Son dönemde, Fortinet’in FortiSandbox siber tehdit tespit platformunda kritik güvenlik açıklarının istismar edilmeye başlandığı tespit edilmiştir. Bu durum, hem kurumsal hem de bireysel kullanıcılar için büyük bir güvenlik tehdidi oluşturmaktadır.

Saldırı Nasıl Çalışıyor?

Fortinet, 14 Nisan’da üç kritik güvenlik açığı için CVE-2026-39813, CVE-2026-39808 ve CVE-2026-25089 kodlarıyla güvenlik güncellemeleri yayınladı. Bu açıklar, kimlik doğrulaması yapılmamış tehdit aktörlerinin yetki yükseltmesi yaparak uzaktan yetkisiz kod çalıştırmasına olanak tanımaktadır. Saldırılar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıkta komut enjeksiyonu saldırılarıyla gerçekleştirilir.

Etkilenen Sistemler

Açıkların etkilediği sistemler şunlardır:

• FortiSandbox sürümleri
• FortiClient Enterprise Management Server (EMS)

Fortinet, bu açıkların istismar edildiğine dair yeni bir rapor aldığını belirtti. Özellikle CVE-2026-25089 için çalışan bir istismar henüz kamuya açıklanmamıştır. Ayrıca, CVE-2025-61624 koduyla bilinen orta seviye bir yol geçiş açığı da doğrulanmış durumdadır.

Çözüm ve Korunma

Bu güvenlik açıklarından korunmak için aşağıdaki adımlar izlenmelidir:

• Güncellemeleri uygulayın: Etkilenen sistemlerinizi en son sürümlere güncellemeyi ihmal etmeyin.
• Portları kapatın: Gerekli olmayan portları kapatarak saldırı yüzeyinizi azaltın.
• İzleme sistemlerini güçlendirin: Güvenlik çözümlerinizin etkinliğini artırmak için sürekli izleme yapın.

Bunların dışında, Fortinet, daha önce CVE-2026-26083 olarak bilinen ve uzaktan kod çalıştırma imkanı tanıyan bir başka kritik açığı da düzeltmiştir.

Sonuç

Sonuç olarak, Fortinet ürünlerinde bulunan bu kritik güvenlik açıkları, olası bir siber saldırının önünü açmaktadır. Kullanıcıların, güvenlik güncellemelerini hızlı bir şekilde uygulamaları ve yukarıda belirtilen önlemleri alarak sistemlerini güçlendirmeleri büyük önem taşımaktadır. Her zaman güvenlik duvarını etkin tutmayı unutmayın!

Son dönemlerde, Orta Doğu ve Kuzey Afrika bölgelerinde kullanıcıları hedef alan dolandırıcılık faaliyetleri artış göstermiştir. Bu tür saldırılar, sahte Facebook hesapları kullanarak tanınmış kişiler ve güvenilir kuruluşlar taklit edilerek yürütülmektedir.

Saldırı Nasıl Çalışıyor?

Güvenlik araştırmacıları, dolandırıcılık amacıyla kullanılan bu hesapların, sahte teklifler sunarak kullanıcıları kandırdığını belirtiyor. Kullanıcılar, aşağıdaki gibi sahte fırsatlara yönlendirilmekte:

• Ücretsiz mobil internet paketleri
• Mali tazminat
• Devlet destek programları

Bu tür sahtekarlıklar, Sniper Dz adlı “phishing-as-a-service” (PhaaS) platformuyla bağlantılıdır. Geçtiğimiz ay INTERPOL tarafından gerçekleştirilen bir operasyonda kapatılan bu platform, yalnızca kimlik avı amacıyla değil, aynı zamanda tarayıcı bildirimleri kötüye kullanarak ve premium SMS abonelikleri aracılığıyla yasa dışı gelir elde etme hedefi gütmektedir.

Hedef kullanıcılar, öncelikle enerji sağlayıcıları olarak Algérie Télécom gibi tanınmış markaları taklit eden dolandırıcılar tarafından yönlendirilmektedir. Sahte bağlantılar, kullanıcılara güvenilir görünen link toplama platformları üzerinden aktarılmaktadır.

Etkilenen Sistemler

Bu dolandırıcılık işlemleri, tarayıcı bildirim izinlerini sağlamak amacıyla kullanıcıların “Allow” butonuna tıklamasını gerektirmektedir. Bu aşamada, kullanıcıların web tarayıcıları, bir Voluntary Application Server Identification (VAPID) halkası üzerinden bir bildirim sistemi aboneliğine kaydolmaktadır.

Aynı VAPID anahtarının, farklı dolandırıcılık kampanyalarında kullanıldığı gözlemlenmiştir. Bu durum, dolandırıcıların paylaşılan bir bildirim altyapısı kullandıkları anlamına gelmektedir. Ayrıca, sahte geri butonlarıyla kullanıcılar kandırılarak, ziyaret edilen sayfalara yönlendirme yapılmakta ve istenmeyen reklamlar gösterilmektedir.

Çözüm ve Korunma

Bu tür saldırılara karşı aşağıdaki önlemleri almanız önerilmektedir:

• Tarayıcı güncellemelerini düzenli olarak yapın.
• Sahte bağlantılara tıklamaktan kaçının.
• Bilgisayar ve mobil cihazlarda güvenlik yazılımlarını aktifleştirin.
• Tarayıcı bildirim izinlerini dikkatli bir şekilde yönetin.

Kullanıcıların, bu tür dolandırıcılık girişimleri karşısında dikkatli olmaları ve emin olmadıkları bağlantılara tıklamaktan kaçınmaları büyük önem taşımaktadır. Bu tür dolandırıcılık operasyonlarının modern web teknolojilerini istismar ettiğini unutmamak gerekir. Cihazlarınıza zarar vermeden, daha dikkatli ve bilinçli bir internet kullanımı ile bu tür olayların önüne geçebilirsiniz.

Olayın Özeti

Bir eski bilişim çalışanı, Iowa’daki bir okul bölgesine karşı gerçekleştirdiği uzun süreli siber saldırılar nedeniyle 21 aya mahkum edildi. Bu saldırılar, sınıf operasyonlarını kesintiye uğratarak, hesap silmelere ve on binlerce dolarlık zararlara yol açtı.

Saldırı Nasıl Çalışıyor?

Yargı kayıtlarına göre, Ezekiel Dean Potter (34), 2022 Mayıs’tan 2023 Nisan’a kadar Saydel Topluluk Okul Bölgesi’nde kıdemli IT destek uzmanı olarak çalıştı. Çalışma süresi sona erdikten sonra, erişim bilgilerini saklayarak bölgenin sistemlerini 21 ay boyunca tekrarlayan saldırılarla hedef aldı.

• Saldırılar, Potter’ın bölgeden ayrılmasının ardından Saydel’in Facebook hesabının silinmesiyle başladı.
• Potter ayrıca bölgenin Apple School Manager hesabını hedef aldı; kullanıcı hesapları, şifreler ve diğer bilgileri sildi.
• Bölge, GoDaddy hesabı ve diğer çevrimiçi hizmetlere karşı yetkisiz erişim girişimleri de yaşadı.
• Potter, Schoology öğrenme yönetim sistemine, bir Google yönetici hesabı aracılığıyla erişerek, bir IT çalışanının hesabını silerek derslere zarar verdi.

Etkilenen Sistemler

Okul bölgesi, kullanıcıların kritik eğitim platformlarına erişimini kaybetmesinin yanı sıra, onarım için on binlerce dolarlık maliyetle de karşılaştı. Saldırılar, kurumsal IT sistemlerinde önemli güvenlik açıkları oluşturdu.

• Saldırılar sonucunda, Apple School Manager ve Schoology platformları büyük ölçüde etkilenmiştir.
• Saldırılar, hem mevcut hem de eski çalışanların Gmail hesaplarına zarar verdi.
• Bölge, Potter’ın diğer işverenleriyle ilişkilendirilen IP adresleri kullanarak da yetkisiz erişim girişimlerine maruz kaldı.

Çözüm ve Korunma

Potter’ın, Computer Fraud and Abuse Act altında bilgisayar dolandırıcılığı suçlamasıyla suçunu kabul etmesi sonrasında, 11 Haziran’da 21 aya mahkum edildi. Sözleşmesinin koşulları, işe alma, finans ve bilgisayar sistemleri ile ilgili kısıtlamalar ve izlemeleri içeriyor.

• Potter, Saydel Topluluk Okul Bölgesi’ne ve sigorta şirketine $59,668.81 tazminat ödemeye mahkum edildi.
• Saldırılara benzer olayların engellenmesi için güçlü erişim kontrol politikaları oluşturulmalıdır.

Sonuç

Kuruluşların, kullanıcı erişim bilgilerini düzenli olarak gözden geçirmesi ve eski çalışanların tüm erişim izinlerini derhal iptal etmesi kritik öneme sahiptir. Güvenlik yazılımlarını güncellemek ve ağ trafiğini izlemek için sistem güncellemeleri yapmayı ihmal etmeyin. Ayrıca, kullanıcı eğitimi ile saldırıların önüne geçilebilir.

Geçtiğimiz hafta, Arch User Repository (AUR) üzerinde 400’den fazla paket ele geçirildi ve bu paketlerin yapılandırma betikleri, kullanıcıların bilgisayarlarında yetkisiz bir credential stealer yükleyecek şekilde değiştirildi. Bu tür saldırılar, yazılım açıklarından ziyade güven modelini hedef alması nedeniyle büyük bir tehlike arz ediyor.

Saldırı Nasıl Çalışıyor?

Saldırganlar, terkedilmiş paketleri sahiplenerek, yapılandırma dosyalarını düzenlediler ve kullanıcıların kendilerinin çalıştırmasını sağladılar. Sonatype tarafından “Atomic Arch” olarak adlandırılan bu kampanyada, malwaresız gibi görünen bir yapı ile gerçekten zararlı olan bir yük, beraberinde getiriliyordu. Örneğin:

• Paketler, isimlerini ve geçmişlerini korudular, sadece yapılandırma talimatları değişti.
• Saldırganlar, yükleme sürecine npm install atomic-lockfile komutunu ekleyerek, gizli bir ikili dosyanın yüklenmesini sağladı.

Saldırının başarılı olmasının nedeni, AUR’un bir paketin adı ve geçmişine olan güvenidir. Kullanıcılar, kötü niyetli değişikliklerin bu güven modelini aşmasına izin verdi.

Etkilenen Sistemler

Etkilenen sistemler şunlardır:

• Arch Linux kullanıcıları, özellikle AUR üzerinden paket yükleyenler.
• Geliştirici istasyonları ve otomasyon sistemleri.
• Giriş bilgileri, oturum verileri ve çeşitli API anahtarları gibi hassas bilgilere sahip bilgisayarlar.

Etkilenen bazı paketler arasında alvr ve premake-git yer almaktadır.

Malware’nin Özellikleri

Zarar veren yazılım, geliştiricilerin gizli bilgilerini toplamak için tasarlanmış bir Rust ikilisi. Topladığı veriler arasında:

• Çerezler, belirteçler ve yerel depolama verileri (Chromium tabanlı tarayıcılar için)
• Electron uygulamalarından oturum verileri (Slack, Discord, Microsoft Teams vb.)
• GitHub, npm ve HashiCorp Vault belirteçleri
• SSH anahtarları, bilinen anahtarlar ve kabuk geçmişleri
• Docker ve Podman kimlik bilgileri ile VPN profilleri

Kayıp dosyalar HTTP üzerinden dışarı gönderilmektedir ve komut kontrol işlemleri Tor onion servisi aracılığıyla gerçekleştirilir.

Çözüm ve Korunma

Arch Linux yöneticileri, kötü niyetli commit’leri iptal etmeye ve kullanıcılardan şüpheli paketleri raporlamalarını istemeye başladılar. Bu aşamada yapılması gerekenler:

• 11 Haziran’dan itibaren yüklenmiş veya güncellenmiş AUR paketlerini topluluk paket listelerindeki bilinen kötü paketlerle kontrol edin.
• Eğer bir kötü niyetli paket çalıştıysa, bu host’un kredi bilgileri compromised olarak alın.
• Sistemde mevut olmayan systemd servislerini ve beklenmeyen dosyaları kontrol edin.
• Paket root olarak çalıştıysa, rootkit’in mevcut olduğunu varsayın ve güvenilir bir medya ile yeniden yükleme yapın.
• PKGBUILD ve .install çekirdeklerini okumadan herhangi bir paket yüklemeyin.

Ayrıca, ana yüklemenin SHA-256 değeri şu şekildedir: 6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b.

Saldırı, daha önce terkedilmiş projelerin kötüye kullanılması şeklinde hazırlanmış bir model ile gerçekleştirildi. Bu yüzden, kullanıcıların yeni yükleme yaparken daha dikkatli olmaları gerekiyor.