CTI Haftalık Rapor — 22 – 28 Haziran 2026

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu haftanın en kritik gelişmesi bizi doğrudan etkileyen Cisco Unified CM CVE-2026-20230 (CVSS 9.8, CISA KEV 25 Haz). Server-side request forgery zafiyeti Cisco advisory'sinden 24 saatten az sürede weaponize edildi — Dark Reading + SecurityWeek doğruladı. Envanterimizde CUCM 15.0.1.12900-208 + IM&P 15.0.1.13000-62 + UCCX 12.5.1.11003 bulunuyor → VoIP altyapısı doğrudan tehdit altında. CISA federal kurumlara acil yamala emri verdi; aynı süre bizim için de geçerli.

Klue/Salesforce OAuth tedarik zinciri saldırısı (Icarus ransomware): rakip izleme SaaS'ı Klue ihlal edildikten sonra OAuth token'ı üzerinden HackerOne, Gong, Tanium, Huntress, OneTrust dahil çoklu büyük tech şirketin Salesforce CRM verisi çalındı — modern OAuth scope kontrolünün zayıflığını gösteren ders kitabı niteliğinde vaka. ShinyHunters Kodak'ta 2.2M kayıt + Illinois Central College'da 28GB HR verisi çaldığını iddia etti. Cordyceps GitHub Actions workflow'larını hijack eden yeni CI/CD saldırı sınıfını 300+ repoda tespit etti. İyi haber: Europol + Microsoft + ESET + Bitdefender, Amadey loader + StealC info-stealer altyapısını koordineli operasyonla dağıttı.

// HAFTALIK HABERLER

CISA KEVCisco UCM RCEBİZE ETKİ

Cisco Unified CM CVE-2026-20230 (CISA KEV): SSRF → RCE, 24 Saatte Weaponize Edildi — Envanterimizdeki CUCM 15.0.1...

Cisco Unified Communications Manager (CUCM) ve Unified CM SME ürünlerinde server-side request forgery zafiyeti. Cisco advisory 24 Haz'da çıktı; 24 saatten az sürede aktif istismar başladı (Dark Reading + SecurityWeek doğrulandı). CISA KEV'e 25 Haz'da eklendi, federal kurumlara acil yamala emri. Bizdeki etki: CUCM 15.0.1.12900-208 + IM&P 15.0.1.13000-62 + UCCX 12.5.1.11003 envanterde — telefon/VoIP altyapısının kalbi.

📅 24–25 Haz 2026 📰 Cisco Advisory / BleepingComputer / Dark Reading / CISA 🎯 Cisco Unified CM, CM SME, IM&P, UCCX (banka VoIP)

9.8

CVSS KEV

Supply ChainOAuth AbuseIcarus RaaS

Klue / Salesforce OAuth Tedarik Zinciri Saldırısı: Icarus Ransomware HackerOne, Gong, Tanium, Huntress, OneTrust...

Klue (rakip izleme SaaS) Icarus ransomware grubu tarafından OAuth saldırısıyla ihlal edildi. Klue'nun Salesforce'a verdiği OAuth token'ı kullanılarak HackerOne, Gong, Tanium, Huntress, OneTrust dahil çoklu kuruluştan CRM verisi çalındı. Sızdırılanlar: müşteri adları, kurumsal e-postalar, telefon, iş ünvanı, satış notları, fiyat teklifleri, dahili satış iletişimi. Modern OAuth scope yönetiminin ne kadar gevşek olduğunu gösteren kritik bir vaka.

📅 22–24 Haz 2026 📰 SharkStriker / TechCrunch / Klue Security Advisory 🎯 Salesforce kullanan organizasyonlar (OAuth 3rd-party uygulama)

Kurum

ShinyHuntersRansomwarePII Sızıntı

ShinyHunters'tan Kodak Saldırısı: 2.2M Müşteri Kaydı + Kurumsal Veri — Illinois Central College Ayrı Hedef (28GB)

ShinyHunters grubunun bu hafta iki büyük saldırı iddiası: (1) Eastman Kodak Company — 2.2 milyondan fazla müşteri PII kaydı + dahili kurumsal veri çalındığı iddiası; (2) Illinois Central College — 28 GB HR ve maaş verisi. Şubat 2025'ten beri (Charter, Snowflake müşterileri) aktif olan grup 2026'da ivmesini koruyor.

📅 23–26 Haz 2026 📰 SharkStriker / BleepingComputer 🎯 Tarihsel + eğitim sektörü; geniş aile

2.2M

Kayıt

İyi HaberLaw EnforcementBotnet Takedown

Amadey & StealC Takedown: Europol + Microsoft + ESET + Bitdefender Ortak Operasyonu — 'Cybercrime Assembly Line'...

24 Haziran'da koordineli bir kolluk operasyonu, Amadey loader botnet'i ve StealC info-stealer altyapısını dağıttı. Operasyona Europol başkanlığında Microsoft, ESET, Bitdefender, Bitsight gibi özel sektör firmaları katıldı. Europol: 'Siber suçluların fidye yazılımı, finansal dolandırıcılık ve kritik altyapı saldırıları için kullandığı montaj hatlarını parçalama hedefimizdi.' Amadey loader 2018'den beri aktif, StealC son 18 ayda kripto+banka odaklı bilgi hırsızı olarak yükselişteydi.

📅 24 Haz 2026 📰 Europol / Microsoft / The Hacker News 🎯 Amadey + StealC altyapısı (suç şebekesi)

Europol

Operation

Vendor CompromisePII Sızıntı

Texas Hayvancılık & Avcılık Lisans Veritabanı İhlali: 3 Milyon Vatandaşın Ehliyet + Pasaport Verisi — 3. Taraf...

Texas Hükümeti, Parks and Wildlife Department lisans sistem vendoru üzerinden gelen ihlali açıkladı. 3 milyondan fazla avcılık/balıkçılık lisans sahibinin sürücü ehliyeti, e-posta, telefon, pasaport numarası ve ikamet adresi ele geçirildi. 3. taraf yazılım vendor zincirini Ankara'da konuşulan FortiBleed + Klue trendini doğruluyor: kurumsal güvenliğin zayıf halkası vendor.

📅 23 Haz 2026 📰 SharkStriker / Texas Parks & Wildlife 🎯 ABD eyalet hükümeti (vendor zinciri)

Vatandaş

CI/CD BypassSupply Chain

Cordyceps: 300+ GitHub Reposunu Etkileyen Yeni CI/CD Workflow Hijacking Pattern — Open-Source Supply Chain Tehlikesi

Novee Security araştırmacıları, GitHub Actions workflow'larını ele geçirip açık kaynak tedarik zincirine zararlı kod enjekte etmeyi sağlayan yeni bir saldırı sınıfını 'Cordyceps' kod adıyla yayımladı. 300+ aktif GitHub reposunda istismar edilebilir pattern tespit edildi. Saldırgan pull-request veya workflow trigger üzerinden secrets erişimi + supply chain compromise zinciri kuruyor. Geliştirme/CI ekipleri için imzasız actions çağırma riskinin yeni boyutu.

📅 24 Haz 2026 📰 Novee Security / The Hacker News 🎯 GitHub Actions kullanan tüm organizasyonlar (geniş)

300+

Repo

HealthcarePHI Risk

iRhythm Medikal Cihaz İhlali: Kalp Sağlığı Wearable Verisi Tehdit Altında — Sağlık Sektörü Tedarik Zinciri Trendi

iRhythm Technologies (San Francisco, kalp izleme wearable üreticisi) 8 Haziran'da yetkisiz aktiviteyi tespit etti; 9 Haziran'da tehdit aktörü veri çaldığını iddia etti. Soruşturma devam ediyor, ihlal kapsamı henüz açık değil. iRhythm bulut tabanlı kardiyak biyosensör verisini büyük hastane ağlarına sunduğu için sızıntı, HIPAA + sağlık-finansal sigorta ekosistemine domino etkisi yaratabilir.

📅 23 Haz 2026 (dış duyuru) 📰 SharkStriker / SEC 8-K filing 🎯 iRhythm + bağlı sağlık-finansal sigorta zinciri

PHI

Risk

// HAFTALIK ZAFİYETLER

CVE	CVSS	Ürün	Aksiyon
CVE-2026-20230 SSRF → Remote Code Execution; 24 saatte weaponize CISA KEV	9.8	Cisco Unified CM 15.0.1 / IM&P / SME (BİZDEKİ ENVANTER)	↗
CVE-2026-12569 Improper Input Validation → Unauth RCE CISA KEV	9.8	PTC Windchill ve FlexPLM	↗
CVE-2026-34910 Command Injection (Network Access) CISA KEV	Kri.	Ubiquiti UniFi OS	↗
CVE-2026-34909 Path Traversal — Dosya Erişimi CISA KEV	Kri.	Ubiquiti UniFi OS	↗
CVE-2026-34908 Improper Access Control — Yetkisiz Değişiklik CISA KEV	Kri.	Ubiquiti UniFi OS	↗
CVE-2025-67038 Code Injection — Username Param → Root Komut CISA KEV	Kri.	Lantronix EDS5000 (Industrial IoT)	↗

// TEHDİT SEVİYELERİ

Cisco UCM CVE-2026-20230 (BİZ)

Klue OAuth Supply Chain

ShinyHunters Kodak

Cordyceps CI/CD

Amadey/StealC Takedown ✓

// ACİL AKSİYONLAR

Anında
CUCM 15.0.1 + IM&P + UCCX için Cisco patch (cisco-sa-cucm-ssrf-cXPnHcW) hemen uygula. SSRF ile RCE zinciri 24 saatte weaponize.
24 Saat
Salesforce kullanan tüm ekipler: Klue OAuth uygulamasını revoke et, Salesforce Connected Apps audit log'larını 18-25 Haziran arası incele.
48 Saat
GitHub Actions repo'larında imzasız 3rd-party action çağrılarını (uses: vendor/action@main) gözden geçir; pinned commit SHA'ya çevir.
1 Hafta
Tüm 3rd-party SaaS OAuth scope'larını gözden geçir + scope-of-least-privilege uygula. Salesforce/Microsoft365/Google Workspace üzerinde.

// KAYNAKLAR

Cisco PSIRTcisco-sa-cucm-ssrf-cXPnHcW (24 Haz)
CISA KEVCVE-2026-20230 (25 Haz)
BleepingComputerCisco UCM aktif istismar
Dark Reading24-saat weaponization
SharkStrikerHaftalık ihlal listesi
TechCrunchKlue/Salesforce OAuth
EuropolAmadey/StealC takedown
Novee SecurityCordyceps CI/CD

// ACİL CVE'LER

CVE	Ürün	CVSS	KEV
CVE-2026-20230	Cisco UCM 15.0.1 (BİZ)	9.8	✓
CVE-2026-12569	PTC Windchill/FlexPLM	9.8	✓
CVE-2026-34910	Ubiquiti UniFi OS	Kri.	✓
CVE-2026-34909	Ubiquiti UniFi OS	Kri.	✓
CVE-2026-34908	Ubiquiti UniFi OS	Kri.	✓
CVE-2025-67038	Lantronix EDS5000	Kri.	✓

// FİNANS SEKTÖRÜ TEHDİT HARİTASI

VoIP / Collab AltyapıYüksek (BİZ)

SaaS / OAuth Tedarik ZinciriYüksek

Vendor Compromise (3. Taraf)Yüksek

CI/CD Workflow HijackingOrta

Ransomware (ShinyHunters)Orta

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ

config/inventory.yaml'daki sistemlerle CVE'lerin otomatik substring match'i.

CVE-2026-20230 Cisco Unified CM 15.0.1 / IM&P / SME (BİZDEKİ ENVANTER) ⚠ 3 sistem etkilenebilir

Cisco Cisco Unified Communications Manager (CUCM) · sürüm 15.0.1.12900-208 · sahip: voip HIGH 🔴 TAM EŞLEŞME
Cisco Cisco Unified Communications Manager IM&P · sürüm 15.0.1.13000-62 · sahip: voip HIGH 🔴 TAM EŞLEŞME
Cisco Cisco Unified Contact Center Express (UCCX) · sürüm 12.5.1.11003 · sahip: callcenter HIGH 🟠 OLASI

CVE-2026-12569 PTC Windchill ve FlexPLM ✓ envanterde eşleşme yok

CVE-2026-34910 Ubiquiti UniFi OS ✓ envanterde eşleşme yok

CVE-2026-34909 Ubiquiti UniFi OS ✓ envanterde eşleşme yok

CVE-2026-34908 Ubiquiti UniFi OS ✓ envanterde eşleşme yok

CVE-2025-67038 Lantronix EDS5000 (Industrial IoT) ✓ envanterde eşleşme yok

// 🛡️ BİZDEKİ DURUM — CVE NOTLARI

CVE-2026-20230 Cisco Unified CM 15.0.1 / IM&P / SME (BİZDEKİ ENVANTER) 🚧 Çalışılıyor

mail ile bildirim yapıldır. çalışmalar Network ekibince takip edilmektedir.

— samid · 2026-06-29T14:57:01

CVE-2026-12569 PTC Windchill ve FlexPLM ❌ Bizde Yok