CISA’nın Kritik Güvenlik Açığı Uyarısı
CISA (Cybersecurity and Infrastructure Security Agency), ABD federal ajanslarına, Samsung’un kritik bir güvenlik açığını yamaları için acil bir çağrıda bulundu. Bu güvenlik açığı, maksimum siber tehdit potansiyeline sahip olan LandFall adlı casus yazılımın yayılmasında kullanılmakta ve WhatsApp kullanan cihazlara saldırılara yol açmaktadır.
CVE-2025-21042 Açığı Nedir?
Güvenlik açığı, CVE-2025-21042 olarak takip edilmektedir ve Samsung’un libimagecodec.quram.so kütüphanesinde bulunan bir “out-of-bounds write” hatasından kaynaklanmaktadır. Bu açık, saldırganların Android 13 ve sonraki sürümlerde çalışan cihazlarda uzaktan kod yürütme yeteneği kazanmasına olanak tanımaktadır.
Samsung, Meta ve WhatsApp Güvenlik Ekiplerinden gelen raporların ardından bu açığı Nisan ayında yamalamış olsa da, Palo Alto Networks’un Unit 42 ekipleri, bu açığın en az Temmuz 2024’ten beri kötüye kullanıldığını göstermiştir. Saldırganlar, WhatsApp üzerinden gönderilen kötü niyetli DNG görüntüleri aracılığıyla LandFall casus yazılımını kullanıcılara bulaştırmaktadır.
LandFall Casus Yazılımının Tehditleri
LandFall, mağdurların tarayıcı geçmişine, sesli aramalara, konum bilgilerine, fotoğraflara, rehberlere, SMS’lere, arama kayıtlarına ve dosyalara erişim sağlama yeteneğine sahip bir casus yazılımdır. Unit 42’nin analizine göre, bu casus yazılım çok sayıda Samsung amiral gemisi modeline yönelik saldırılar gerçekleştirmektedir. Bunlar arasında Galaxy S22, S23, S24 serisi, Z Fold 4 ve Z Flip 4 yer almaktadır.
Hedeflenen Bölge ve Olumsuz Etkiler
Unit 42 araştırmacıları tarafından incelenen VirusTotal örneklerinden elde edilen veriler, Irak, İran, Türkiye ve Fas’taki potansiyel hedefleri göstermektedir. Ayrıca, C2 (Command and Control) alan adı yapısı ve kayıt düzeninin, Birleşik Arap Emirlikleri kökenli Stealth Falcon operasyonlarıyla benzerlikler taşıdığı dikkat çekmektedir.
Malware loader bileşeninin “Bridge Head” adını taşıması, NSO Group, Variston, Cytrox ve Quadream gibi ticari casus yazılım geliştiricileri tarafından sıkça kullanılan bir isimlendirme şemasını işaret etmektedir. Ancak LandFall, şu anda bilinen herhangi bir casus yazılım sağlayıcısına yahut tehdit grubuna kesin olarak bağlanamamaktadır.
CISA’nın Önlemleri
CISA, CVE-2025-21042 açığını kendi <!–a rel=”nofollow” href=”https://www.cisa.gov/news-events/alerts/2025/11/10/cisa-adds-one-known-exploited-vulnerability-catalog” target=”_blank” rel=”nofollow noopener”>Bilinen Kötüye Kullanılan Güvenlik Açıkları Kataloğu–na ekleyerek, Federal Sivil İdare Dairesindeki (FCEB) ajansların bu güvenlik açığını 1 Aralık’a kadar yamalamalarını zorunlu kıldı. FCEB ajansları arasında Enerji Bakanlığı, Hazine Bakanlığı, İç Güvenlik Bakanlığı ve Sağlık ve İnsani Hizmetler Bakanlığı gibi askeri olmayan ajanslar bulunuyor.
CISA’nın bu bağlayıcı operasyonel direktifi sadece federal ajansları kapsamaktadır. Ancak CISA, tüm kuruluşları, bu güvenlik açığını mümkün olan en kısa sürede yamalamaya öncelik vermeleri konusunda uyarıda bulunmuştur. “Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sıkça kullanılan bir saldırı vektörüdür ve federal işletmeler için önemli riskler oluşturmaktadır,” şeklinde bir açıklama yapılmıştır.
Gelecekteki Riskler
Eylül ayında, Samsung’un başka bir libimagecodec.quram.so açığına (CVE-2025-21043) yönelik güvenlik güncellemeleri yayımladığı da belirtelim. Bu tür açıkların varlığı, siber güvenlik alanında sürekli bir tehdit algısı yaratmaktadır. Tüm kullanıcıların, güvenlik güncellemelerini zamanında uygularak bu tehditlerin önüne geçmeleri hayati önem arz etmektedir.
