Botnet, birden fazla cihazın bir araya gelerek oluşturduğu kötü niyetli bir ağdır. Bu ağ, siber suçlular tarafından kullanılan kontrol sistemlerinden oluşur. Botnetler, genellikle virüs, truva atı veya diğer kötü amaçlı yazılımlar aracılığıyla oluşturulur. Bu kötü amaçlı yazılımlar, hedef bilgisayarlara bulaşarak onları uzaktan kontrol edebilmek için bir komut ve kontrol (C2) sunucusuna bağlanır.

Bu tür ağlar, kullanıcıların ve sistemlerin güvenliğini tehdit ederken, aynı zamanda siber suçlulara geniş bir yelpazede kötü amaçlı işlemler gerçekleştirme fırsatı sunar. Örneğin, botnetler, DDoS saldırıları, spam e-postaları gönderme, kimlik avı gibi çeşitli yasadışı faaliyetlerde kullanılabilir.

SistemBC ve REM Proxy ile İlişkisi

SistemBC, botnet dünyasında önemli bir yere sahip olan bir kötü amaçlı yazılımdır. SystemBC, C programlama dilinde geliştirilmiştir ve enfekte olmuş bilgisayarları SOCKS5 proxy’lerine dönüştürme yeteneğine sahiptir. Bu sayede, enfekte cihazlar komut ve kontrol (C2) sunucularıyla iletişim kurarak ek yükler indirme imkanı bulur. REM Proxy, bu kötü amaçlı yazılımdan güç alan bir proxy ağıdır ve kullanıcılarına geniş bir botnet sunmaktadır.

Lumen Technologies’in Black Lotus Labs ekibi tarafından yapılan raporlara göre, REM Proxy yaklaşık 80.000 cihazdan oluşmaktadır. Bu ağ, kullanıcılarına yaklaşık 20.000 Mikrotik yönlendirici ve çeşitli açık proxy hizmetleri sunmaktadır. Bu tür bir yapı, siber suçluların daha fazla olumlu sonuç elde etmeleri için gerekli olan kaynakları sağlamaktadır.

Enfekte Cihazların Amacı ve Kullanım Alanları

SistemBC botneti, cihazları kullanarak yüksek hacimli kötü amaçlı trafiği yönlendirmektedir. Bunun yanı sıra, hedeflenmiş hizmetler için özel olarak tasarlanmış proxy’ler sağlamaktadır. Bu tür bir ağın önemli bir kullanımı, WordPress siteleri için kimlik bilgilerini zorlamak amacıyla kullanılmaktadır.

Kötü niyetli aktörler, barındırılan kurban bilgilerini toplayarak bu bilgileri diğer siber suçlulara satışa sunmaktadır. Bu, botnetin temel amacı olup, elde edilen kimlik bilgileri ile daha önce enfekte olmayan sitelere kötü niyetli kodlar enjekte edilebilir.

Güvenlik Açıkları ve Tehditler

SistemBC botnet sistemi, kurbanlarının çoğunun çeşitli bilinen güvenlik açıklarına sahip olduğunu göstermektedir. Ortalama olarak, her bir kurban 20 yamanmamış CVE ve en az bir kritik CVE ile karşı karşıyadır. Örneğin, Atlanta şehrinde bulunan bir VPS sunucusu, 160’tan fazla yamanmamış CVE ile vulnerable durumdadır. Bu durum, botnetin büyümesini kolaylaştıran bir etken olmaktadır.

Burada önemli olan, farklı siber tehdit aktörlerinin bu botnetten nasıl yararlandığıdır. Örneğin, Russian-based proxy hizmetleri ve Vietnam merkezli VN5Socks gibi diğer botnetlerin kullanıcıları da bulunmaktadır. Bu durum, proksiler aracılığıyla yüksek hacimli kötü niyetli trafiğin yönlendirilmesini daha da kolaylaştırmaktadır.

Botnetin Büyümesi ve Sürekliği

SistemBC, yıllar içinde sürdürülen faaliyetleri ile cyber tehdit manzarasında kendisine kalıcı bir yer edinmiştir. Uygulanan faaliyetlerin kısa süre içinde tekrarlanabilir olması, botnetin sürekli olarak büyümesine olanak tanımaktadır. Özellikle uzun süreli süreçlerde, kurbanların ortalama enfeksiyon süreleri 31 günden fazla olmaktadır.

Bu durum, SistemBC’nin sadece bir zaman diliminde değil, yıllar içinde de büyük bir tehdit haline gelmesini sağlamaktadır.

Sonuç Olarak

Günümüzde botnetlerin etkileri, ele geçirilen cihazların kontrol altında tutulmasıyla birlikte giderek daha karmaşık hale gelmektedir. SistemBC gibi önemli botnet yapıları, siber güvenlik dengesini sarsmakta ve bireylerden kuruluşlara kadar geniş bir kitleyi hedef almaktadır. Bunun önüne geçmek için, kullanıcıların ve şirketlerin güçlü güvenlik önlemleri alması ve sistemlerini düzenli olarak güncellemeleri gerekmektedir. Yalnızca teknik anlamda değil, farkındalık düzeyinin artırılması da bu tür tehditlere karşı önemli bir adım olacaktır.

Güncel Siber Güvenlik Haberleri – 1

Wing FTP Server, güvenli dosya transferlerini yönetmek için tasarlanmış güçlü bir çözümdür. Ancak, CVE-2025-47812 koduyla bilinen kritik bir uzaktan kod yürütme zafiyeti, siber suçluların bu servisi istismar etmesine neden olmaktadır. Bu zafiyet, teknik detaylarının yayımlanmasının üzerinden yalnızca bir gün geçtikten sonra kullanılmaya başlanmıştır.

Remote Code Execution Zafiyeti (CVE-2025-47812)

CVE-2025-47812, sıfır baytı ve Lua kod enjeksiyonu kombinasyonu ile uzaktan bir saldırganın sistem üzerinde en yüksek ayrıcalıklar ile (root/SYSTEM) kod yürütmesine imkan tanır. Güvenlik araştırmacısı Julien Ahrens, bu zafiyetin C++ dilinde güvenli olmayan sıfır sonlu dizelerin işlenmesi ve Lua’da yetersiz girdi temizleme işlemlerinden kaynaklandığını açıklamıştır. Araştırmacı, kullanıcı adı alanına eklenen bir sıfır baytının kimlik doğrulama kontrollerini atlatabileceğini ve oturum dosyalarına Lua kodu enjekte edebileceğini göstermiştir.

Geçmişteki Diğer Zafiyetler

Julien Ahrens, CVE-2025-47812 dışında Wing FTP ile ilgili üç başka zafiyeti de ortaya koymuştur:

1. CVE-2025-27889 – Bu zafiyet, kullanıcıların bir login formu gönderdiğinde şifrelerinin kötü amaçlı bir URL aracılığıyla dışarıya sızdırılmasına yol açmaktadır.

2. CVE-2025-47811 – Wing FTP varsayılan olarak root/SYSTEM olarak çalışmakta ve bu durum sandoxing ya da ayrıcalık düşürme işlemleri olmaksızın RCE’leri daha tehlikeli hale getirmektedir.

3. CVE-2025-47813 – Aşırı uzun bir UID çerezi sağlamak, dosya sistemi yollarını açığa çıkarmaktadır.

Yukarıda bahsedilen zafiyetlerin tamamı, Wing FTP’nin 7.4.3 ve daha eski sürümlerini etkilemektedir. Bu sorunlar, 14 Mayıs 2025 tarihinde 7.4.4 sürümü yayımlandığında düzeltildi; ancak, CVE-2025-47811 zafiyeti önemsiz olarak değerlendirilmiştir.

Saldırıların Tekrarı ve Siber Tehditler

Huntress isimli siber güvenlik platformunun araştırmacıları, CVE-2025-47812 zafiyetine yönelik gerçekleştirilmiş bir kanıt-örneği (proof-of-concept) oluşturmuşlardır. 1 Temmuz tarihinde, teknik detayların yayımlanmasından sadece bir gün sonra, en az bir saldırgan bu zafiyeti kullandı.

Saldırgan, ‘loginok.html’ sayfasına yönlendiren, sıfır baytı eklenmiş kullanıcı adlarıyla junk (boş) login talepleri göndermiştir. Bu girişler, sunucuya kötü amaçlı .lua oturum dosyaları oluşturmuş ve bu dosyalara Lua kodu enjekte edilmiştir. Enjekte edilen kod, bir yükü hex-decoded (hex kod çözme) etmek ve bunu cmd.exe üzerinden çalıştırmak amacıyla tasarlanmıştır.

Huntress araştırmaları, aynı Wing FTP örneğinin kısa bir zaman dilimi içinde beş ayrı IP adresi tarafından hedef alındığını ve bu durumun birkaç tehdit aktörünün kitlesel tarama ve istismar girişimlerini gösterdiğini belirtmiştir. Saldırganlar, istihbarat toplama, ortamda süreklilik sağlama ve cURL aracı ile veri dışalımı yapma girişimlerinde bulunmuşlardır.

Öneriler ve Alınması Gereken Önlemler

Huntress, gözlemlenen saldırılara rağmen, saldırganların henüz başarılı olamamış olabileceğini belirtmiştir. Ancak, her ne kadar saldırılar başarısız olmuş olsa da, siber tehdit aktörlerinin ulaşılabilir Wing FTP örneklerini taramaya devam edeceği düşünülmektedir. Şirketlerin mümkün olan en kısa sürede 7.4.4 sürümüne geçiş yapması şiddetle tavsiye edilmektedir. Eğer yeni ve güvenli bir sürüme geçiş mümkün değilse, Huntress araştırmacıları, Wing FTP web portalına HTTP/HTTPS erişimini devre dışı bırakmayı, anonim oturumları kapatmayı ve oturum dizinini şüpheli eklemeler için izlemeyi önermektedir.

Sonuç

Siber güvenlik alanındaki zafiyetler, özellikle geniş çaplı dosya transfer çözümleri için ciddi tehditler oluşturmaktadır. Wing FTP Server’daki bu kritik zafiyet, şirketlerin veri güvenliğini sağlamak adına hızlı ve etkili önlemler alması gerektiğini ortaya koymaktadır. Yüksek riskli durumlar karşısında her zaman güncel yazılımlarla çalışmak, olası tehditleri minimize etmek için en etkili yoldur.

Güncel Siber Güvenlik Haberleri – 2

CVE-2025-27610 Açıklaması

CVE-2025-27610, Rack Ruby web sunucusu için kritik bir yol geçişi (path traversal) güvenlik açığıdır. Bu açık, saldırganların belirli koşullar altında, belirtilen kök dizin altındaki tüm dosyalara erişmesine olanak tanır. Eğer bir saldırgan, dosya yollarını belirleyebilirse, bu açık sayesinde hassas bilgiye ulaşabilir. Rack::Static middleware, kullanıcılardan alınan yolları temizlemeden dosyaları sunmakta, bu da saldırganların özel olarak hazırlanmış bir yol sağlamasına olanak tanımaktadır. Dolayısıyla, açık, saldırganların sistemde hassas dosyalara erişim sağlamasına yol açabilir.

CVE-2025-27111 Açıklaması

CVE-2025-27111, hatalı bir CRLF (carriage return line feed) dizisini nötralize etme sorunu ve hatalı bir günlüklere çıkış nötralizasyonu açığıdır. Bu güvenlik açığı, saldırganların log kayıtlarını manipüle etmesine ve log dosyalarını çarpıtmasına sebep olabilir. Log sistemlerine yapılan bu tür müdahale, olayların izinin kaybolmasına ve siber güvenlik uzmanlarının tespit etme yeteneğinin kısıtlanmasına yol açabilir. Saldırganlar, bu açığı kullanarak sistem aktive edebilir veya gizli bilgileri karartabilir.

CVE-2025-25184 Açıklaması

CVE-2025-25184, yine bir CRLF dizisinin hatalı nötralizasyonu sorunu ile ilgilidir ve log kayıtlarını manipüle etmede kullanılabilir. Saldırganlar, bu açık aracılığıyla kötü niyetli veriler enjekte edebilir, bu da sistemin güvenilirliğini tehlikeye atar.

Bu Güvenlik Açıkları Neleri Kapsar?

Bu üç güvenlik açığı, saldırganların sistemde zararlı manipülasyonlar yapmasına olanak tanır. Eğer başarılı bir şekilde istismar edilirlerse, sistemin günlük kayıtlarını bozabilir, rastgele dosyaları okuyabilir veya kötü niyetli kodları ekleyebilirler. Böyle bir durum, verilerin ihlali veya sistemlerin etkisiz hale getirilmesi gibi ciddi sonuçlar doğurabilir.

Önerilen Önlemler Nelerdir?

Bu tür güvenlik açıklarıyla karşılaşmamak için aşağıdaki önlemler alınabilir:

1. Güncellemeleri Kontrol Edin: Rack platformunun en güncel versiyonunu kullanmak büyük önem taşır. Geliştiriciler, güvenlik açıklarını kapatmak için düzenli olarak güncellemeler yayınlamaktadır.

2. Yığın Kullanımını Kaldırın: Eğer güncelleme yapılması mümkün değilse, Rack::Static kullanımından vazgeçilmesi veya kök dizinin yalnızca kamuya açık dosyalarla sınırlı bir dizine işaret ettiğinden emin olunmalıdır.

3. İzleme ve Bildirim Sistemleri Kurun: Anormal aktiviteleri tespit etmek için güvenlik izleme sistemleri kurmak ve bu sistemleri sürekli güncel tutmak gerekmektedir.

4. Eğitim ve Farkındalık: Çalışanların güvenlik farkındalığı sağlanmalı ve siber güvenlik eğitimleri verilmelidir. İnsan faktörü, birçok güvenlik açığının oluşmasında kritik bir rol oynamaktadır.

5. Güvenlik Duvarları ve VPN Kullanımı: Ekstra koruma için güvenlik duvarları ve VPN kullanımı önerilmektedir. Bu, sistemlerin dış tehditlere karşı daha güvenli hale gelmesine yardımcı olur.

Infodraw Media Relay Service Açıklaması

Infodraw Media Relay Service (MRS) sisteminde de bir yol geçişi açığı bulunmuştur. CVE-2025-43928 olarak tanımlanan bu açık, kullanıcı adı parametresi aracılığıyla rastgele dosyaların okunmasına veya silinmesine olanak tanımaktadır. Bu güvenlik açığının CVSS skoru 9.8 olarak değerlendirilmiştir. Bu durum, kötü niyetli aktörlere kritik bir tehdit oluştururken, özellikle yönlendirilmiş sistemlerde mevcut olan kirli dosyaların silinmesine veya okunmasına sebep olabilir.

Özellikle, etkilenmiş sistemler için hemen önlem almak gerekmektedir. Aksi takdirde, saldırganlar bu açığı istismar edebilir ve ciddi veri ihlallerine yol açabilir.

Sonuç olarak, siber güvenlik alanında sürekli olarak güncel kalmak ve alınması gereken önlemleri atlamamak büyük bir önem arz etmektedir. Bu güvenlik açıkları, sistemlerin savunmasız kaldığı durumlarda ciddi tehditler oluşturmaktadır. Uygun koruma önlemleri alındığında, bu tür açıkların olumsuz etkileri en aza indirgenebilir.

Güncel Siber Güvenlik Haberleri – 1

genel-21