CVE-2025-14847, siber güvenlik dünyasında popülerleşen adıyla “MongoBleed”, MongoDB Server’da Aralık 2025’te keşfedilen ve Heartbleed zafiyetine benzerliğiyle dikkat çeken kritik bir bellek sızıntısı (memory leak) açığıdır.
Bu zafiyet, bir saldırganın hedef sunucuya hiçbir kullanıcı adı veya şifre gerekmeden (unauthenticated) uzaktan bağlanarak sunucunun RAM belleğindeki hassas verileri “sızdırmasına” olanak tanır.
Teknik Analiz ve Kök Neden
Zafiyet, MongoDB’nin ağ trafiğini optimize etmek için kullandığı zlib sıkıştırma (compression) kütüphanesinin uygulanışındaki bir mantık hatasından kaynaklanmaktadır.
- Zafiyetin Nedeni: MongoDB OP_COMPRESSED mesajlarını işlerken, mesaj başlığındaki “açılmış veri uzunluğu” (uncompressed length) alanı ile gerçekte açılan verinin boyutu arasındaki tutarsızlığı düzgün doğrulamaz.
- Mekanizma: Saldırgan, başlık bilgisinde çok büyük bir uzunluk değeri belirtir ancak içeriğe çok küçük bir sıkıştırılmış veri koyar. MongoDB sunucusu, belirtilen büyük boyut kadar bir bellek alanı (buffer) ayırır.
- Hata: Sunucu, küçük veriyi bu büyük alana açar ancak geriye kalan boş alanı temizlemeden (zero-out yapmadan) tüm tampon belleği (heap memory) istemciye yanıt olarak döner. Bu “temizlenmemiş” alan, sunucuda daha önce işlem görmüş diğer kullanıcıların verilerini barındırır.
Zafiyet Künyesi (CVSS)
- CVSS v4 Skoru: 8.7 (Yüksek/Kritik)
- Etki Tipi: Bilgi İfşası (Information Disclosure)
- Kimlik Doğrulama: Gerekli değil (Pre-auth)
- Saldırı Karmaşıklığı: Düşük (Otomatize edilebilir)
- CISA Durumu: “Bilinen İstismar Edilen Zafiyetler” (KEV) kataloğuna eklendi.
Sızdırılabilecek Veriler
Saldırganlar bu yöntemi defalarca tekrarlayarak (loop) sunucu belleğinden parça parça şu verileri toplayabilir:
- Veritabanı kullanıcı şifreleri ve hash’leri.
- Uygulama API anahtarları (AWS, Azure, Google Cloud vb.).
- Oturum token’ları (Session tokens).
- Sorgu sonuçları ve PII (Kişisel Veriler).
Etkilenen Versiyonlar
Neredeyse son 10 yılda yayınlanan tüm ana sürümler etkilenmiştir:
- 8.2.x < 8.2.3
- 8.0.x < 8.0.17
- 7.0.x < 7.0.28
- 6.0.x < 6.0.27
- 5.0.x < 5.0.32
- 4.4.x < 4.4.30
- 4.2, 4.0 ve 3.6 sürümlerinin tamamı (Eski sürümler).
Çözüm ve Mitigasyon
Bu zafiyet “in-the-wild” (sahada aktif olarak) istismar edildiği için acil aksiyon alınması önerilir:
- Güncelleme Yapın: MongoDB tarafından yayınlanan yamalı sürümlere (yukarıdaki listedeki güvenli versiyonlara) derhal geçiş yapın.
- Geçici Çözüm (Workaround): Eğer hemen güncelleme yapamıyorsanız, MongoDB yapılandırma dosyasında zlib sıkıştırmasını devre dışı bırakın veya snappy ya da zstd gibi alternatif algoritmalara geçin. a. Parametre: –networkMessageCompressors ayarından zlib’i kaldırın.
- Ağ Güvenliği: MongoDB portunun (varsayılan 27017) internete açık olmadığını ve sadece güvenilir IP’lerden erişilebildiğini kontrol edin.
Mustang Panda
Mustang Panda, 2026 yılı itibarıyla siber casusluk dünyasının en “çevik” ve “teknik olarak evrimleşmiş” aktörlerinden biri olarak kabul ediliyor. Özellikle 2025’in son günlerinde ortaya çıkan yeni saldırı yöntemleri, grubun sadece yazılım seviyesinde değil, sistem çekirdeği (kernel) seviyesinde de tam hakimiyet kurmaya başladığını gösteriyor.
İşte grubun derinlemesine teknik analizi ve son dönemdeki kritik gelişmeleri:
Yeni Nesil Silahlanma: TONESHELL ve Ötesi
Grup, yıllarca kullandığı klasik PlugX zararlısından vazgeçmemekle birlikte, 2024-2025 döneminde ana odağını tamamen yeni bir mimariye kaydırdı:
- TONESHELL v3: Grubun amiral gemisi haline gelen bu backdoor, 2025 sonunda güncellendi. Artık FakeTLS protokolünü kullanarak C2 (Komuta Kontrol) trafiğini
meşru internet trafiği gibi gösteriyor. Bu sayede standart ağ izleme araçları (IDS/IPS) tarafından fark edilmesi neredeyse imkansız hale geliyor. - Kernel-Mode Rootkit (Aralık 2025): En güncel keşif, grubun “imzalı” bir çekirdek sürücüsü (driver) kullandığını ortaya çıkardı. Bu sürücü, antivirüs ve EDR yazılımlarından daha alt seviyede (I/O stack’in en altında) çalışarak güvenlik yazılımlarının dosyaları taramasını engelliyor.
- StarProxy: Bir sızma sonrası aracıdır. Bu araç, ele geçirilen bir bilgisayarı proxy sunucusuna dönüştürerek grubun ağ içinde (lateral movement) hiçbir iz bırakmadan ilerlemesini sağlar.
2. Hedef Odaklılık ve Jeopolitik Strateji
Mustang Panda, rastgele saldıran bir grup değildir. Operasyonları doğrudan Çin’in dış politika ajandasıyla paraleldir:
- SnakeDisk ve Tayland Operasyonu (Eylül 2025): Grup, Tayland’daki askeri ve hükümet hedeflerine yönelik “coğrafi sınırlamalı” (geo-fenced) bir USB solucanı yaydı. Zararlı yazılım, bilgisayarın Tayland IP’sine sahip olup olmadığını kontrol ediyor, değilse kendini imha ediyordu.
- Avrupa ve Denizcilik Sektörü: 2025 yılı boyunca Avrupa’daki hükümetlerin yanı sıra, özellikle denizcilik ve lojistik firmalarına odaklandılar. Bu, tedarik zinciri istihbaratına verilen önemi gösteriyor.
- Dini ve Etnik Gruplar: Tibet toplumu ve Vatikan gibi yapılar, grubun uzun süreli izleme listesinde kalmaya devam ediyor.
3. Sızma Zinciri (Infection Chain)
Mustang Panda’nın operasyonel başarısı, “meşru olanı suistimal etme” yeteneğinden gelir:
- Oltalama: Hedefe, çok düzgün bir dille yazılmış, örneğin “2026 Savunma Bütçesi Planı” isimli bir .rar veya .iso dosyası gönderilir.
- LNK Dosyası: Arşivin içindeki PDF görünümlü bir kısayol dosyası (.lnk), tıklandığında arka planda görünmez bir komut istemi çalıştırır.
- DLL Side-Loading: Sistemde zaten bulunan güvenilir bir Windows bileşeni (örneğin wuredir.exe) çalıştırılır. Ancak bu bileşenin yanına, grubun hazırladığı sahte bir v6- insp1.dll dosyası yerleştirilmiştir. Windows, meşru programı açarken bu sahte DLL’i de otomatik olarak yükler.
- Kalıcılık: Sistem açıldığında zararlı yazılımın otomatik başlaması için kayıt defteri (registry) anahtarları veya zamanlanmış görevler oluşturulur.
4. Mustang Panda ile Mücadele: Neden Zor?
- Gelişmiş Gizlenme: 2025 yılında tespit edilen “SplatCloak” adlı EDR atlatma sürücüsü, piyasadaki en popüler 10 güvenlik yazılımını tespit edip onları kör edebiliyor.
- Hızlı Altyapı Değişimi: Bir C2 sunucusu tespit edildiğinde, grup saatler içinde tüm trafiğini başka bir bulut sağlayıcısına veya ele geçirilmiş meşru bir web sitesine taşıyabiliyor.
- Yerel Dil ve Kültürel Uyum: Gönderdikleri oltalama mailleri, hedeflenen ülkenin bürokratik diline o kadar hakimdir ki, profesyonel bir çalışanın bile şüphelenmesi çok zordur.
Özet Tablo: 2026 Profil Görünümü
| Kategori | Özellik |
|---|---|
|
Ana Motivasyon
|
Siyasi ve Askeri Casusluk |
|
En Tehlikeli Aracı
|
Kernel-Mode Rootkits (Güvenlik yazılımlarını kör eder) |
|
Sızma Kanalı
|
USB Sürücüler ve Yüksek Kaliteli Oltalama |
|
Operasyonel Alan |
Küresel (Güneydoğu Asya ve Avrupa odaklı) |
|
Takma İsimler
|
Stately Taurus, Earth Preta, HoneyMyte |
FortiSOAR
1. Mimari Yapı ve Veri Modeli
FortiSOAR, rakiplerinin aksine oldukça esnek bir veritabanı mimarisine sahiptir.
- Modüler Yapı: “OOB (Out-of-the-box)” modüllerle gelir (Incident, Alert, Asset, Indicator). Ancak ihtiyacınıza göre tamamen yeni modüller (Örn: “KVKK İhlal Takibi” veya “Varlık Zimmet Modülü”) oluşturmanıza izin verir.
- Role-Based Access Control (RBAC): Çok katmanlı yetkilendirme sunar. Bir analist sadece kendi vakalarını görürken, yönetici tüm hiyerarşiyi izleyebilir.
- Database: Arka planda PostgreSQL ve Elasticsearch kullanarak verileri hem ilişkisel hem de hızlı aranabilir şekilde saklar.
2. Playbook Motoru: Görsel Programlama
FortiSOAR’ın kalbi Playbook motorudur. Bu motor, bir analistin manuel yaptığı adımları koda döker.
- Trigger (Tetikleyici): Playbook ne zaman çalışacak? (Örn: SIEM’den kritik alarm gelince, bir analist butona basınca veya her sabah saat 09:00’da).
- Steps (Adımlar):
o Decision: “Eğer IP adresi Türkiye dışındaysa engelle, içindeyse sadece alarm üret.”
o Enrichment: “Gelen dosya hash’ini VirusTotal, Hybrid Analysis ve Joe Sandbox’a gönder.”
o Action: “Kullanıcıyı Active Directory’de devre dışı bırak ve Firewall üzerinden IP’yi banla.” - Hata Yönetimi (Error Handling): Bir adım başarısız olursa (Örn: API yanıt vermezse) alternatif yolları izleyebilir veya yöneticiye uyarı verebilir.
3. Tehdit İstihbaratı Yönetimi (TIM)
FortiSOAR, sadece alarmlarla ilgilenmez; aynı zamanda bir Threat Intelligence Platform (TIP) gibi çalışır.
- Indicator of Compromise (IoC): Kötü amaçlı IP’leri, URL’leri ve dosya özetlerini (hash) toplar.
- Oto-Korelasyon: Dış dünyadan gelen yeni bir istihbarat (Örn: “X grubu yeni bir saldırı başlattı, IP’ler şunlar”) sisteme girdiğinde, FortiSOAR geçmişe dönük tarama yaparak “Bizim sistemimizde bu IP daha önce görüldü mü?” sorusuna anında yanıt verir.
4. Entegrasyon Yetenekleri (Connectors)
FortiSOAR’ı güçlü kılan, dış dünya ile konuşabilmesidir.
- Hazır Konnektörler: 350+ konnektör ile API entegrasyonu sağlar.
- Custom Connector: Eğer firmanıza özel bir yazılım varsa, Python kullanarak kendi konnektörünüzü yazabilirsiniz.
- Agent Yapısı: Güvenlik duvarınız veya sunucunuz izole bir network’teyse, araya bir “FSR Agent” koyarak FortiSOAR’ın o bölgeye erişmesini sağlayabilirsiniz.
5. ROI (Yatırım Getirisi) ve Raporlama
Yöneticiler için FortiSOAR’ın en önemli kısmı sağladığı metriklerdir:
- MTTD (Ortalama Tespit Süresi): Saldırı ne kadar sürede fark edildi?
- MTTR (Ortalama Yanıt Süresi): Saldırı ne kadar sürede temizlendi?
- Saved Hours: Otomasyon sayesinde kaç bin saatlik insan iş gücü tasarrufu sağlandı?
- Dashboards: Canlı dashboardlar ile SOC ekibinin anlık iş yükü ve kritik vakalar izlenebilir.
FortiSOAR vs Diğerleri (Farkı Nedir?)
| Özellik | FortiSOAR | Standart SOAR |
|---|---|---|
|
Esneklik |
Veri modelleri tamamen değiştirilebilir. |
Genelde sabit şablonlar sunar.
|
|
Fiyatlandırma
|
Genelde kullanıcı başına (Seatbased).
|
Bazıları veri miktarına (Volume) göre ücret alır. |
|
Ekosistem |
Fortinet Security Fabric ile derin entegrasyon. |
Marka bağımsızdır ama derinlik az olabilir.
|
|
Kod Gereksinimi
|
Çok düşük (Visual Designer). |
Genellikle Python bilgisi şarttır. |
Bir Senaryo Üzerinden Örnek İş Akışı (Phishing Saldırısı):
- Giriş: Kullanıcı “Şüpheli” diye bir maili raporlar.
- Analiz: FortiSOAR maildeki linki alır, sandbox’ta açar, ekran görüntüsünü çeker.
- Karar: Link zararlıysa; aynı mailin ulaştığı diğer 50 kullanıcıyı tespit eder.
- Aksiyon: 50 kullanıcıdan da maili geri çeker, Firewall’da o linke erişimi kapatır.
- Kapanış: Analiste “İşlem başarıyla tamamlandı, 50 kişi kurtarıldı” raporu sunar ve vakayı kapatır.
DNS (Domain Name System)
DNS (Domain Name System), internetin telefon rehberi gibidir; biz google.com yazarız, DNS bunu bilgisayarların anladığı 142.250.190.46 gibi IP adreslerine dönüştürür. DNS saldırıları, bu rehberlik sürecini manipüle ederek kullanıcıları yanlış yönlendirmeyi veya internet hizmetlerini tamamen felç etmeyi hedefler.
İşte en yaygın DNS saldırı türleri ve işleyişleri:
1. DNS Önbellek Zehirlemesi (DNS Cache Poisoning / Spoofing)
Saldırgan, DNS sunucusunun önbelleğine sahte bilgiler yerleştirir.
- Nasıl Çalışır? Siz bankanızın sitesine gitmek istediğinizde, bilgisayarınız DNS sunucusuna adres sorar. Saldırgan, gerçek sunucudan önce davranarak sahte bir IP adresi gönderir.
- Sonuç: Kullanıcı, orijinal sitenin birebir kopyası olan sahte bir siteye yönlendirilir ve giriş bilgileri çalınır.
2. DNS Amplification (Yansıma ve Yükseltme) Saldırısı
Bu bir DDoS saldırı türüdür ve saldırganın gücünü katlamasına olanak tanır.
- Nasıl Çalışır? Saldırgan, hedef kişinin (kurbanın) IP adresini taklit ederek (spoofing) çok sayıda DNS sunucusuna büyük veri talepleri gönderir.
- Sonuç: DNS sunucuları, gelen küçük talebe karşılık çok büyük yanıtlar üretir ve bu devasa trafik kurbanın sistemine yönlendirilir. Hedef sistem bu trafik altında ezilir ve kapanır.
3. DNS Hijacking (DNS Kaçırma)
Saldırgan, doğrudan kullanıcının bilgisayarındaki veya yönlendiricisindeki (router) DNS ayarlarını değiştirir.
- Yöntem: Genellikle kötü amaçlı yazılımlar (Trojan) aracılığıyla yapılır.
- Etki: Siz hangi siteye gitmek isterseniz isteyin, saldırganın kontrolündeki bir DNS sunucusu sizi istediği reklam veya dolandırıcılık sitesine yönlendirir.
4. DNS Tünelleme (DNS Tunneling)
Bu yöntem genellikle veri sızdırmak veya güvenlik duvarlarını (firewall) aşmak için kullanılır.
- Mantık: Şirketlerin güvenlik duvarları genellikle DNS trafiğine (Port 53) izin verir. Saldırganlar, çalmak istedikleri verileri küçük paketlere bölüp DNS sorgularının içine gizlerler.
- Sonuç: Güvenlik duvarı bunu normal bir internet adresi sorgusu sanır ve dışarı sızan veriyi fark etmez.
5. NXDOMAIN Saldırısı
Saldırgan, bir DNS sunucusuna var olmayan (geçersiz) binlerce alan adı için sorgu gönderir.
- Amaç: DNS sunucusunu bu hayali adresleri ararken meşgul etmek ve sistem kaynaklarını tüketerek gerçek sorgulara yanıt veremez hale getirmektir.
DNS Saldırılarından Korunma Yöntemleri
Bu saldırıların karmaşıklığına karşı hem bireysel hem de kurumsal düzeyde alınabilecek önlemler şunlardır:
- DNSSEC (Domain Name System Security Extensions): DNS sorgularına dijital imza ekleyerek verinin değiştirilmediğini doğrular. Zehirleme saldırılarını engellemek için en etkili yoldur.
- Anycast Yönlendirme: DNS trafiğini birden fazla sunucuya dağıtarak DDoS saldırılarının etkisini azaltır.
- Halka Açık Güvenli DNS Kullanımı: Standart servis sağlayıcı DNS’leri yerine Cloudflare (1.1.1.1) veya Google (8.8.8.8) gibi güvenlik katmanı daha güçlü servisler tercih edilebilir.
- Sınırlama (Rate Limiting): Sunucuların belirli bir sürede alabileceği sorgu sayısını sınırlayarak DDoS ve NXDOMAIN saldırılarını yavaşlatmak.
