ivanti cihazlarında resurge malware'i uyuyor olabilir, cisa uyardı

Posted on 28 Şub 2026

arkadaşlar, cisa yeni bir uyarı yayınladı ve ivanti connect secure cihazlarınızı kontrol etmeniz gerekiyor. resurge diye bir malware var ve bu şey cihazlarınızda uyuyor olabilir, yani sessiz sakin oturuyor ama her an aktif hale gelebilir.

ne olmuş yani?

şöyle ki, cve-2025-0282 diye bir sıfır-gün açığı var ivanti connect secure cihazlarında. saldırganlar bu açığı kullanarak resurge diye bir implant yerleştirmişler cihazlara. spoiler: bu malware sessiz kalabiliyor ve standart taramalarla bile tespit edilemiyor.

cisa’nın raporuna göre, bu implant öyle bir tasarlanmış ki:

  • dosya sisteminde gizli kalabiliyor
  • normal güvenlik taramalarından kaçabiliyor
  • uyku modunda bekleyebiliyor, sonra aktif oluyor
  • backdoor (arka kapı) olarak çalışıyor

zafiyet detayları:

  • cve: cve-2025-0282
  • cvss skoru: henüz belirlenmemiş ama kritik olarak değerlendiriliyor 🔴
  • sömürü durumu: aktif olarak sömürülüyor, sıfır-gün
  • etki: uzaktan kod çalıştırma (rce), tam sistem kontrolü

hangi sistemler etkileniyor?

sistem/üründurum
ivanti connect secure✅ etkileniyor
ivanti policy secure⚠️ kontrol edilmeli
diğer ivanti ürünleri⚠️ kontrol edilmeli

agalar ne yapacaksınız şimdi?

1. acil kontrol edin

önce cihazlarınızı kontrol edin, resurge var mı yok mu bakalım:

# ivanti cihazında log kontrolü
grep -r "suspicious_pattern" /var/log/

# dosya bütünlüğü kontrolü
# ivanti'nin integrity checker tool'unu kullanın
/opt/ivanti/ics/integrity-checker.sh

# aktif bağlantıları kontrol edin
netstat -antp | grep ESTABLISHED

2. yamayı hemen uygulayın

ivanti’nin yayınladığı yamayı acil uygulayın:

# yedek almadan yapmayın bu işi
# önce backup
tar -czf /backup/ivanti-backup-$(date +%Y%m%d).tar.gz /opt/ivanti/

# sonra güncelleme
# ivanti admin panelinden patch'i indirin ve uygulayın
# ya da cli üzerinden:
/opt/ivanti/ics/bin/update-manager --apply-security-patch

edit: yamayı uygulamadan önce mutlaka test ortamında deneyin, sonra production’da sıkıntı çıkarsa “ben uyarmadım mı” demeyin.

3. ioc (indicator of compromise) taraması yapın

cisa’nın paylaştığı ioc’leri kontrol edin:

# şüpheli dosya hash kontrolü
find / -type f -exec sha256sum {} \; | grep -f /tmp/resurge-hashes.txt

# anormal network aktivitesi
tcpdump -i any -w /tmp/capture.pcap
# sonra wireshark ile analiz edin

# beklenmedik scheduled task'ler
crontab -l
systemctl list-timers

4. forensic analiz

eğer malware bulursanız, cihaza dokunmayın:

# memory dump alın
dd if=/dev/mem of=/forensics/memory-dump-$(date +%Y%m%d-%H%M%S).raw

# disk image alın
dd if=/dev/sda of=/forensics/disk-image.raw bs=4M status=progress

# sonra bu imajları analiz edin ya da cisa'ya gönderin

geçici çözümler (yamayı hemen uygulayamayanlar için)

agalar, bazılarınız “ya production’dayız, şimdi yama vuramayız” diyebilir. anlıyorum ama en azından şunları yapın:

network seviyesi koruma

# sadece bilinen ip'lerden erişime izin verin
iptables -A INPUT -p tcp --dport 443 -s TRUSTED_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP

# rate limiting
iptables -A INPUT -p tcp --dport 443 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

izleme ve alerting

# sürekli log izleyin
tail -f /var/log/ivanti/*.log | grep -E "(error|warning|suspicious)"

# anormal aktivite için alert kurun
# siem'inize log gönderin, splunk/elk/whatever kullanıyorsanız

segmentasyon

  • ivanti cihazlarını ayrı bir vlan’a alın
  • internal network’ten izole edin
  • sadece gerekli portları açık tutun

dikkat: bunlar geçici çözümler, asıl çözüm yamayı uygulamak. “ben geçici çözümle idare ederim” diye düşünmeyin, bu malware sessizce bekliyor olabilir.

timeline (ne zaman ne oldu)

  • ocak 2025: cve-2025-0282 aktif olarak sömürülmeye başlandı
  • şubat 2025: ivanti yama yayınladı
  • 27 şubat 2025: cisa resurge malware detaylarını paylaştı ve “bu şey uyuyor olabilir” dedi

cisa’nın tavsiyeleri

cisa şunları söylüyor:

  1. acil yamayı uygulayın - “known exploited vulnerabilities catalog"a eklendi bu açık
  2. tüm ivanti cihazlarını tarayın - resurge olabilir
  3. network trafiğini izleyin - anormal aktivite var mı
  4. incident response planınızı hazırlayın - saldırı olursa ne yapacaksınız
  5. yedeklerinizi kontrol edin - temiz backup’ınız var mı

bkz

son söz

arkadaşlar, bu işi ciddiye alın. “bizde ivanti var ama bize bir şey olmaz” demeyin. resurge malware’i sessiz sakin oturuyor olabilir, yarın bir gün aktif hale gelir ve o zaman iş işten geçmiş olur.

yapmanız gerekenler:

  1. ✅ acil cihazları kontrol edin
  2. ✅ yamayı uygulayın (test sonrası)
  3. ✅ ioc taraması yapın
  4. ✅ network’ü izleyin
  5. ✅ yedek alın (zaten alıyorsunuzdur umarım)

şimdi hemen atlayın işe, sonra “keşke dinleseydim” demeyin.

edit: bazı arkadaşlar “biz ivanti kullanmıyoruz” diyebilir ama yine de okuyun bunu, başka sistemlerde de benzer saldırılar olabilir. ayrıca müşterilerinizde/partnerlerinizde ivanti varsa onları da uyarın.

stay safe agalar. 🛡️

Bu içerik yapay zeka tarafından oluşturulmuştur.