google'ın 2025 sıfır-gün raporu: 90 tane açık sömürülmüş
arkadaşlar, google’ın threat intelligence ekibi (gtig) 2025 yılı raporunu yayınladı ve durum pek iç açıcı değil. geçen sene toplam 90 tane sıfır-gün açığı aktif olarak sömürülmüş. yani bunlar yamadan önce kullanılmış, kötü niyetli tipler keyfine bakmış.
en ilginç kısım şu: bu açıkların neredeyse yarısı kurumsal yazılımlarda ve cihazlarda bulunmuş. yani sizin vpn’leriniz, firewall’larınız, network cihazlarınız falan. spoiler: bunların çoğu internete açık sistemlerde sömürülmüş.
rakamlar ve dağılım
google’ın verilerine göre:
- 90 sıfır-gün açığı toplam sömürülmüş
- bunların %47’si (yani 42 tanesi) kurumsal yazılım ve appliance’larda
- %31’i tarayıcılarda
- %22’si mobil ve masaüstü işletim sistemlerinde
geçen seneye göre %10 artış var bu arada. 2024’te 81 tane sömürülmüştü.
en çok vurulan hedefler
| kategori | açık sayısı | oran |
|---|---|---|
| kurumsal yazılım/appliance | 42 | %47 |
| tarayıcılar | 28 | %31 |
| işletim sistemleri | 20 | %22 |
kurumsal tarafta en çok vurulanlar:
- ivanti ürünleri (connect secure, policy secure vs.)
- fortinet cihazları
- palo alto networks firewall’ları
- cisco ağ ekipmanları
- vmware sanallaştırma platformları
dikkat: bu cihazların çoğu internete açık olduğu için saldırganlar kolayca erişebiliyor.
saldırganlar kimler?
google’a göre bu sıfır-gün açıklarını kullananlar:
- devlet destekli gruplar (apt’ler) - en aktif olanlar çin, rusya, kuzey kore kaynaklı
- ticari spyware şirketleri - yani paraya çalışan gözetleme yazılımı yapan firmalar
- siber suç çeteleri - fidye yazılımı dağıtan, finansal kazanç peşinde koşan tipler
en aktif apt grupları:
- çinli gruplar: apt41, volt typhoon
- rus gruplar: apt28 (fancy bear), apt29 (cozy bear)
- kuzey koreli gruplar: lazarus, kimsuky
neden bu kadar çok sıfır-gün var?
google birkaç sebep sayıyor:
- tespit yetenekleri arttı - yani daha iyi yakalanıyor artık
- saldırganlar daha agresif - özellikle devlet destekli gruplar
- kurumsal yazılımlar hedef - çünkü bir açıkla binlerce şirkete girebiliyorsunuz
- internete açık sistemler - vpn’ler, firewall’lar hep dışarıya bakıyor
edit: google ayrıca şunu söylüyor: “sıfır-gün açıkları artık sadece çok gelişmiş saldırganların elinde değil, daha geniş bir kesim kullanabiliyor.”
ne yapmalısınız?
agalar, bu rapor sistem yöneticileri için uyandırma çağrısı. yapmanız gerekenler:
1. hemen yamalayın
# tüm sistemlerinizi güncelleyin
# öncelik sırası:
# 1. internete açık cihazlar (vpn, firewall, web sunucuları)
# 2. kritik altyapı (domain controller, veri tabanları)
# 3. kullanıcı cihazları
# güncelleme kontrolü (debian/ubuntu için)
sudo apt update && sudo apt list --upgradable
# red hat/centos için
sudo yum check-update
# windows için
# windows update'i açın ve tüm güncellemeleri yükleyin
2. internete açık sistemleri gözden geçirin
# hangi portların açık olduğunu kontrol edin
sudo netstat -tulpn | grep LISTEN
# gereksiz servisleri kapatın
sudo systemctl disable servis_adi
sudo systemctl stop servis_adi
3. log’ları inceleyin
özellikle şu cihazların log’larına bakın:
- vpn gateway’ler (ivanti, fortinet, palo alto)
- firewall’lar
- web application firewall’lar (waf)
- proxy sunucuları
anormal authentication denemeleri, başarısız login’ler, garip ip’lerden gelen istekler varsa alarm verin.
4. güvenlik katmanları ekleyin
- mfa (çok faktörlü kimlik doğrulama) her yerde aktif olsun
- network segmentation yapın, her şey her şeye erişemesin
- edr/xdr çözümleri kullanın
- vulnerability scanning düzenli yapın
5. vendor’ları takip edin
bu vendor’ların güvenlik bültenlerini takip edin:
- ivanti: https://forums.ivanti.com/s/topic/0TO4T000000LMJZWA4/security-advisories
- fortinet: https://www.fortinet.com/support/product-security-advisories
- palo alto: https://security.paloaltonetworks.com/
- cisco: https://sec.cloudapps.cisco.com/security/center/publicationListing.x
- vmware: https://www.vmware.com/security/advisories.html
ek öneriler
spoiler: bu sadece tespit edilen sıfır-gün açıkları. kim bilir daha kaçı var ortada.
- yedek alın: düzenli, test edilmiş, offline yedekler
- incident response planı: saldırı olduğunda ne yapacağınızı bilin
- threat intelligence: sektörünüze özel tehditleri takip edin
- security awareness: kullanıcılarınızı eğitin (phishing, sosyal mühendislik vs.)
sonuç
arkadaşlar, 90 sıfır-gün açığı çok ciddi bir rakam. özellikle kurumsal tarafta çok fazla hedef var. saldırganlar artık doğrudan network cihazlarınızı, vpn’lerinizi hedef alıyor çünkü oradan tüm ağa yayılabiliyorlar.
yapmanız gereken şey basit: sürekli güncel kalın, log’ları izleyin, gereksiz açık port bırakmayın.
bir de şunu unutmayın: bu açıkların çoğu internete açık sistemlerde sömürülmüş. yani eğer bir cihazınız internete bakıyorsa, o cihaz %100 güncel olmalı ve sıkı yapılandırılmış olmalı.
edit: google’ın tam raporunu okumak isterseniz: https://blog.google/threat-analysis-group/
bkz: sıfır-gün açıkları bkz: apt grupları bkz: kurumsal güvenlik
Bu içerik yapay zeka tarafından oluşturulmuştur.