Tehdit İstihbaratı: Apache Tomcat Manager Hedef Alınıyor
Son dönemde siber güvenlik alanında önemli gelişmeler yaşanmaktadır. GreyNoise isimli tehdit istihbaratı firması, Apache Tomcat Manager arayüzlerine yönelik koordineli brute-force saldırıları hakkında uyarılarda bulunmuştur. 5 Haziran 2025 tarihinde, bu tür saldırılarda ve girişimlerde önemli bir artış gözlemlendiği belirtilmektedir. Bu durum, geniş çapta Tomcat hizmetlerine ulaşma çabası olarak değerlendirilmektedir.
Bu süreçte, o günde 295 farklı IP adresinin Tomcat Manager’a saldırı girişiminde bulunduğu tespit edilmiştir. Bu IP’lerin tümü zararlı olarak sınıflandırılmıştır. Son 24 saat içinde ise 188 farklı IP adresinin benzer girişimlerde bulunduğu kaydedilmiştir. Bu adreslerin büyük bir kısmı Amerika Birleşik Devletleri, Birleşik Krallık, Almanya, Hollanda ve Singapur gibi ülkelerde bulunmaktadır.
Brute-Force Saldırılarının Yaygınlığı
Daha da ilginç bir durum ise, Tomcat Manager’a yönelik 298 farklı IP adresinin giriş denemeleri gerçekleştirdiğinin gözlemlenmesidir. Son 24 saat içinde tespit edilen 246 IP adresinin de tamamı zararlı olarak tanımlanmış ve aynı coğrafi bölgelerden geldiği rapor edilmiştir. Bu saldırıların hedef ülkeleri arasında Amerika Birleşik Devletleri, Birleşik Krallık, İspanya, Almanya, Hindistan ve Brezilya bulunmaktadır. GreyNoise, bu tür aktivitenin önemli bir kısmının DigitalOcean altyapısından geldiğini vurgulamaktadır.
GreyNoise‘un yaptığı açıklamada, bu davranışın belirli bir güvenlik açığına bağlı olmadığı, ancak kesinlikle açık Tomcat hizmetlerine yönelik süregelen bir ilgi olduğunu ifade edilmiştir. Geniş kapsamlı ve fırsatçı saldırıların, gelecekteki istismarlar için bir ön uyarı niteliği taşıdığı belirtilmektedir.
Öneriler ve Önlemler
Açık Tomcat Manager arayüzlerine sahip olan kuruluşlara, olası riskleri azaltmak adına güçlü kimlik doğrulama ve erişim kısıtlamaları uygulamaları önerilmektedir. Ayrıca, şüpheli aktiviteleri izlemek de ihlalleri önlemek için kritik öneme sahiptir. Siber güvenlik uzmanları, bu tür hizmetlerin korunmasına yönelik daha fazla önlem alınmasını önermektedir.
Güvenlik Kameralarının Açık Erişimi
Bu açıklamanın yanı sıra, Bitsight isimli başka bir güvenlik firması, internette açık bir şekilde erişilebilir durumda bulunan 40,000’den fazla güvenlik kamerası tespit ettiklerini bildirmiştir. Bu durum, genel olarak herhangi birinin bu cihazların canlı video akışlarına ulaşmasına olanak tanımaktadır. Açık erişimlerin çoğunluğu Amerika Birleşik Devletleri, Japonya, Avusturya, Çek Cumhuriyeti ve Güney Kore gibi ülkelerde yoğunlaşmaktadır.
Telekomünikasyon sektörü, açık güvenlik kameralarının %79’unu oluştururken, bunu teknoloji %6, medya %4.1, kamusal hizmetler %2.5, eğitim %2.2, iş hizmetleri %2.2 ve hükümet %1.2 ile takip etmektedir. Kurulumlar ise; konut, ofis, toplu taşıma sistemleri ve fabrika ortamları gibi çeşitli ortamlarda yapılmakta ve bu durum, hassas bilgilerin sızmasına zemin hazırlamaktadır.
Kullanıcıların Alması Gereken Önlemler
Kullanıcılara, varsayılan kullanıcı adları ve şifrelerin değiştirilmesi, gerekmediği taktirde uzaktan erişimin devre dışı bırakılması (veya güvenlik duvarları ve VPNlerle kısıtlanması) ve yazılımın güncel tutulması önerilmektedir. Güvenlik araştırmacısı João Cruz tarafından yapılan bir raporda, bu kameraların genellikle güvenlik veya kolaylık amacıyla tasarlandığı ancak çoğu zaman sahiplerinin bilgisi dışında hassas alanlara açık pencereler haline geldiği belirtilmiştir. "Bireylerin veya kuruluşların bu tür bir cihaza ihtiyaç duymasının sebepleri ne olursa olsun, herhangi birinin bunları satın alıp takması ve minimum ayarlarla yayın yapmaya başlaması, bu tehdidin devam etmesine neden olan bir durumdur."
Bu bilgiler ışığında, hem itibariyle hem de güvenlik açısından dikkatli olunması gereken bir dönemde olduğumuz aşikârdır. Siber güvenlik önlemlerinin artırılması, kişisel ve kurumsal bilgilerin korunması açısından her zamankinden daha büyük bir önem taşımaktadır.
