arkadaşlar, cisa (amerikan siber güvenlik ajansı) federal kurumlara 4 gün süre vermiş litespeed cpanel pluginindeki kritik açığı yamalamak için. ha bu arada spoiler: bu açık aktif olarak sömürülüyor, yani teorik değil, gerçek saldırılarda kullanılıyor şu an.

ne olmuş yani

litespeed cpanel user-end plugininde kritik bir zafiyet bulunmuş. CVE-2025-3484 numaralı bu açık sayesinde saldırganlar uzaktan kod çalıştırabiliyorlar (rce denen bela). cvss skoru 9.8, yani kritik seviyede 🔴

şöyle ki, bu plugin cpanel kullanan sunucularda yaygın bir şekilde kullanılıyor. litespeed web sunucusu için optimize edilmiş bir cache plugini. ama işte bir açık bırakmışlar ve kötü niyetli tipler bunu bulmuş, sömürmeye başlamışlar bile.

…

arkadaşlar, klasik ddos saldırıları yetmiyormuş gibi şimdi bir de yapay zeka destekli versiyonu çıktı. yani artık saldırganlar tek başına değil, ai ile beraber çalışıyorlar. daha hızlı, daha güçlü ve daha zor tespit edilebilir saldırılar yapıyorlar. the hacker news’e göre kötü niyetli tipler ai araçlarını kullanarak sistemlerdeki zayıf noktaları daha hızlı buluyor ve saldırılarını ona göre şekillendiriyorlar.

ne değişti peki

geleneksel ddos saldırıları belliydi, tahmin edilebilirdi. ama şimdi ai devreye girince işler karıştı:

…

arkadaşlar, cisa (yani amerikan siber güvenlik kurumu) federal kurumlara ultimatom vermiş durumda. drupal’da aktif olarak sömürülen bir sql injection açığı var ve çarşamba akşamına kadar yamalanması gerekiyor. spoiler: bu açık vahşi doğada aktif kullanılıyor, yani teorik bir şey değil.

ne olmuş yani?

drupal cms’inde (biliyorsunuz, wordpress’in biraz daha ciddi kuzenlerinden biri) kritik bir sql injection zafiyeti keşfedilmiş. CVE-2025-50329 numaralı bu açık, saldırganların veritabanına doğrudan erişim sağlamasına izin veriyor. yani klasik sql injection işte, ama aktif olarak kullanılıyor.

…

arkadaşlar, mfa (çok faktörlü kimlik doğrulama) diye bir şey çıkardık, “artık güvendeyiz” dedik. şifre çalınsa bile ikinci faktör olmadan giremezler diye düşündük. mantık yerindeydi aslında ama saldırganlar yeni bir yöntem bulmuş: ikinci faktörü çalmaya gerek yok, kullanıcıya onaylatıyorlar direkt. klasik sosyal mühendislik, yeni ambalaj.

olay ne tam olarak

şöyle ki agalar, saldırganlar kullanıcının şifresini ele geçirmiş diyelim (phishing, sızıntı, her neyse). normalde mfa devreye girer ve kullanıcının telefonuna onay bildirimi gelir. ama bu sefer saldırgan sürekli giriş denemesi yapıyor. kullanıcının telefonuna onlarca, yüzlerce bildirim geliyor.

…

arkadaşlar hollanda polisi büyük bir operasyon gerçekleştirdi ve 800 sunucuya el koydu. iki hosting firması sahibini tutukladılar, çünkü bu tipler rusya’nın avrupa birliği içinde siber saldırılar, etki operasyonları ve dezenformasyon kampanyaları düzenlemesine yardım etmişler.

spoiler: bu olay aslında yeni değil, krebs on security 2025’te bu adamları yazmıştı. stark industries solutions diye ab tarafından yaptırım yemiş bir internet servis sağlayıcısının teknik altyapısını devralarak işe devam etmişler.

ne oldu, nasıl oldu?

hollanda yetkilileri iki hosting şirketinin ortak sahiplerini tutukladı. bu arkadaşlar rusya’nın siber operasyonlarına altyapı sağlıyormuş. yani sunucuları, ip adreslerini, hosting hizmetlerini verip “buyrun abi, istediğiniz gibi kullanın” demişler.

…

arkadaşlar, ghost cms kullananlar için çok kötü bir haber var. CVE-2026-26980 diye bir kritik sql injection açığı bulunmuş ve şu anda aktif olarak sömürülüyor. büyük çaplı bir kampanya varmış, clickfix denen saldırı yöntemiyle birlikte kullanılıyormuş.

ne oluyor yani?

şöyle ki, saldırganlar bu CVE-2026-26980 açığını kullanarak ghost cms’in veritabanına kötü niyetli javascript kodu enjekte ediyorlar. klasik sql injection işte, ama sonuçları çok vahim. enjekte edilen javascript kodu clickfix denen bir saldırı akışını tetikliyor.

…

arkadaşlar, ghost cms kullanan varsa hemen kulak verin. CVE-2026-26980 diye bir zafiyet var ortada ve aktif olarak sömürülüyor. şimdiye kadar 700’den fazla site ele geçirilmiş, kötü niyetli javascript kodları enjekte edilmiş.

qianxin xlab’ın tespitine göre saldırganlar bu açığı kullanarak clickfix saldırıları düzenliyor. yani sitelerinize zararlı kod yerleştirip ziyaretçilerinizi kandırmaya çalışıyorlar.

ne bu açık, nasıl çalışıyor

CVE-2026-26980 açığı ghost cms’in content api’sinde bulunan bir sql injection zafiyeti. cvss skoru 9.4 yani kritik seviyede, boş durmayın.

…

arkadaşlar italya’dan ilginç bir haber geldi. cinemagoal diye bir korsan uygulama varmış, netflix, disney+, spotify gibi platformların hesap bilgilerini çalıyormuş. italyan polisi operasyon düzenlemiş ve tüm sistemi çökertmiş.

şimdi “ben sistem yöneticisiyim, korsan uygulama kullanmam” diyorsunuz biliyorum. ama bu olay aslında güvenlik açısından önemli çünkü:

1. kullanıcılarınız bu tür uygulamaları kullanıyor olabilir
2. bu uygulamalar kimlik bilgisi çalıyor
3. çalınan bilgilerle kurumsal hesaplara erişilebilir (şifre tekrarı yapan kullanıcılar var ya hani)

olay nasıl işliyormuş

cinemagoal uygulaması şöyle çalışıyormuş:

…

arkadaşlar, php laravel kullanan varsa hemen dinlesin. laravel lang diye popüler bir yerelleştirme (localization) paketi var, onu ele geçirmişler ve içine kimlik bilgisi çalan zararlı yazılım koymuşlar. github’daki version tag’lerini kötüye kullanarak composer üzerinden dağıtmışlar bu zararlıyı. ciddi ciddi kontrol edin projelerinizi.

ne olmuş yani?

saldırganlar laravel lang paketlerinin github deposuna sızmış. sonra ne yapmışlar? version tag’lerini manipüle ederek composer’a sahte sürümler yollamışlar. yani siz composer update dediğinizde meşru paket yerine zararlı paket gelmiş sisteminize. klasik supply chain attack yani, ama bu sefer hedef php/laravel ekosistemi.

…

arkadaşlar, github npm için ciddi güvenlik özellikleri eklemiş. artık paket yayınlamadan önce 2fa ile onay zorunlu olacak ve paketler aşamalı olarak yayınlanacak. supply chain saldırılarına karşı güzel bir hamle olmuş.

ne var ne yok

github, npm için “staged publishing” denen bir özellik getirmiş. yani şöyle ki, bir paket yayınlamak istediğinizde direkt npm registry’e düşmüyor. önce bir onay aşamasından geçiyor ve insan bir maintainer 2fa challenge’ını geçmeden paket herkese açılmıyor.

spoiler: bu özellik artık genel kullanıma açık, yani herkes kullanabilir.

…