Siber güvenlik araştırmacıları, saldırganların üreticilerin yayımladığı güvenlik güncellemelerini analiz ederek teknik ayrıntılar kamuoyuna açıklanmadan sistemleri hedef aldığını ortaya çıkardı. Forescout Vedere Labs tarafından incelenen olay, Lantronix cihazlarını etkileyen bir güvenlik açığının yama yayınlandıktan kısa süre sonra saldırılarda kullanıldığını gösterdi. Uzmanlar, güvenlik açığı riskini azaltmak için güncellemelerin gecikmeden kurulmasının artık temel savunma adımlarından biri hâline geldiğini belirtiyor.

Güvenlik Güncellemeleri Saldırganlara Yeni İpuçları Veriyor

Forescout Vedere Labs, daha önce tespit ettiği zafiyetleri yeniden incelerken kendi honeypot altyapısına yönelik bir saldırının kayıtlarına ulaştı. Analiz, saldırının teknik rapor yayınlanmadan yaklaşık iki hafta önce gerçekleştiğini gösterdi. Araştırmacılar, kamuya açık teknik ayrıntılar bulunmamasına rağmen saldırganların yayımlanan ürün yazılımını tersine mühendislik yöntemiyle inceleyerek açığın çalışma biçimini ortaya çıkarmış olabileceğini değerlendirdi. Güvenlik ekipleri, bu tablonun yalnızca güvenlik yaması yayınlamanın yeterli olmadığını, güncellemenin en kısa sürede kurulmasının da aynı derecede önemli olduğunu vurguluyor.

İncelenen zafiyet, CVE-2025-67038 kimliğiyle takip edilen kimlik doğrulaması gerektirmeyen işletim sistemi komut enjeksiyonu açığı olarak kayıtlara geçti. Açık, Linux tabanlı OpenWRT kullanan Lantronix EDS5000 serisi seri-IP dönüştürücülerini etkiledi. Cihazlarda yer alan LuCI web yönetim arayüzündeki zafiyet, saldırganların uzaktan komut çalıştırmasına olanak tanıyabilecek bir risk oluşturdu.

Araştırmacılar, yılın ilk yarısında OpenWRT kullanan cihazlara yönelik 4 binden fazla kaba kuvvet girişimi kaydetti. İncelemeler, saldırıların yalnızca SSH veya Telnet servislerine yönelmediğini, web uygulamasındaki belirli parametreleri hedefleyen otomatik komut dizilerinin de kullanıldığını ortaya koydu. Güvenlik uzmanları, bu yaklaşımın rastgele internet taraması yapan bot ağlarından farklı olarak belirli cihaz modellerine odaklanan planlı operasyonlara işaret ettiğini değerlendiriyor.

Vedere Labs, söz konusu faaliyet kümesini Chaya_006 adıyla takip ediyor. Araştırmacılar, saldırıların büyük bölümünün Asya’daki sistemlerden geldiğini belirlerken otomasyon araçlarının keşif çalışmalarıyla birlikte kullanıldığını aktardı. Saldırganlar yalnızca zafiyetten yararlanmaya çalışmadı, aynı zamanda hedef cihazların yapılandırmasına ilişkin bilgi toplamaya yönelik ek işlemler de gerçekleştirdi.

Kurumların Yama Yönetimini Hızlandırması Gerekiyor

Lantronix, etkilenen ürün ailesi için yıl içinde iki ayrı ürün yazılımı güncellemesi yayınladı. Forescout araştırmacıları ise saldırıya uğrayan test sisteminde bu güncellemelerin kurulmadığını doğruladı. Güvenlik uzmanları, firmware güncellemesi süreçlerinin geciktirilmemesini, varsayılan kullanıcı bilgilerinin değiştirilmesini, zayıf parolaların kaldırılmasını, seri-IP dönüştürücüleri ile diğer ağ cihazlarının düzenli olarak izlenmesini öneriyor. Ağ segmentasyonu uygulanması da saldırganların kritik sistemlere ulaşmasını önemli ölçüde zorlaştırıyor.

OpenWRT tabanlı yazılımlar yalnızca seri-IP dönüştürücülerinde kullanılmıyor. Çok sayıda yönlendirici, endüstriyel ağ geçidi, IoT cihazı ile iletişim ekipmanı aynı yazılım bileşenlerini temel aldığı için komut enjeksiyonu açığı benzer ürün ailelerini de etkileyebiliyor. Düzenli zafiyet taraması yapılması, ağ cihazı güvenliği politikalarının güncel tutulması, yama yönetimi süreçlerinin otomatikleştirilmesi ile siber tehdit analizi sonuçlarının güvenlik operasyonlarına aktarılması kurumların saldırı yüzeyini önemli ölçüde azaltabiliyor.

Türkiye’deki üretim tesisleri, enerji altyapıları, lojistik merkezleri ile kamu kurumlarında kullanılan çok sayıda ağ cihazı gömülü Linux sistemleri üzerinde çalışıyor. Saldırganların güvenlik güncellemelerini kısa sürede analiz edebilmesi nedeniyle kurumların yalnızca güvenlik bültenlerini takip etmesi yeterli görülmüyor. Güncellemelerin hızla uygulanması, kritik sistemlerin ağ içinde ayrıştırılması ile sürekli izleme süreçlerinin birlikte yürütülmesi önümüzdeki dönemde kurumsal siber güvenlik stratejilerinin en önemli başlıklarından biri olmaya devam edecek.