekibi raporlamış durumu.

spoiler: abd’deki bir sağlık kuruluşuna da saldırmışlar ama başarısız olmuşlar. yani agalar artık sağlık sektörünü de hedef almaya başlamışlar.

ne olmuş peki

lazarus group denen tayfa, biliyorsunuz kuzey kore devlet destekli hacker grubu. normalde apt saldırıları, kripto borsalarını soymak falan derken bu sefer ransomware işine de girmişler. medusa ransomware kullanmışlar ki bu da fidye yazılımlarının yeni gözdesi.

…

arkadaşlar, solarwinds serv-u’da 4 tane kritik seviye uzaktan kod çalıştırma (rce) açığı bulunmuş. kısacası saldırganlar sunucularınıza root olarak girebilir, yani tam yetki. hemen yamalayın, yoksa başınız ağrır.

ne olmuş yani?

solarwinds, serv-u ftp/sftp sunucusunda 4 tane ciddi açık yamalamış. bunların hepsi rce kategorisinde, yani uzaktan komut çalıştırma denen bela. saldırgan bu açıkları kullanarak sunucuya root yetkisiyle girebilir, istediğini yapabilir.

spoiler: henüz aktif sömürü tespit edilmemiş ama bu tür kritik açıklar hızlıca silahlanıyor, boş durmayın.

…

arkadaşlar, yapay zeka dünyasında epey ilginç bir olay patlak verdi. anthropic (claude’u yapan firma) duyurdu ki, üç tane çinli yapay zeka şirketi kendi modellerini geliştirmek için claude’u sistematik olarak soymuşlar. deepseek, moonshot ai ve minimax denen firmalar, 24 bin sahte hesap açıp claude’a 16 milyon soru sormuşlar. buna “distillation attack” diyorlar, yani “damıtma saldırısı” - kısacası büyük modeli sorgu sorgu soyup kendi modellerine öğretiyorlar.

spoiler: bu iş tamamen anthropic’in kullanım koşullarını çiğniyor ve endüstriyel ölçekte yapılmış.

…

arkadaşlar, rusya bağlantılı apt28 grubu (fancy bear diye de bilinir) yine iş başında. bu sefer avrupa’daki kurumları hedef almışlar ve webhook tabanlı makro malware kullanmışlar. ispanyol güvenlik firması s2 grupo’nun lab52 ekibi yakalamış bu operasyonu.

ne olmuş yani?

“operation macromaze” adını vermişler bu kampanyaya. eylül 2025 ile ocak 2026 arasında aktif olmuş. batı ve orta avrupa’daki belirli kurumları hedef almışlar. spoiler: apt28 devlet destekli bir grup olduğu için hedefler rastgele değil, çok spesifik seçilmiş.

…

arkadaşlar, bu hafta güvenlik cephesinde yine durma yok. bir sürü olay üst üste gelmiş durumda. double-tap denen yeni skimmer tekniği, yapay zeka prompt’larını çalan promptspy, 30 terabit/saniye ddos saldırısı ve docker container’larına sızan malware’ler… kısacası normal bir hafta işte.

ne oldu bu hafta?

bu hafta güvenlik haberleri biraz daha karışık geldi. cihazlardan bulut servislerine, araştırma laboratuvarlarından günlük kullandığımız uygulamalara kadar her yerde bir şeyler dönüyor. normal davranışla gizli risk arasındaki çizgi iyice incelmiş durumda.

…