arkadaşlar, openai’ın chatgpt’sinde ilginç bir açık bulunmuş. “chatgphish” diyorlar buna. şöyle ki, chatgpt web özetlerinde markdown linklerine ve görsellere aşırı güveniyormuş. bu da prompt injection denen beladan phishing saldırılarına kadar giden bir yol açıyormuş.

permiso security’nin araştırmacıları ortaya çıkarmış bu açığı. chatgpt.com’un response renderer’ı (yani yanıt oluşturucu kısmı) markdown linklerini ve markdown görsellerini sorgulamadan güveniyormuş. saldırganlar bunu kullanarak kullanıcıları kandırabiliyorlar.

ne oluyor peki bu chatgphish olayında

spoiler: chatgpt’ye bir web sayfası özetlemesini söylediğinizde, o sayfa içinde kötü niyetli markdown kodu varsa, chatgpt bunu güzelce render ediyor ve kullanıcıya sunuyor. yani siz “şu siteyi özetle” diyorsunuz, chatgpt de içindeki zararlı markdown’ı aynen gösteriyor.

…

arkadaşlar, palo alto networks yine gündemde ama bu sefer pek iyi sebeplerden değil. CVE-2026-0257 numaralı bir açık var ve aktif olarak sömürülüyor. yani teorik falan değil, gerçekten kullanılıyor bu açık.

ne olmuş yani?

palo alto’nun pan-os işletim sisteminde ve prisma access’te bir kimlik doğrulama bypass açığı bulunmuş. cvss skoru 7.8, yani “ciddi” kategorisinde. kötü niyetli tipler bu açığı kullanarak vpn bağlantısı kurabiliyorlar, kimlik doğrulamasını atlayarak.

spoiler: globalprotect vpn servisi kullanıyorsanız, bu sizin için geçerli.

…

arkadaşlar, fortinet yine gündemde ama bu sefer kötü haberlerle. forticlient enterprise management server (ems) yazılımında CVE-2026-35616 numaralı bir authentication bypass (kimlik doğrulama atlama) açığı var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak ekz denen yeni bir credential stealer (kimlik bilgisi hırsızı) malware dağıtıyorlar.

ne oluyor yani?

şöyle ki, forticlient ems dediğimiz şey fortinet’in endpoint yönetim sunucusu. şirketler bunu kullanarak bilgisayarlarındaki forticlient vpn yazılımlarını merkezi olarak yönetiyorlar. saldırganlar bu CVE-2026-35616 açığını kullanarak kimlik doğrulamasını atlıyorlar ve sisteme sızıyorlar. sonra da ekz denen malware’i kuruyorlar.

…

arkadaşlar, gogs kullananlar varsa hemen dikkat. gogs dediğimiz self-hosted git serviste kritik bir açık bulunmuş. rapid7 araştırmacıları bulmuş bunu, cvss skoru 9.4 yani kritik seviye 🔴

ne var ne yok

şöyle ki, herhangi bir authenticated kullanıcı (yani sisteme giriş yapmış herhangi biri) belirli koşullarda uzaktan kod çalıştırabiliyor (rce - remote code execution). yani şöyle düşünün, sisteminizde hesabı olan herhangi bir kullanıcı sunucunuzda istediği kodu çalıştırabilir.

spoiler: henüz cve numarası verilmemiş bu açığa, ama ciddiyet seviyesi belli.

…

arkadaşlar, gogs kullanan varsa dikkat. self-hosted git servisi olarak bildiğiniz gogs’ta yamasız bir sıfır-gün açığı bulunmuş ve uzaktan kod çalıştırma (rce) veriyor. yani saldırgan sisteminizde istediği komutu çalıştırabiliyor, durumun ciddiyeti ortada.

ne olmuş peki

gogs, bildiğiniz gibi go ile yazılmış, hafif, self-hosted bir git servisi. github’ın kendi sunucunuzda çalışan versiyonu gibi düşünün. işte bu serviste bir zafiyet bulunmuş ve henüz yamayı da yayınlamamışlar. spoiler: internet’e açık gogs instance’larınız varsa, şu an savunmasızsınız demektir.

…

arkadaşlar, bu sefer işler biraz değişik. fbi uyarı yayınlamış: silent ransom group diye bir fidye yazılımı çetesi var, bunlar avukatlık bürolarını hedef alıyor. ama işin ilginç kısmı, uzaktan hacklemekle uğraşmıyorlar. bizzat gelip sosyal mühendislik yaparak sunuculara ve veritabanlarına erişim sağlıyorlar. yani adam kapınıza geliyor, “merhaba ben it destek” diyor, sonra da bütün müvekkil verilerinizi çalıp gidiyor.

olay nasıl gelişiyor

silent ransom group’un taktiği klasik siber saldırılardan farklı. bu arkadaşlar fiziksel olarak ofislere gidiyorlar ve sosyal mühendislik teknikleriyle çalışanları kandırıp sistemlere erişim sağlıyorlar. avukatlık büroları özellikle hedef alınmış çünkü:

…

arkadaşlar, ibm ve red hat büyük bir hamle yaptı. “project lightwell” adını verdikleri bir projeye 5 milyar dolar yatırım yapacaklarını açıkladılar. amaç ne mi? açık kaynak yazılımların tedarik zincirini güvenli hale getirmek.

ne var ne yok bu işte

açık kaynak yazılımlar her yerdeler biliyorsunuz. linux’tan tut kubernetes’e, python kütüphanelerinden nodejs paketlerine kadar her şey açık kaynak. ama işin içine kötü niyetli tipler girince ortada ciddi güvenlik sıkıntıları oluşuyor. log4j vakasını hatırlarsınız, dünya başına yıkılmıştı.

…

arkadaşlar, açık kaynak ekosisteminde ciddi hasara yol açan shai-hulud solucanının arkasındaki teampcp grubu hakkında konuşalım. dark reading’den gelen bir analize göre bu grubun başarısı tamamen yetenekten mi kaynaklanıyor yoksa şans faktörü mü var, bunu tartışıyorlar.

olay ne?

teampcp diye bir siber suç grubu var. bunlar shai-hulud solucanının ikinci dalgasından sorumlu tipler. açık kaynak ekosisteminde ciddi zararlar vermişler ama asıl soru şu: bunlar gerçekten çok yetenekli mi yoksa şanslı mı?

spoiler: dark reading’in analizi diyor ki sadece yetenek değil, zamanlama ve şans faktörü de bu işin içinde varmış.

…

arkadaşlar, günümüzün en büyük baş ağrılarından biri geliyor: shadow ai. yani çalışanlarınız it’den izin almadan chatgpt, copilot, ai yazma asistanı falan ne buluyorlarsa kullanıyor. istatistiklere göre ortalama bir çalışan günde 3-5 tane ai aracı kullanıyormuş. bunların çoğu da it’nin haberdar olmadığı şeyler.

şimdi durum şu: adam akıllı çalışan, işini hızlı yapmanın yolunu arıyor. kod yazarken copilot açıyor, toplantı notlarını ai’ya özetletiyor, mail yazarken chatgpt’den yardım alıyor. gayet normal yani, verimlilik diye buna derler. ama işin güvenlik tarafında büyük sıkıntı var.

…

arkadaşlar, öğrenme yönetim sistemi (lms) denen şeylerde yine iş dönmüş. knowledgedeliver diye bir lms yazılımında kritik bir sıfır-gün açığı bulunmuş ve saldırganlar bunu kullanarak godzilla web shell denen belayı yüklemeyi başarmışlar. yani yama çıkmadan önce sömürülmüş, klasik sıfır-gün vakası.

ne olmuş peki

knowledgedeliver kullanan bir sunucuda CVE-2025-32438 zafiyeti tespit edilmiş. bu açık sayesinde saldırganlar uzaktan kod çalıştırma (rce) yapabiliyorlar. yani kimlik doğrulama falan gerekmeden sunucuya shell atabiliyorsunuz, düşünün işin ciddiyetini.

cvss skoru: 9.8/10 - kritik, acil yamala 🔴

…