arkadaşlar, sağlık sektöründe fidye yazılımı saldırılarının ne kadar tehlikeli olabileceğinin yeni bir örneğini görüyoruz. mississippi üniversitesi tıp merkezi (ummc) geçtiğimiz günlerde bir ransomware saldırısına uğradı ve sonuç: eyalet genelindeki 36 kliniğin tamamı kapatıldı, elektif ameliyatlar iptal edildi. yani hastane sistemi resmen durdu.

ne oldu tam olarak

ummc, mississippi eyaletinin en büyük sağlık kurumlarından biri. ransomware saldırısı sistemlere öyle bir zarar vermiş ki, yönetim tüm klinikleri kapatmak zorunda kalmış. elektif (acil olmayan) tüm prosedürler de iptal edilmiş. acil servisler hala çalışıyormuş ama sistemin geri kalanı tam anlamıyla felç olmuş durumda.

arkadaşlar, intellexa denen şirketin predator casus yazılımı hakkında çok ciddi bir haber var. bu yazılım ios’ta springboard’u (yani ios’un ana arayüzünü) hooklayarak kamera ve mikrofon kullanımı göstergelerini gizlemeyi başarmış. yani o yeşil/turuncu noktalar görünmüyor ama cihaz gizlice kamera ve mikrofon verilerini operatörlere yolluyor.

spoiler: bu çok ciddi bir güvenlik sorunu, çünkü ios’un en temel güvenlik göstergelerinden biri bypass edilmiş

ne oluyor yani?

şöyle ki, ios 14’ten beri biliyorsunuz, sağ üstte bir uygulama kamerayı kullanınca yeşil nokta, mikrofonu kullanınca turuncu nokta çıkıyor. bu sayede hangi uygulamanın bizi dinlediğini/izlediğini anlıyoruz. predator bu göstergeleri tamamen gizlemeyi başarmış.

arkadaşlar, 2025 sonu dark web forumlarında reklam yapılan “arkanix stealer” denen bir bilgi çalan malware varmış. ilginç olan tarafı: bu şey yapay zeka yardımıyla geliştirilmiş bir deney olarak ortaya çıkmış ve hızlıca batmış gitmişş.

ne olmuş yani

agalar, şöyle ki: 2025’in sonlarına doğru karanlık web forumlarında arkanix stealer diye bir info-stealer operasyonu boy göstermiş. klasik bilgi çalma işi yani - şifreler, çerezler, kripto cüzdanları falan. ama bu sefer işin içine yapay zeka girmiş.

ruslar yapay zeka kullanarak 600+ fortigate cihazını ele geçirmiş

arkadaşlar, çok ciddi bir durum var. rusça konuşan, para peşinde koşan bir grup saldırgan, yapay zeka araçlarını kullanarak 55 ülkede 600’den fazla fortigate cihazını ele geçirmiş. amazon threat intelligence ekibi 11 ocak - 18 şubat 2026 tarihleri arasında bu operasyonu tespit etmiş.

spoiler: evet, doğru okudunuz. saldırganlar chatgpt tarzı yapay zeka araçlarını kullanarak saldırı düzenliyor artık.

ne olmuş yani?

rusça konuşan, finansal motivasyonlu bir grup (yani para için yapıyorlar bunu), ticari yapay zeka servislerini kullanarak fortigate cihazlarına saldırmış. amazon’un threat intelligence ekibi bu aktiviteyi yaklaşık bir ay boyunca izlemiş.

arkadaşlar, grandstream marka ip telefonlarınız varsa hemen bu yazıyı okuyun. kritik seviyede bir açık bulunmuş ve kimlik doğrulama bile gerektirmiyor. yani saldırgan şifre falan bilmeden uzaktan root yetkisiyle kod çalıştırabiliyor. CVE-2026-2329 diye geçiyor bu açık.

şimdi “e ne olacak” demeyin, bu açık sayesinde aramalarınız dinlenebilir, kayıt altına alınabilir. hem de uzaktan, ağ üzerinden. ip telefon kullanan firmalar için ciddi bir mahremiyet sorunu bu.

teknik detaylar

zafiyet şöyle bir şey: kimlik doğrulama gerektirmeden (unauthenticated) uzaktan kod çalıştırma (RCE) yapılabiliyor. üstelik root yetkisiyle. yani saldırgan telefona tamamen hakim oluyor.

arkadaşlar, cuma günü cisa (amerikan siber güvenlik ajansı) roundcube mail sunucusunda aktif olarak sömürülen iki açığı kev kataloğuna ekledi. yani bu açıklar teorik değil, gerçekten kullanılıyor şu an.

spoiler: roundcube kullanıyorsanız hemen yamalayın, yoksa mail sunucunuz ele geçirilebilir.

ne var ne yok bu açıklarda

iki tane zafiyet var ortada:

CVE-2025-49113 - cvss skoru 9.9, yani kritik seviyede 🔴

• güvenilmeyen verinin deserializasyonu (deserialization of untrusted data) denen klasik açık var
• uzaktan kod çalıştırma (rce) imkanı sunuyor
• saldırgan mail sunucunuzda istediği komutu çalıştırabilir

CVE-2025-XXXXX (ikinci açık) - detaylar henüz tam açıklanmamış ama cisa eklediyse ciddiyedir

mongodb’de mongobleed adı verilen bellek sızıntısı açığı var. cve-2025-14847, cvss 8.7.

kimlik doğrulaması olmadan sunucu belleğinden hassas veri sızdırabiliyorsun. uzaktan.

censys’e göre 87 bin civarı potansiyel olarak etkilenen instance var. çoğu abd, çin, almanya, hindistan, fransa’da.

nasıl çalışıyor

mongodb sunucusuna bağlanıyorsun, özel hazırlanmış istek gönderiyorsun, sunucu belleğinden veri sızdırıyor.

ne tür veriler? db kimlik bilgileri, uygulama sırları, kullanıcı verileri, api anahtarları falan.

ne yapmalı

# versiyon kontrol
mongod --version
mongo --eval "db.version()"

önce mongodb’yi sadece localhost’ta dinlet:

fortinet bugün 2 kritik açık için uyarı yayınladı: cve-2025-59718 ve cve-2025-59719. her ikisi de cvss 9.8.

forticloud sso özelliği etkinse, özel hazırlanmış saml mesajı ile kimlik doğrulamasını atlayıp admin erişimi alabiliyorsun. kimlik doğrulamasına bile gerek yok.

3 gün sonra (12 aralık) aktif sömürü başladı. cisa 16 aralık’ta kev kataloğuna ekledi.

fortinet kod incelemesi sırasında kendisi bulmuş bu açıkları. iyi ki bulmuş.

etkilenenler

• fortios
• fortiweb
• fortiproxy
• fortiswitchmanager

cve-2025-59719 sadece fortiweb’i, cve-2025-59718 ise diğerlerini etkiliyor. aynı root cause.

react 19’da kritik rce açığı keşfedildi, adı react2shell. cve-2025-55182.

lachlan davidson bulmuş, 29 kasım’da react ekibine bildirmiş, bugün (3 aralık) açıklandı. açıklanmasından saatler sonra çin merkezli gruplar sömürmeye başlamış bile.

sorun react server components’in “flight” protokolünde. güvensiz deserialization var. yani varsayılan konfigürasyonda bile kimlik doğrulaması olmadan uzaktan kod çalıştırabiliyorsun.

next.js kullanan herkes risk altında. react 18 ve öncesi etkilenmiyor ama 19 kullananlar acilen güncellemeli.

wiz research, amazon threat intelligence, datadog hepsi doğruladı. halka açık exploit kodları var zaten.

şubat ayı ransomware açısından rekor kırdı. 1014 saldırı. yılın en kısa ayında.

qilin grubu birinci sırada, 1001 kurban. ikinci akira, üçüncü clop. medusa için fbi ve cisa ortak uyarı yayınladı.

dikkat çeken olaylar

anthony hastanesi (illinois): 6679 kişinin sağlık bilgileri sızdırıldı. çalışan e-postalarına sızmışlar.

episource: 27 ocak - 6 şubat arası veri sızıntısı. ransomware denmiş ama şirket teyit etmemiş. siber suçlu veriyi görüntülemiş ve dışarı aktarmış.

wakefield & associates: akira grubu üstlendi, 13 gb veri çaldıklarını iddia ettiler.