Son zamanlarda popüler Node.js sandbox kütüphanesi vm2’de kritik bir güvenlik açığı keşfedildi. Bu açık, saldırganların sandbox ortamını aşarak hedef sistemde rastgele kod çalıştırmalarına olanak tanımaktadır.

Saldırı Nasıl Çalışıyor?

Güvenlik sorunu, CVE-2026-26956 kodu ile takip edilmektedir ve etkilenen versiyon 3.10.4 olarak belirtilmiştir; ancak, daha önceki sürümler de etkilenebilir. Açık, Node.js 25 (onaylı olarak Node.js 25.6.1) sürümlerinde WebAssembly istisna işleme ve JSTag desteği etkin olan ortamları etkilemektedir.

vm2, güvenilmeyen JavaScript kodlarını kısıtlı bir sandbox ortamında çalıştırmak için kullanılan açık kaynaklı bir Node.js kütüphanesidir. Bu kütüphane, çevrimiçi kodlama platformları, otomasyon araçları ve kullanıcı tarafından sağlanan betikleri çalıştıran SaaS uygulamaları gibi alanlarda sıklıkla kullanılmaktadır. Kütüphane, sandboxed kodu hedef sistemden izole etmeyi ve duyarlı Node.js API’lerine (örneğin, process ve dosya sistemi) erişimi engellemeyi amaçlamaktadır.

Etkilenen Sistemler

Güvenlik açığı, vm2 kütüphanesinin sandbox ile ana sistem arasındaki istisna yönetimine hatalı bir yaklaşımından kaynaklanmaktadır. CVE-2026-26956 açığı sayesinde, etkileyici bir TypeError tetiklenerek, ana sistemdeki hata objesinin sandbox ortamına izinsiz bir şekilde sızması sağlanabilir. Bu sızan nesne, ana sistemden geldiği için, saldırganlar Node.js iç yapılarına (örneğin, process objesine) erişim sağlayarak, hedef sistemde rastgele komutlar çalıştırabilir.

Çözüm ve Korunma

Vm2 kullanıcılarının, bu güvenlik açığının istismar edilme riskini azaltmak için en kısa sürede v3.10.5 veya üzeri bir versiyona güncelleme yapmaları önerilmektedir. Mevcut en son sürüm ise v3.11.2‘dir. Ayrıca, bu yıl başında vm2’de başka bir kritik sandbox kaçışı hatası daha kaydedilmiştir; bu hata CVE-2026-22709 kodu ile takip edilmektedir. Önceki sandbox kaçışı hataları arasında CVE-2023-30547, CVE-2023-29017 ve CVE-2022-36067 bulunmaktadır.

Bu durum, JavaScript sandbox ortamlarında güvenilmeyen kodların güvenli bir şekilde izole edilmesinin zorluklarını gözler önüne sermektedir. Tüm bu sebeplerden dolayı, kullanıcıların gerekli güncellemeleri hemen yapmaları ve uygulamalarında ek güvenlik önlemleri almaları büyük önem taşımaktadır.

Şifre denetimleri, güvenlik programlarının vazgeçilmez bir parçasıdır ve kuruluşların uyumluluğunu kanıtlamalarına yardımcı olurken riski azaltmalarına da katkı sağlar. Ancak, bu denetimlerin sonuçlarında yer alan hesaplar, saldırganların hedeflediği hesaplarla her zaman örtüşmeyebilir.

Saldırı Nasıl Çalışıyor?

Geleneksel şifre denetimleri genellikle şifrelerin güç durumunu belirleyen kurallarla başlar: minimum uzunluk, karmaşıklık gereksinimleri, döngü politikaları ve yaygın zayıf seçeneklere karşı kontroller. Ancak, bu denetimler sonlandığında, saldırganların hedefledikleri kritik zayıflıkları gözden kaçırmış olurlar:

• Yeniden kullanılan şifreler
• Daha önce ihlal edilen hesap bilgileri
• Kuruluş veya sektöre bağlı tahmin edilebilir şifre örüntüleri

Bir şifre, tüm uyumluluk şartlarını sağlıyor olabilir fakat bağlamda kolayca tahmin edilebilirken, örneğin bir hastanede çalışanın kullandığı Healthcare123!, teknik olarak karmaşıklık kurallarını karşılayabilir, ancak saldırganlar bunu kolayca kırabilir.

Hatırlatmak gerekirse, bir şifre “güçlü” görünse bile, zaten sızdığı bir ihlalde ortaya çıkmışsa, saldırganlar kolayca giriş yapabilir. Bir çalışmada, 800 milyon bilinen ihlal edilmiş şifrenin %83’ü başka uyumluluk gereksinimlerini karşılamaktadır.

Etkilenen Sistemler

Geleneksel denetimlerde, hesapların sadece aktif kullanıcılar arasında olduğu varsayılmaktadır. Ancak, birçok ortamda mevcut aktif hesaplar, aktif çalışanlara ait olmayabilir.

Saldırganlar bu durumu biliyor, bu nedenle “yetim” hesaplar oldukça cazip hedeflerdir. Eski çalışanlara, yüklenicilere ait hesaplar veya normal kimlik süreçlerinin dışında çalışan gölge BT hesapları, kurumsal ortamlarda oldukça yaygındır.

Yetim hesaplar, dikkat çekmeden aylardır veya yıllarca sessiz kalabilir. Bu hesaplar genellikle eski şifreler gibi zayıf kontrol yöntemlerine sahip olabilir. Eğer bir saldırgan eski bir yüklenici hesabına geçerli kimlik bilgileri bulursa, bu durumda ciddi bir tehdit oluşturabilir.

Çözüm ve Korunma

Şifre denetimleri, yalnızca “aktif kullanıcılar” ile sınırlı kalmamalı, aynı zamanda etkin olmayan, dışarıdan gelen ve insan kaynaklarıyla bağlantılı olmayan hesapları da içermelidir. Şifre kontrollerinin düzenli erişim gözden geçirmeleri ile otomatik devre dışı bırakma süreçleriyle birleştirilmesi, hesap güvenliğindeki en göz ardı edilen açıkları kapatmaya yardımcı olur.

Önemli Riskler ve Denetim Esnasındaki Kaçırılan Noktalar

Hizmet hesapları, kullanıcı odaklı şifre denetimlerinde sıklıkla göz ardı edilir. Ancak, bu hesaplar genellikle aşırı yetkilere sahip olmasının yanı sıra, şifrelerin asla süresi dolmaması gibi durumlarla da ilişkilidir. Saldırgan açısından, bir hizmet hesabının ele geçirilmesi, uzun dönemli erişim sağlarken, ayrıcalıklı bir kullanıcı oturumunun getirdiği görünürlük veya inceleme ile birlikte gelmemektedir.

Bu sebeplerden ötürü, organizasyonlar bir şifre denetimini geçebilirken, en riskli hesaplar etkili bir şekilde yönetilmemektedir.

Güçlü bir şifre denetiminin, sürekli bir izleme öğesine sahip olması gerekir. Bu, kimlik bilgilerini güncellenmiş ihlal verileri ile düzenli olarak kontrol etmeyi, şüpheli giriş örüntülerini takip etmeyi ve şifre güvenliğini sürekli bir kontrol olarak görmeyi içermelidir.

Şifre Denetimlerini Güvenli Bir Şekilde Nasıl Yapmalı?

Eğer amaç, sadece bir değerlendirmeyi geçmek değil, aynı zamanda ihlal olasılığını azaltmak ise, denetimlerin saldırganların operasyon biçimlerini yansıtması gerekmektedir. En azından, şifre denetimleri şu unsurları içermelidir:

• Bilinmiş ihlal verilerine karşı şifre kontrolü, sadece karmaşıklık kuralları yerine
• Yüksek değerli ve ayrıcalıklı hesapları önceliklendirme, tüm kullanıcıları eşit şekilde değerlendirmek yerine
• Yetim ve etkin olmayan hesapları içermeli, sadece aktif çalışanlar yerine
• Hizmet hesaplarını açıkça kapsamalı, özellikle yüksek yetkililere sahip olanlar için
• Sürekli izlemeyi entegre etmeli, belirli dönemsel görüntüler yerine
• MFA dayanıklılığını göz önünde bulundurmalı, özellikle hassas sistemler için

Çözüm olarak, Specops Password Auditor gibi çözümler, organizasyonların şifre sağlığını değerlendirerek, inaktif ayrıcalıklı yönetici hesapları veya ihlal edilmiş şifreler gibi güvenlik açıklarını belirlemelerine yardımcı olur.

Sonuç olarak, şifre güvenliğine dair atılacak adımlar, güncellemeler yapmak, eski veya zayıf hesapları devre dışı bırakmak ve sağlam bir izleme süreci oluşturmak olacaktır.

Parolalar, kullanılabilirlik ile güvenlik arasında sürekli bir gerilim noktası oluşturur. Güçlendirilmiş kimlik doğrulama önlemleri, karmaşıklığı artırarak kullanıcıları tanıdık kalıplara yönlendirirken, bu da genellikle tahmin edilebilir parolaların oluşturulmasına neden olmaktadır.

Saldırı Nasıl Çalışıyor?

Saldırganlar, kullanıcıların parolalarını oluştururken sıkça kullandığı bağlamsal dil kalıplarını tanımaktadır. Bu saldırılar genellikle karmaşık tahmin algoritmaları yerine, daha basit bir yöntemle başlar: Hedef organizasyonun dilini toplayarak, hedefe yönelik parolalar üretmek.

• Özelleştirilmiş Kelime Listesi (CeWL) gibi araçlar, bu süreci etkili ve tekrar edilebilir hale getirir.
• CeWL, şirketlerin dijital varlıklarından kelimeler toplayarak yapılandırılmış listelere dönüştürme kapasitesine sahiptir.

Etkilenen Sistemler

Saldırganlar, CeWL aracılığıyla bir kuruluşun kamuya açık dijital varlıklarından terminoloji toplar. Bu terminoloji, genellikle aşağıdaki kaynakları içerir:

• Şirket hizmet tanımları
• Belgelere yansıyan iç terimler
• Sektöre özgü dil

Bu tür bir yöntem, parolaların oluşturulmasında kullanılan kelime gruplarını gerçekçi hale getirir.

Çözüm ve Korunma

Bağlamsal kelime listesi saldırılarına karşı savunmak için, parolaların oluşturulmasına yönelik kontrol mekanizmaları uygulamak gereklidir:

Bilinen Kompromize Parolaları Engelleme

Kullanıcıların şirket adı, ürün adı ve sektör terimleri gibi belirli terimlere dayanan parolalar oluşturmasını engelleyin. Ayrıca, verilerde daha önce görünmüş şifreleri de bloklayın.

Minimum Uzunluk ve Karmaşıklık Kuralları Uygulama

En az 15 karakterden oluşan şifreler talep edin. Uzunluk ve tahmin edilemezlik, kaba kuvvet yöntemlerine karşı en iyi korumayı sağlar.

Çok Faktörlü Kimlik Doğrulama (MFA) Sağlama

MFA, kullanıcıları daha etkili bir şekilde korurken, parolaların tek başına kimlik doğrulama faktörü olarak kullanılmasını önler.

Sonuç

Siz kullanıcılar, parolalarınızı oluştururken bağlamsal kelimelerden kaçınmalı ve kuruluşunuzun parolalar için daha sağlam güvenlik politikaları oluşturmasını sağlamalısınız. Güncellemeleri yaparak ve çok faktörlü kimlik doğrulama gibi ek güvenlik katmanları kullanarak, hesabınızı siber saldırılara karşı daha dayanıklı hale getirin.

Son yıllarda siber güvenlik tehditlerinin evrimi, saldırganların temel stratejilerini optimize etmesiyle dikkat çekiyor. Özellikle yapay zeka destekli saldırılar, geleneksel yöntemlere yeni bir boyut kazandırırken, güvenlik önlemlerinin yeterliliği sorgulanmaktadır.

Saldırı Nasıl Çalışıyor?

Güvenlik sektörü, “yeni” tehditlerle ilgili yoğun tartışmalar yapsa da, 2025 yılındaki en etkili saldırıların aslında 2015’ten çok da farklı olmadığı görülmektedir.  CVE-2023-12345  gibi güncel güvenlik açıkları, saldırganların hâlâ aynı giriş noktalarını kullandığını, fakat bu sefer daha etkili bir şekilde gerçekleştirdiklerini göstermektedir. Ayrıca,  Shai Hulud NPM  kampanyası, tedarik zinciri güvenliği konusunun önemini bir kez daha ortaya koymuştur.

Etkilenen Sistemler

Aşağıdaki sistemler, mevcut tehditlerden etkilenmektedir:

• NPM paketleri: Tek bir kötü amaçlı paket, binlerce projeye zarar verebilir.
• Geliştirici hesapları: Phishing saldırıları sayesinde, bir geliştirici sadece bir tıklamayla yetkilendirilmiş paketlere erişim kaybedebilir.
• Web tarayıcı eklentileri: Resmi mağazalarda bile kötü amaçlı yazılımlar sıkça görülmektedir.

Çözüm ve Korunma

Siber güvenlik uzmanlarının, aşağıdaki temel önlemleri alması gerekmektedir:

• Güncellemeleri zamanında yapmak: Yazılımlarınızı ve bağımlılıklarını sürekli güncel tutun.
• Güvenlik izinlerini gözden geçirmek: Eklentilerin ve uygulamaların ne tür verilere eriştiğini kontrol edin.
• Phishing’e karşı bilinçlenmek: Kullanıcıları, kötü amaçlı bağlantılara karşı eğitin.

Saldırganlar, temel stratejilerini optimize etme konusunda bir adım önde. Savunma tarafındaki uzmanlar, yenilik peşinde koşmak yerine temel sorunları çözmeye odaklanmalıdır. Bu, öncelikle izin modelinin düzeltilmesi, tedarik zinciri doğrulamasının güçlendirilmesi ve phishing’e karşı dayanıklı kimlik doğrulama yöntemlerinin varsayılan hale getirilmesini içermektedir.

Sonuç olarak, savunucuların güncellemeleri zamanında yapmaları ve sistemlerini sürekli olarak gözden geçirmeleri kritik bir öneme sahiptir. Sızma testleri ve düzenli güvenlik denetimleri ile sisteminizi koruma altına alabilirsiniz.