check point vpn'de sıfır-gün açığı, qilin fidye çetesi işin içinde
arkadaşlar, check point’in vpn ürünlerinde kritik bir sıfır-gün açığı bulunmuş ve kötü haber: qilin fidye yazılımı çetesi bunu aktif olarak sömürmüş. israilli güvenlik firması check point acil yamayı yayınladı. remote access vpn ve mobile access kullananlar, hemen atlayın yamalara.
ne olmuş yani?
check point’in remote access vpn ve mobile access ürünlerinde kritik seviyede bir zafiyet keşfedilmiş. bu açık sıfır-gün olarak sömürülmüş, yani yamadan önce saldırganlar kullanmış bile. qilin ransomware grubu (bilirsiniz, geçen sene londra hastanelerine saldıran tipler) bu açığı kullanarak sistemlere sızmış ve fidye yazılımı dağıtmış.
spoiler: bu ciddi bir durum, çünkü vpn genelde dışarıdan erişim için kullanılır. yani saldırganlar direk ağınıza girebiliyor.
teknik detaylar
check point henüz cve numarası vermemiş ama şu bilgiler var:
- etkilenen ürünler: remote access vpn ve mobile access
- sömürü tipi: uzaktan kod çalıştırma (rce) olması muhtemel
- saldırgan: qilin ransomware çetesi
- durum: aktif sömürü var 🔴
qilin grubu, rusya merkezli bir fidye yazılımı operasyonu. geçtiğimiz aylarda sağlık sektörüne özel ilgi gösteriyorlardı. şimdi vpn açıklarıyla uğraşıyorlar.
etkilenen sistemler
| ürün | durum |
|---|---|
| check point remote access vpn | ✅ etkileniyor |
| check point mobile access | ✅ etkileniyor |
| diğer check point ürünleri | ⚠️ bilgi bekleniyor |
ne yapmalısınız?
hemen şunları yapın:
1. acil güncelleme
check point’in yayınladığı güvenlik güncellemesini hemen uygulayın. smart console üzerinden veya komut satırından yapabilirsiniz:
# önce mevcut versiyonu kontrol edin
fw ver
# yedek alın (ciddi ciddi, atlama bu adımı)
backup
# güncellemeyi indirin ve uygulayın
# check point support portal'dan son hotfix'i indirin
2. log kontrolü
saldırı olup olmadığını kontrol edin:
# vpn loglarını inceleyin
fw log -f
# şüpheli bağlantıları arayın
grep -i "authentication" /var/log/messages
grep -i "vpn" /var/log/messages
3. ioc taraması
qilin ransomware’in bilinen ioc’lerini (indicator of compromise) sistemlerinizde arayın. şüpheli dosya hash’leri, ip adresleri vs.
geçici çözümler (yamayı hemen uygulayamayanlar için)
eğer hemen yamalama şansınız yoksa:
- vpn erişimini kısıtlayın: sadece bilinen ip adreslerinden erişime izin verin
- mfa zorunlu yapın: çok faktörlü kimlik doğrulamayı aktif edin (zaten aktif olmalıydı ama neyse)
- network segmentasyonu: vpn’den gelen trafiği izole edin
- ids/ips kuralları: anormal vpn trafiğini tespit edecek kurallar ekleyin
# örnek: sadece belirli ip'lerden vpn erişimi
fw ctl zdebug + drop | grep vpn
dikkat: bunlar geçici çözümler, asıl çözüm yamayı uygulamak.
qilin hakkında
qilin (aka agenda) fidye yazılımı çetesi, 2022’den beri aktif. özellikle sağlık kurumlarını hedef alıyorlar. double extortion yöntemi kullanıyorlar: önce verileri çalıyorlar, sonra şifreleyip fidye istiyorlar. çalmadıkları veriyi de sızdırmakla tehdit ediyorlar.
geçen sene londra’daki synnovis laboratuvarlarına saldırıp binlerce ameliyatın ertelenmesine sebep olmuşlardı. yani ciddiye alınması gereken bir grup.
edit: qilin’in rust programlama diliyle yazılmış ransomware varyantları var. hem windows hem linux sistemleri hedef alabiliyorlar.
timeline
- mart 2025: qilin çetesi check point vpn açığını keşfediyor (tahmin)
- mayıs 2025: aktif sömürü başlıyor
- haziran 2025: check point açığı tespit edip yamayı yayınlıyor
- şimdi: biz burada konuşuyoruz, siz hala okuyorsunuz, gidin yamalayın 😊
kaynaklar
- bleepingcomputer - check point vpn zero-day
- check point security advisory (buradan güncellemeleri takip edin)
- cisa - known exploited vulnerabilities (muhtemelen yakında buraya da eklenecek)
sonuç
arkadaşlar, vpn’ler artık sadece uzaktan çalışma aracı değil, aynı zamanda kritik bir saldırı yüzeyi. check point kullananlar acil yamayı uygulasın. qilin gibi organize gruplar sürekli bu tür açıkları arıyor ve buluyor.
yapmanız gerekenler:
- ✅ hemen yamayı uygulayın
- ✅ logları kontrol edin
- ✅ mfa aktif olduğundan emin olun
- ✅ yedeklerinizi kontrol edin (ve offline yedek alın)
unutmayın: fidye yazılımı saldırılarının ortalama maliyeti 2025’te 5 milyon doları geçti. bir yama uygulamak 10 dakika, saldırıdan kurtulmak aylar sürer.
hadi kolay gelsin, iyi yamalamalar 🛠️
Bu içerik yapay zeka tarafından oluşturulmuştur.