Siber Güvenlik Haberleri 39. Hafta- 2025

1. SolarWinds WHD AjaxProxy Açığı – CVE-2025-26399

SolarWinds Web Help Desk (WHD) sistemlerinde, AjaxProxy bileşeninde yetkisiz deserialization tabanlı kod çalıştırma açığı tespit edildi. CVSS puanı ~9.8 seviyesinde. Açık, kullanıcı girdisi doğrulamaması eksikliğinden doğuyor. SolarWinds, WHD 12.8.7 Hotfix 1 sürümü ile bu açığı giderdi. (cybersecurityadvisors.network)

Kullanıcıların Hotfix 1’i hızla uygulaması; saldırı ihtimaline karşı WP öğretici ve log izleme yapılandırmalarını kontrol etmesi önerilir.

2. JLR (Jaguar Land Rover) Üretim Kesintisi Uzamadı

JLR, siber saldırı sonrası üretime ara vermişti; bu hafta yapılan değerlendirmelerle bazı fabrikaların çalışmalara yeniden başladığı ancak tam kapasiteye dönülmesinin zaman alacağı belirtildi. Kesintinin ekonomi, tedarik zinciri ve itibar maliyeti yüksek. (duocircle.com)

Bu olay, sanayi ve otomotiv firmalarının BT/OT sınırlarını sıkı koruma ihtiyacını tekrar gündeme getirdi.

3. SlopAds Mobil Dolandırıcılığı Gözler Önünde

224 Android uygulamada 38 milyon indirme üzerinden yürütülen SlopAds kampanyası, kullanıcıları gizli sayfa yüklemeleri ile reklam sahtekârlığına maruz bıraktı. Bu kampanya günde milyarlarca sahte istek üretiyordu. (duocircle.com)

Bu durum, mobil uygulama ekosisteminde güvenlik eksikliği ve kullanıcıların kolayca kötü niyetli davranışlara maruz kalabileceğini gösteriyor.

4. npm Tedarik Zinciri Solucanı / Worm: “Shai-Hulud”

500+ npm paketinde istismar edilen çift aşamalı bir solucan saldırısı keşfedildi. Trojanize paketler aracılığıyla TruffleHog ve kimlik bilgisi toplama modülleri yayılıyor. Bu paketler, birçok bağımlılığı olan projelere bulaşabiliyor. (duocircle.com)

Tedarik zinciri güvenliği önlemleri artık zorunlu: bağımlılık röntgeni, imzalı paket kontrolü, kod incelemeleri daha sert yapılmalı.

5. APT İş Birliği: DeceptiveDevelopment ve XP Kampanyaları

ESET araştırmasına göre, Kuzey Kore bağlantılı gruplar DeceptiveDevelopment ve IT Worker Scam kampanyalarında iş birliği yapıyor. Sahte iş ilanları ile kandırılan kullanıcılardan zararlı kod yüklemesi alınıyor, bu da kurumsal iç ağlara geçiş fırsatı yaratıyor. (sentinelone.com)

Bu durum, sosyal mühendislik + tedarik zinciri stratejisinin birleşiminden doğan saldırıların evrimini gösteriyor.

6. BRICKSTORM Backdoor, Uyuyan Cihazlarda Etkinlik Kazanıyor

Çin bağlantılı UNC5221 grubu, BRICKSTORM adlı arka kapı yazılımını özellikle edge cihazlarda uzun süre gizli kalacak şekilde kullanıyor. Bu yazılım, 393 gün ortalama gizlenme süresiyle birçok sistemde log tutulmayan alanları hedef olarak seçiyor. (sentinelone.com, quointelligence.eu)

Edge cihazları için daha az kaynak olması, bu tür arka kapı aktivitelerinin tespitini zorlaştırıyor.

🔎 Haftanın Temel Çıkarımları & Strateji Önerileri

• Tedarik zinciri ve bağımlılık saldırıları npm ve mobil platformlarda artarak devam ediyor.

• Açıklar yalnızca klasik bileşenlerde değil, yönetim panellerinde (AjaxProxy gibi) da ortaya çıkabiliyor.

• Sanayi üretim altyapıları siber operasyon riskine açık; OT veri ağları segmentasyon ile korunmalı.

• Mobil cihaz / uygulama güvenliği artık BT ekosisteminin ayrılmaz bir parçası.

• Gömülü / edge cihazlar, arka kapı ve uzun gizlenme süreli tehditler için kritik hedef.

Kurumsal savunma stratejileri:

• Bağımlılık değerlendirme (SBOM), paket imzalama ve imza doğrulama

• Tüm bileşenlere — yönetim panelleri dahil — kritik güncelleme mekanizmaları

• OT/IT ağ ayrımı, mikrosegmentasyon

• Mobil güvenlik duvarları ve davranış analitiği

• Edge cihaz güvenliği: güvenli boot, donanım raporlama, beklenmeyen davranış tespiti