ARŞİV ▸ 7–13 Nis 2026 30 Mar – 5 Nis 2026
01
AI & Sib. Güvenlik 1000+ Sıfır-Gün Project Glasswing Anthropic Mythos
Anthropic Claude Mythos Preview: Her Büyük OS ve Tarayıcıda Binlerce Sıfır-Gün Buldu — Kamuya Kapalı, Project Glasswing ile JPMorgan/Google/Microsoft Ortağlığı
27 yıllık OpenBSD, 17 yıllık FreeBSD NFS RCE (CVE-2026-4747), 16 yıllık FFmpeg — tamamen özerk keşfedildi. Exploit maliyeti <$2.000 / 24 saat. Fed, BoE, Kanada MB acil toplantı düzenledi.
📅 7 Nis 2026 📰 Anthropic / Help Net / THN 🎯 Tüm Kritik Altyapı — Sib. Güvenlik Paradigması
1000+
Sıfır-Gün
 23–29 Mar 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Anthropic Mythos 1000+ OS Sıfır-Günü, Smart Slider/CPUID Tedarik Zinciri Saldırıları, Adobe Acrobat Zero-Day, Marimo 10 Saatte İstismar Edildi

7 Nisan – 13 Nisan 2026  ·  Yayın: 13 Nisan 2026  ·  TLP:WHITE

9 Kritik Haber
4 Aktif CVE
3 Tedarik Zinciri
4 CISA KEV
HABER
9
Kritik Olay
ZAFİYET
4
Aktif İstismar
SUPPLY CHAIN
3
Arka Kapı / RAT
CISA KEV
4
Yeni KEV Girişi

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta geçen haftanın Axios/Trivy tedarik zinciri dalgasının ardından üç yeni tedarik zinciri saldırısı daha gerçekleşti: 7 Nisan'da Smart Slider 3 Pro güncelleme altyapısı ele geçirilerek 800.000+ WordPress/Joomla sitesine 6 saat boyunca tam donanımlı arka kapı dağıtıldı. 9–10 Nisan'da ise sistem yöneticilerinin vazgeçilmez aracı CPUID (CPU-Z, HWMonitor) sitesi 19 saat boyunca trojenleştirilmiş yükleyiciler sunarak 150+ kurban sistemine STX RAT yerleştirdi. Bu iki saldırı, kullanıcıların koşulsuz güvendiği resmi güncelleme ve indirme kanallarının silaha dönüştürüldüğünü gösteriyor.

Adobe Acrobat Reader'da CVSS 9.6 seviyesinde ve Aralık 2025'ten beri aktif olduğu tespit edilen bir prototype pollution sıfır-günü (CVE-2026-34621) acil yama gerektiriyor. Marimo Python Notebook'ta açıklama sonrası 10 saat içinde istismar gerçekleşti — Sysdig'in gözlemine göre aktif saldırganlar 3 dakika içinde kimlik bilgilerini ele geçirdi. Ivanti EPMM'de aktif istismar altındaki kod enjeksiyon açığı (CVE-2026-1340) CISA KEV'e eklendi.

// HAFTALIK HABERLER

02
Supply Chain WordPress / Joomla Backdoor / RAT 800K+ Site
Smart Slider 3 Pro Güncelleme Altyapısı Ele Geçirildi: 800.000+ WordPress/Joomla Sitesine 6 Saatte Tam Donanımlı Arka Kapı Dağıtıldı
Resmi Nextend update kanalından 3.5.1.35 sürümü trojenleştirilmiş olarak dağıtıldı. Sahte admin hesabı (wpsvc_ ile başlayan) oluşturma, HTTP header üzerinden RCE, PHP kod çalıştırma. Temiz sürüm: 3.5.1.36.
📅 7–10 Nis 2026 📰 THN / Patchstack / TechRadar / mySites.guru 🎯 WordPress / Joomla Site Yöneticileri
800K+
Site Riski
03
Supply Chain CPUID / CPU-Z STX RAT DLL Sideloading
CPUID Sitesi 19 Saat Boyunca Ele Geçirildi: CPU-Z ve HWMonitor Yükleyicileri STX RAT Dağıttı — 150+ Kurban
Cloudflare R2 bucket üzerinde barındırılan kötü amaçlı HWMonitor arşivleri cryptbase.dll DLL sideloading ile STX RAT'ı bellekte çalıştırdı. C2: welcome[.]supp0v3[.]com. Kaspersky 150+ kurban tespit etti.
📅 9–12 Nis 2026 📰 THN / Kaspersky GReAT / CYDERES 🎯 IT Yöneticileri / Sistem İzleme Kullanıcıları
150+
Kurban
04
Sıfır-Gün Aktif İstismar Adobe Acrobat CVSS 9.6
Adobe Acrobat Reader CVE-2026-34621 Sıfır-Günü: Aralık 2025'ten Beri Aktif, Prototype Pollution ile Keyfi Kod Yürütme
JavaScript prototype pollution → tam RCE. Kötü amaçlı PDF açıldığında tetikleniyor. Adobe acil güncelleme yayımladı. Finans ve hukuk sektöründe yaygın kullanım nedeniyle yüksek risk.
📅 12 Nis 2026 📰 THN / Adobe PSIRT / EXPMON 🎯 Acrobat Reader Kullanıcıları / Kurum Geneli
9.6
CVSS
05
CVE-2026-39987 Marimo Python 10 Saatte İstismar Sysdig Raporu
Marimo Python Notebook'ta CVSS 9.3 RCE: Açıklama Sonrası 10 Saatte İstismar, 3 Dakikada Kimlik Bilgisi Hırsızlığı
Kimliksiz WebSocket terminali /terminal/ws — auth kontrolü yok. PoC olmadan advisory'den exploit geliştirildi. Sysdig: AI destekli saldırı hızının simgesi. Küçük projeler de hedef.
📅 8–10 Nis 2026 📰 Sysdig / SecurityAffairs / THN 🎯 Data Science / AI Geliştirme Ortamları
9.3
CVSS
06
CISA KEV Aktif İstismar Ivanti EPMM MDM / Kurumsal
Ivanti EPMM CVE-2026-1340 CISA KEV'e Eklendi: Aktif İstismar — Kimliksiz Uzaktan Kod Yürütme, Son Tarih 11 Nisan
Mobil cihaz yönetimi platformunda kod enjeksiyon → kimliksiz RCE. EPMM'deki seri açık geçmişi devam ediyor. Finans sektöründe MDM aracı olarak yaygın kullanım.
📅 8 Nis 2026 📰 CISA KEV / Ivanti / CybersecNews 🎯 Kurumsal MDM / Mobil Cihaz Yönetimi
KEV
Aktif
07
Sıfır-Gün Adobe Reader PDF Silah Haline Getirildi EXPMON Raporu
Adobe Reader Sıfır-Günü Aralık 2025'ten Beri Aktif: Kötü Amaçlı PDF Açıldığında Yerel Dosya Hırsızlığı ve Tam Kontrol
EXPMON'un keşfettiği "Invoice540.pdf" ile başlayan kampanya. VirusTotal'da 28 Kasım 2025'te ilk iz. Finans belgesi temalı PDF lure'lar finans sektörü için doğrudan tehdit.
📅 9 Nis 2026 📰 EXPMON / Cybernews / THN 🎯 Finans / Hukuk / Muhasebe — PDF Ağırlıklı
PDF
Silah
08
Microsoft Patch Tuesday Nisan 2026 Secure Boot 80–100+ CVE
Microsoft Nisan 2026 Patch Tuesday (14 Nisan): Secure Boot Sertifikası Krizi ve Beklenen 80–100+ CVE — Q1 Kalite Sorunları
Haziran 2026'da dolacak 2011 Secure Boot sertifikası güncelleme son tarihi yaklaşıyor. Mart'ta çekilen KB5079391 ve çok sayıda out-of-band yama sonrası kalite odaklı güncelleme. 14 Nisan 10:00 PST.
📅 14 Nis 2026 (Yarın) 📰 Zecurit / BleepingComputer 🎯 Tüm Windows / Office / Server Ortamları
14 Nis
Yayın Tarihi
09
AI Güvenliği LayerX Raporu Tarayıcı Eklentisi Shadow AI
LayerX: AI Tarayıcı Eklentileri Kör Nokta — Ortalama Eklentiden %60 Daha Fazla Güvenlik Açığı, DLP ve SaaS Loglarına Görünmez
3x daha fazla çerez erişimi, 2.5x uzaktan script çalıştırma kabiliyeti, 6x izin artışı geçmişi. Çalışanların onay almadan kurduğu AI araçları kurumsal veriyi doğrudan izliyor.
📅 10 Nis 2026 📰 LayerX / The Hacker News 🎯 Finans / Kurumsal Güvenlik / CISO
%60
Daha Fazla CVE

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-34621
Aktif İstismar		 9.6 Adobe Acrobat Reader (tüm platformlar) Prototype pollution → keyfi kod yürütme. Aralık 2025'ten beri aktif, "Invoice540.pdf" kampanyası. Kötü amaçlı PDF açmak yeterli. Finans belgesi temaları dikkat.
Acil Yama
Adobe PSIRT ↗
CVE-2026-39987
CISA KEV		 9.3 Marimo Python Notebook ≤ 0.20.4 /terminal/ws WebSocket endpoint'inde kimlik doğrulama yok → PTY shell → tam sistem kontrolü. Açıklama sonrası 9 saat 41 dakikada istismar, 3 dakikada kimlik hırsızlığı. CISA KEV: 11 Nisan son tarihi.
→ v0.23.0
GitHub Advisory ↗
CVE-2026-1340
CISA KEV		 Kritik Ivanti EPMM (on-prem, tüm güncel öncesi sürümler) Kod enjeksiyon → kimliksiz uzaktan kod yürütme. Kurumsal mobil cihaz yönetimi platformunda derin ağ erişimi blast radius'unu büyütüyor. Aktif istismar teyit edildi. CISA son tarih: 11 Nisan 2026.
Son: 11 Nis 2026
Ivanti Advisory ↗
Smart Slider 3 Pro
Tedarik Zinciri
Backdoor		 Kritik Smart Slider 3 Pro v3.5.1.35 (WordPress & Joomla) Resmi update kanalı üzerinden dağıtılan arka kapı: HTTP header RCE, PHP code exec, gizli admin hesabı (wpsvc_*). 7 Nisan'da 6 saat aktif. Etkilenen site tam ihlal kabul edilmeli.
→ v3.5.1.36
THN ↗