Giriş
Son günlerde, açık kaynak araç olan LMDeploy‘da keşfedilen yüksek öncelikli bir güvenlik açığı, kamuya açıklanmasının üzerinden 13 saat geçmeden aktif olarak istismar edilmeye başlandı. Bu durum, siber güvenlik alanında acil önlemler alınması gerektiğini bir kez daha gözler önüne seriyor.
Açıklanan Güvenlik Açığı
CVE-2026-33626 olarak takip edilen bu güvenlik açığı, CVSS skoru 7.5 olan bir Server-Side Request Forgery (SSRF) açığıdır. Proje yöneticileri tarafından yapılan açıklamalara göre, bu açık, LMDeploy’nun görüntü-dil modülündeki load_image() fonksiyonunun, iç ve özel IP adreslerini doğrulamadan rastgele URL’ler çekmesine olanak tanıyarak, saldırganların hassas verilere erişmesine imkan sağlamaktadır.
Etkilenen Sistemler
Bu açık, tüm 0.12.0 ve öncesi versiyonlardaki görüntü-dil destekli araçları etkilemektedir. Açığın keşfi, Orca Security araştırmacısı Igor Stepansky tarafından gerçekleştirilmiştir.
Saldırı Nasıl Çalışıyor?
Etkili bir şekilde istismar edildiğinde, bu güvenlik açığı aşağıdaki gibi tehlikelere yol açabilir:
- Açık bulut kimlik bilgilerinin çalınması.
- İnternete kapalı olan iç hizmetlere erişim sağlanması.
- İç ağların port taraması yapılması.
- Yan hareket (lateral movement) fırsatları oluşturulması.
Sysdig güvenlik firması, açığın hemen ardından, 12 saat 31 dakika içinde ilk LMDeploy istismar girişimini tespit etti. Bu girişim, 103.116.72[.]119 IP adresinden gerçekleştirildi.
Önceki Saldırılar
Saldırganlar, 22 Nisan 2026 tarihinde, 03:35 UTC’de 10 farklı isteği, 3 aşamaya yayarak gerçekleştirmiştir:
- AWS IMDS ve Redis örneklerini hedef almak.
- Bir dış DNS geri çağrısıyla (OOB) egress denemesi yapmak.
- Loopback arayüzünü (“127.0.0[.]1”) taramak.
Bu durum, tehdit aktörlerinin yeni güvenlik açığı duyurularını dikkatle takip ettiğini ve düzeltmeler uygulanmadan önce istismar etme çabalarına girdiğini gösteriyor.
Diğer Hedefler
Aynı zamanda, bazı WordPress eklentilerinde de kritik güvenlik açıkları keşfedilmiştir. Örneğin, Ninja Forms – File Upload (CVE-2026-0740, CVSS skoru: 9.8) ve Breeze Cache (CVE-2026-3844, CVSS skoru: 9.8) eklentileri aracılığıyla saldırganlar, rastgele dosyalar yükleyerek site üzerinde tam kontrol sağlamaktadır.
Çözüm ve Korunma
Güvenliğini sağlamak isteyen kullanıcılar, aşağıdaki adımları izlemelidir:
- LMDeploy sürümünü 0.12.1 veya üzerini kullanarak güncelleyin.
- Açık portları kapatın ve gereksiz iç hizmetleri devre dışı bırakın.
- Ağınıza gelen istekleri sürekli izleyin ve şüpheli aktiviteleri tespit edin.
Sonuç
Kullanıcılar, yazılımlarını güncelleyerek ve güvenlik önlemlerini artırarak bu tür saldırılara karşı proaktif bir yaklaşım sergilemelidir. Hem bireysel hem de kurumsal düzeyde gerekli önlemleri almak, potansiyel tehditlerin önüne geçmek için kritik önem taşımaktadır.
