Son Dönem Siber Tehditler ve Bulunan Açıklar
Siber güvenlik, günümüz teknolojisiyle birlikte giderek daha önemli bir konu haline gelmiştir. Son zamanlarda, bazı araştırmacılar, bulut tabanlı tarama faaliyetlerinin detaylarını ortaya çıkardı. Bu faaliyetler, Mayıs 2025’te Japonya’dan gelen 251 kötü niyetli IP adresi tarafından gerçekleştirildi. Bu IP adresleri, Amazon sunucuları üzerinde barındırılıyor ve toplamda 75 ayrı "açık nokta"ya yönelik bir saptama gerçekleştirilmiştir.
Çok Yönlü Tarama Faaliyetleri
GreyNoise adlı tehdit istihbarat firması, bu tarama faaliyetlerini 8 Mayıs 2025 tarihinde gözlemlemiştir. Tarama etkinliği, sistemlerin güvenlik açıklarını hedef alarak çeşitli davranışlar göstermiştir. Örneğin, tanınmış CVE (Common Vulnerabilities and Exposures) açıklarının istismarına yönelik denemeler yanı sıra, yanlış yapılandırmalar için sorgulamaları içermektedir. Bu durum, tehdit aktörlerinin zayıf sistemleri tespit etmek amacıyla geniş bir yelpazede saldırılar gerçekleştirdiğinin bir göstergesidir.
Hedef Alınan Teknolojiler
Bu tarama faaliyetleri, çeşitli teknolojileri hedef almıştır. Hedef alınan bazı başlıca sistemler şunlardır:
- Adobe ColdFusion
- Apache Struts
- Apache Tomcat
- Drupal
- Elasticsearch
- Oracle WebLogic
Bu sistemlerin yanı sıra, CGI betik taramaları ve WordPress yazar kontrolleri gibi çeşitli tarama yöntemleri de kullanılmıştır. Tehdit aktörlerinin, teknolojileri ve sistemleri hedef alırken farklı yöntemler denemesi oldukça dikkat çekicidir.
Belirlenen Açıklar ve Güvenlik Riskleri
Bu tarama faaliyetleri sırasında, özellikle dikkat çeken bazı güvenlik açıkları şunlardır:
- Adobe ColdFusion – CVE-2018-15961 (Uzaktan kod yürütme)
- Apache Struts – CVE-2017-5638 (OGNL enjeksiyonu)
- Atlassian Confluence – CVE-2022-26134 (OGNL enjeksiyonu)
- Bash – CVE-2014-6271 (Shellshock)
- Elasticsearch – CVE-2015-1427 (Groovy sandbox oyuşturması ve uzaktan kod yürütme)
Bu açıklar, uygulamalarda bulunan yüksek riskli güvenlik sorunları olup, kötü niyetli kişilerin sistemleri istismar etmesine olanak tanıyabilir.
Tarama Faaliyetlerinin Özellikleri
Dikkat çeken bir diğer husus, bu geniş kapsamlı tarama faaliyetinin sadece 8 Mayıs tarihine özgü olmasıdır. Faaliyet öncesinde ve sonrasında herhangi bir artış gözlemlenmemiştir. GreyNoise, 295 IP adresinin CVE-2018-15961 için, 265 IP adresinin Apache Struts için ve 260 IP adresinin CVE-2015-1427 için tarandığını belirtmiştir. Özellikle, ColdFusion ve Struts arasında 262 IP adresinin örtüşmesi ve üç güvenlik açığı taraması arasında 251 IP adresinin örtüşmesi, aynı operatör veya araç setinin kullanıldığına işaret etmektedir.
Önlem Almanın Önemi
Bu tür siber saldırılara karşı savunma almak, her zaman için kritik bir öneme sahiptir. Örgütlerin, tespit edilen kötü niyetli IP adreslerini derhal engellemesi gerekmektedir. Ancak bu tür bir aktivitenin sona ermesi, yeni altyapılardan gelen çeşitli istismarların olabileceği gerçeğini asla göz ardı etmemelidir.
Siber güvenlik alanında alınacak önlemler arasında, sistem güncellemeleri, düzenli güvenlik taramaları ve yanlış yapılandırmaların hemen düzeltilmesi yer almaktadır. Ayrıca, çalışanların siber güvenlik konusunda sürekli eğitilmesi de gerekir.
Bu tarama olayları, siber saldırıların her geçen gün artan bir tehdit oluşturduğunu ve bu durumun ciddiye alınması gerektiğini bir kez daha gözler önüne sermektedir. Teknoloji geliştikçe, tehditler de evrim geçiriyor ve bu nedenle sürekli tetikte olmak ve güvenlik açıklarını kapatmak hayati bir önemdedir.
