Giriş

WordPress ortamında kullanılan Gravity SMTP eklentisindeki güvenlik açığı, yaklaşık 100,000 web sitesini etkilemektedir. Bu zafiyet, yetkisiz kullanıcıların hassas verilere erişmesine neden olarak, sitelerin güvenliğini ciddi şekilde tehdit etmektedir.

Saldırı Nasıl Çalışıyor?

Bu güvenlik açığı, CVE-2026-4020 kodu ile izlenmekte olup, CVSS puanı 5.3 olan orta şiddette bir bilgi sızıntısı zafiyetidir. Kötü niyetli aktörler, https:///wp-json/gravitysmtp/v1/tests/mock-data adresindeki REST API uç noktasını kullanarak, herhangi bir kimlik doğrulama gerektirmeksizin aşağıdaki hassas bilgilere ulaşabilmektedirler:

• PHP sürümü
• Yüklenmiş uzantılar
• Web sunucusu sürümü
• Belge kökü yolu
• Veritabanı sunucusu tipi ve sürümü
• WordPress sürümü
• Tüm etkin eklentiler ve sürümleri
• Etkin tema
• WordPress yapılandırma detayları
• Veritabanı tablo isimleri
• Eklenti içinde yapılandırılan API anahtarları/tokens (Amazon SES, Google, Mailjet, Resend, Zoho vb.)

Saldırganlar bu bilgileri kullanarak, sitenin e-posta hizmetlerini kötüye kullanma veya daha geniş kapsamlı saldırıları planlama olanağı bulabilmektedir.

Etkilenen Sistemler

Bu güvenlik açığı, Gravity SMTP eklentisinin 2.1.5 sürümünden önceki versiyonlarını kullanan tüm WordPress sitelerini etkilemektedir. Kesinlikle korunma yöntemleri alınmadığı takdirde, kullanıcıların siteleri büyük bir tehdit altındadır.

Çözüm ve Korunma

Gravity SMTP eklentisi için bir yamanın yayınlandığı 2.1.5 sürümüne güncellenmesi önerilmektedir. Eklentiyi güncellediğinizde, şu adımları izleyin:

• Eklentiyi en son sürüme güncelleyin.
• Üçüncü parti e-posta entegrasyonları için kullanılan kimlik bilgilerini değiştirin.
• Sunucu log dosyalarını, yukarıda belirtilen IP adreslerinden gelen şüpheli istekleri inceleyin.

Son olarak, Wordfence’in veri tabanından, bugüne kadar 17 milyondan fazla exploit denemesi engellediğini belirtmekte fayda var; bu saldırılar, Mayıs 2026’nın başında başlamış ve Haziran 6, 2026’da zirveye ulaşmıştır.

Aksiyon

Eğer Gravity SMTP eklentisinin etkilenmiş bir versiyonunu kullanıyorsanız, acilen güncelleme yapmalısınız. Ayrıca, üçüncü parti e-posta entegrasyonlarınız için kullanılan kimlik bilgilerini değiştirerek olası bir saldırıyı önleyebilirsiniz. Sunucunuzda herhangi bir anomali tespit ederseniz, gerekli önlemleri acilen almanız gerekmektedir.

Özellikle Dikkat Edilmesi Gereken Siber Tehditler

Son dönemde, Çin bağlantılı bir casusluk grubunun Kuzey Amerika’daki tıbbi, akademik ve askeri araştırma ağları içinde bir yıl boyunca gizlice hareket ettiği ortaya çıktı. Bu grup, hassas araştırmalar ve savunma e-postalarını çalmayı başardı.

Saldırı Nasıl Çalışıyor?

Saldırganlar, REDCap araştırma sunucularında bir arka kapı kullanarak giriş yaptılar ve bu sayede oturum açma kimlik bilgilerini çaldılar. İlginç olan ise, saldırganların kurbanların kendi Google Workspace kurallarını yeniden yapılandırarak, belirledikleri anahtar kelimeleri içeren her mesajı, kontrol ettikleri bir gelen kutusuna kopyalamalarıydı.

Google’ın Tehdit İstihbarat Grubu (GTIG), bu kampanyayı yayınladığı raporda detaylandırarak, bu grubu UNC6508 olarak tanımladı. Saldırganın kullandığı REDCap arka kapısı, daha önce de hasar vermek amacıyla kullanılmıştı.

Etkilenen Sistemler

Saldırganlar, özellikle dışarıya bakan REDCap sunucularını hedef almışlardır. Google, başlangıç erişim vektörünü belirleyemedi ancak grubun eski, savunmasız sistemleri taradığını gözlemledi. Yaklaşık üç ay sonra, GTIG tarafından çağrılan özel bir kötü amaçlı yazılım olan INFINITERED kuruldu. Bu yazılım, REDCap’ın kendi sistem dosyalarını trojanlaşarak aşağıdaki işlemleri gerçekleştirdi:

• Güncelleme işlemini ele geçirerek, her yeni REDCap sürümünde kodun yeniden yerleştirilmesini sağladı.
• Giriş sayfasından kullanıcı adlarını ve şifreleri toplayarak, bunları yerel veri tabanı tablolarında şifreli bir şekilde sakladı.
• HTTP çerezleri üzerinden komut alarak arka kapı işlevi gördü ve her sayfa yüklemesinde çalıştığı için sürekli erişim sağladı.

Çalınan E-posta Nasıl Elde Edildi?

E-posta bilgileri, zaten mevcut olan bir özellik aracılığıyla çalındı. UNC6508, Google Workspace yöneticisi tarafından gönderilen içerik uygunluğu kurallarını kötüye kullanarak e-posta anahtar kelimelerini taradı ve eşleşen mesajları, sessiz bir şekilde, kontrol ettikleri Gmail adresine BCC olarak gönderdi. Bu süreçte herhangi bir kötü amaçlı yazılım kullanmadılar; sadece Google Workspace’in yerleşik bir özelliğini kullandılar.

Bu teknik, MITRE tarafından e-posta ile yönlendirme kuralı suistimali olarak biliniyor. Ancak GTIG, burada dikkat çekici olanın, bir Çin bağlantılı aktörün içerik uygunluğu kurallarını bu amaçla kullanması olduğunu vurguladı.

Çözüm ve Korunma

Kullanıcıların REDCap üzerinde başlayarak aşağıdaki adımları izlemeleri önemlidir:

• Dışarıya bakan sunucuları güncelleyin ve eski sürümleri tamamen kaldırın; yalnızca mevcut versiyonların yanında tutmayın.
• Google Workspace veya eşdeğer bir platform üzerinde içerik uygunluğu ve e-posta yönlendirme kurallarını kontrol edin.
• Yönetici denetim günlüklerini inceleyin; yalnızca şu anki kurallar değil, değişikliklerin ne zaman yapıldığını da kontrol edin.
• GTIG’nin yayımladığı göstergeleri takip edin ve INFINITERED aramaları yapın.
• Yönetici hesaplarına phishing saldırılarına karşı dayanıklı çok faktörlü kimlik doğrulaması (MFA) ekleyin.

Google, UNC6508’in REDCap sunucularına nasıl ilk erişim sağladığını henüz tam olarak bilemiyor. Ancak, bir saldırgan yönetici erişimi sağladığında, bulut hizmetinin yerleşik bir özelliği gizlice bir veri sızdırma yolu haline gelebilir. Bu nedenle, defenderların yalnızca REDCap arka kapısını değil, aynı zamanda e-posta yönlendirme kuralının kullanımını da denetlemeleri gerekmektedir.

Kuzey Kore menşeli siber tehdit grupları, son zamanlarda geliştirici topluluklarına yönelik geniş kapsamlı phishing saldırıları düzenlemektedir. Bu tür saldırıların, veri hırsızlığı ve finansal kazanç sağlama amacı taşıdığı gözlemlenmektedir.

Saldırı Nasıl Çalışıyor?

Yeni keşfedilen UNK_DeadDrop kodlu kampanya, Kuzey Kore’nin “Contagious Interview” adıyla bilinen tehdit kümesiyle ilişkili olarak açıklandı. Araştırmalara göre, gelişimci rolü sunarak phishing e-postaları gönderen saldırganlar, hedeflerine Microsoft Visual Studio Code (VS Code) projelerini kötü amaçlı yazılımlar yüklemek için kullanmaktadır. Bu, kullanıcının etkileşimini gerektirmeden her açılışta otomatik olarak zararlı kodların çalıştırılmasına neden olmaktadır.

Etkilenen Sistemler

Aşağıdaki sistemler hedef alınmıştır:

• macOS
• Linux
• Windows

Saldırı, GitHub üzerindeki kötü niyetli depo bağlantıları aracılığıyla gerçekleştirilmektedir. Ayrıca, Overlord adlı bir açık kaynak çerçeve kullanılarak, işletim sistemine özgü zararlı yazılımlar yüklenmektedir.

Çözüm ve Korunma

Saldırının önüne geçmek için aşağıdaki önlemler alınmalıdır:

• Tüm yazılımlarınızı ve işletim sisteminizi güncel tutun.
• Kimlik avı e-postalarına karşı dikkatli olun ve tanımadığınız kaynaklardan gelen bağlantılara tıklamayın.
• VS Code gibi geliştirme ortamlarınızı güvenli yapılandırmalarla kullanın, özellikle eklentileri dikkatle kontrol edin.

Ayrıca, ağ güvenlik duvarlarını güncellemek ve gereksiz portları kapatmak da önemlidir.

Sonuç

Geliştirici toplulukları için büyük bir tehdit oluşturan bu kampanyalara karşı dikkatli olunması gerekmektedir. Derhal yazılımlarınızı güncelleyerek, port kapatarak ve bilinçli davranarak bu tür saldırılara maruz kalma riskinizi azaltabilirsiniz.

Son dönemde, Çin menşeli bir casusluk kampanyasının, Kuzey Amerika’daki bir tıbbi kurumun REDCap sunucularını hedef alarak Infinitered zararlısını dağıttığı ve hassas verileri çaldığı tespit edilmiştir. Bu olay, sağlık ve bilim araştırmaları için kritik bir platformun nasıl tehdit edildiğini ve siber güvenlikteki önemli riskleri gözler önüne sermektedir.

Saldırı Nasıl Çalışıyor?

Araştırmacılar, saldırıyı gerçekleştiren aktörlerin UNC6508 adını verdiği bir tehdit aktörü tarafından yönetildiğini belirlemiştir. Ancak, tam başlangıç kompakt noktası tespit edilmemiştir; bununla birlikte, REDCap’ın eski sürümlerini hedef alarak sistem üzerinde keşif yapıldığı görünmektedir.

Elde edilen verilere göre, tıbbi araştırma kuruluşunun ihlali Eylül 2023‘te gerçekleşmiş ve kötü niyetli aktiviteler Kasım 2025‘e kadar devam etmiştir. Saldırganlar, ilk ihlalin ardından üç ay içerisinde REDCap sistemleri için özel olarak geliştirilmiş Infinitered zararlısını devreye almışlardır.

Infinitered, üç ana bileşenden oluşmaktadır:

• Kalıcılık/güncelleme modülü
• Kullanıcı kimlik bilgilerini toplama aracı
• Arka kapı (backdoor)

Arka kapı, HTTP çerezleri aracılığıyla komutlar alır ve UNC6508‘e aşağıdaki yetenekleri sağlar:

• Shell komutları çalıştırma
• REDCap sunucusuna dosya yükleme
• Sunucudan dosya indirme
• Rasgele SQL sorguları çalıştırma
• Çalınan kimlik bilgilerini geri alma
• Çalınan kimlik kaydı silme
• Sistem ve veritabanı bilgilerini döndürme

Bu saldırının dikkat çekici bir yönü, bulut tabanlı kurumsal ürünlerde bulunan geçerli ‘içerik uyumluluk kuralları’ özelliğinin kullanılmasıdır. UNC6508, “Patroit” adını verdiği bir içerik uyumluluk kuralı oluşturarak, belirli anahtar kelimeleri ve içerik kalıplarını taramaya başlamıştır. Eşleşme durumunda, veriler otomatik olarak bir başka e-posta adresine (şu anda Google tarafından devre dışı bırakılmış) BCC olarak gönderilmiştir.

Etkilenen Sistemler

Araştırma, REDCap platformunun tıbbi ve bilimsel araştırmalarda yaygın olarak kullanıldığını ve bu platform aracılığıyla elde edilen verilerin hassasiyetine vurgu yapmaktadır. GTIG, birçok Amerika Birleşik Devletleri ve Kanada’daki kuruluşların Infinitered zararlısı ile ihlal edildiğini bildirmiştir.

Çözüm ve Korunma

REDCap yöneticilerine tavsiye edilenler şunlardır:

• En güncel versiyonlara güncelleme yapın.
• Eski uygulamaların kaldırılmasını sağlayın.
• Yüksek ayrıcalıklı hesaplarda çok faktörlü kimlik doğrulama (MFA/2SV) kullanın.
• Oturum kaçırma saldırılarını önlemek için Aygıt Bağlı Oturum Kimlik Bilgilerini (DBSC) kullanın.

Ayrıca, YARA kuralları ve zarar gören göstergeler (IoC’ler), sistemlerin Infinitered zararlısı için taranmasına yardımcı olmak amacıyla raporda yer almaktadır.

Sonuç

Bu olay, sağlık alanındaki siber güvenlik tehditlerinin ciddiyetini bir kez daha göstermektedir. Okuyucularımızın, sistemlerini güncelleyerek ve eski sürümleri kaldırarak, ek önlemler alması büyük önem taşımaktadır. Ayrıca, böyle ihlallerin yeniden yaşanmaması için sürekli izleme ve önlem alınması gerektiği unutulmamalıdır.