ARŞİV ▸ 13–19 Nis 2026 7–13 Nis 2026 30 Mar – 5 Nis 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Microsoft 167 CVE Rekor Yamaladı, ZionSiphon Su Tesislerini Hedef Aldı, Vercel Context.ai İhlali ve Apache ActiveMQ 13 Yıllık Açık

13 Nisan – 19 Nisan 2026  ·  Yayın: 20 Nisan 2026  ·  TLP:WHITE

8 Kritik Haber
4 Aktif CVE
167 Patch Tuesday CVE
5 CISA KEV
HABER
8
Kritik Olay
PATCH TUESDAY
167
CVE — Rekor
CISA KEV
5
Yeni KEV Girişi
SIFIR-GÜN
2
Aktif / Kamuya Açık

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta Microsoft, tarihin ikinci büyük Patch Tuesday güncellemesini yayımladı: 167 güvenlik açığı, bunların 2'si sıfır-gün. CVE-2026-32201 (SharePoint Server spoofing), yamalanmadan önce aktif istismar altındaydı; CVE-2026-33825 (Microsoft Defender, "BlueHammer") ise araştırmacı tarafından GitHub'a açık exploit yüklenmesinin ardından kamuoyuna mal olmuş durumda. Aynı gün 6 ek zafiyet CISA KEV'e eklendi; FortiClient EMS, MS SharePoint ve Adobe Acrobat öncelik listesinin başında yer alıyor.

Darktrace, kritik altyapıya yönelik yeni nesil bir tehdidin varlığını ortaya koydu: ZionSiphon, İsrail'in su arıtma ve tuzdan arındırma tesislerini hedef alan, klorin seviyesi ve su basıncı gibi fiziksel prosesleri manipüle edebilecek yeteneklere sahip ilk OT zararlı yazılım örneklerinden biri. Mevcut sürüm hatalı doğrulama mantığı nedeniyle henüz tetiklenemiyor ancak tamamlanmış bir versiyonun ciddi can güvenliği tehdidi oluşturabileceği değerlendiriliyor. Vercel'in ihlali "AI aracı tedarik zinciri" riskini somutlaştırdı: Context.ai OAuth uygulaması üzerinden başlayan saldırı, Vercel'in iç ortamlarına kadar ulaştı.

// HAFTALIK HABERLER

01
Patch Tuesday 2 Sıfır-Gün 167 CVE — Rekor SharePoint / Defender
Microsoft Nisan 2026 Patch Tuesday: 167 CVE — Tarihsel İkinci Rekor, SharePoint Aktif Sıfır-Gün (CVE-2026-32201) ve Defender BlueHammer (CVE-2026-33825)
SharePoint yamalanmadan önce aktif istismar. Defender açığı araştırmacı GitHub'a exploit yükledikten sonra kamuoyuna mal oldu. TCP/IP kritik RCE (CVE-2026-33827) kimliksiz saldırıya izin veriyor. 6 zafiyet aynı gün CISA KEV'e eklendi.
📅 14 Nis 2026 📰 BleepingComputer / Tenable / Krebs / ZDI 🎯 Tüm Windows / SharePoint / Defender Ortamları
167
CVE Yaması
02
OT / ICS Zararlısı Kritik Altyapı ZionSiphon İran Bağlantılı
ZionSiphon: İsrail Su Tesislerini Hedef Alan OT Zararlı Yazılımı — Klorin Seviyesi ve Su Basıncını Manipüle Edecek Şekilde Tasarlandı
Darktrace analizi: Mekorot, Sorek, Hadera, Palmachim tesisleri hardcode hedef. Modbus/DNP3/S7comm taraması. IncreaseChlorineLevel() fonksiyonu. Mevcut örnek hatalı mantık nedeniyle tetiklenemiyor — tamamlanmış versiyonu ciddi tehdit.
📅 15–17 Nis 2026 📰 Darktrace / BleepingComputer / SecurityWeek / THN 🎯 Su/Enerji Kritik Altyapı / OT Güvenliği
OT
ICS Saldırı
03
AI Tedarik Zinciri Vercel İhlali Context.ai / OAuth Mandiant Müdahale
Vercel Güvenlik İhlali: Context.ai OAuth Uygulaması Ele Geçirildi — ShinyHunters Çalınan Veriyi 2 Milyon Dolara Satışa Sundu
Lumma Stealer ile başlayan enfeksiyon Context.ai çalışanından Vercel iç ortamlarına ulaştı. Ortam değişkenleri ele geçirildi. Mandiant müdahale ediyor. AI araç tedarik zincirinin yeni tehdit vektörü olduğu somutlaştı.
📅 18–19 Nis 2026 📰 Security Affairs / THN / InfoStealers / ccleaks 🎯 Vercel Müşterileri / Frontend Cloud / DevOps
$2M
Satış Fiyatı
04
CISA KEV 13 Yıllık Açık Apache ActiveMQ Jolokia API RCE
Apache ActiveMQ CVE-2026-34197 CISA KEV'e Eklendi: 13 Yıldır Gizlenmiş Jolokia API RCE — Saldırı Zirvesi 14 Nisan'da
Horizon3.ai: "13 yıldır gizlenmişti." Jolokia JMX-HTTP bridge üzerinden uzak konfig çekme ve OS komutu çalıştırma. Varsayılan admin:admin credential'ları risk çarpanını artırıyor. CISA son tarihi: 30 Nisan 2026.
📅 14–17 Nis 2026 📰 THN / Qualys / Horizon3.ai / FortiGuard Labs 🎯 Java Mesaj Aracıları / Finans Middleware
8.8
CVSS
05
CISA KEV 6 Yeni Giriş Fortinet / MS / Adobe 14 Nisan Toplu Ekleme
CISA 14 Nisan'da 6 Zafiyet KEV'e Ekledi: FortiClient EMS, MS SharePoint, Adobe Acrobat, Defender ve Microsoft Office Dahil
CVE-2026-21643 (FortiClient EMS, CVSS 9.1), CVE-2026-32201 (SharePoint), CVE-2026-34621 (Adobe, CVSS 9.6), CVE-2026-33825 (Defender), CVE-2026-34197 (ActiveMQ) ve MS Office Excel dahil. Son tarihler: 5–30 Mayıs 2026.
📅 14 Nis 2026 📰 CISA KEV / BleepingComputer 🎯 Tüm Kurumsal Ortamlar — Yama Önceliği
6
CISA KEV
06
FBI Operasyonu W3LL Phishing $20M Dolandırıcılık Endonezya İşbirliği
FBI ve Endonezya Polisi W3LL Phishing Altyapısını Çökertti: 20 Milyon Dolar Dolandırıcılık Girişimi, Geliştirici Tutuklandı
W3LL Panel: Microsoft 365 hesaplarını hedef alan hazır phishing toolkit. AiTM (Adversary-in-the-Middle) bypass ile MFA'yı atlatıyor. Binlerce kurumsal hesap kimlik bilgisi çalındı. Geliştirici Endonezya'da yakalandı.
📅 13 Nis 2026 📰 The Hacker News / FBI / Endonezya Polis 🎯 Microsoft 365 Kurumsal Hesaplar
Çökertildi
07
Bankacılık Trojanı Latin Amerika JanelaRAT Kripto Hırsızlığı
JanelaRAT Latin Amerika Bankalarını Hedef Almaya Devam Ediyor: Brezilya'da 14.739 Saldırı, Finansal Kurumlar ve Kripto Platformları Birincil Hedef
BX RAT'tan türetilmiş modifiye varyant. Tuş kaydı, ekran görüntüsü, fare takibi ve finansal uygulama hedefleme. Finansal kurumları taklit eden sahte e-Banko ve Pix mesajlarıyla yayılıyor. Bölgesel finans için yüksek risk.
📅 13 Nis 2026 📰 The Hacker News / Trend Micro 🎯 Latin Amerika Finans Kurumları / Kripto
14K+
Saldırı
08
Supply Chain Özeti OpenAI / GitHub Actions Axios Sonrası CI/CD Riski
OpenAI, macOS Uygulama Sertifikasını İptal Etti: GitHub Actions İş Akışı 31 Mart'ta Zararlı Axios Kütüphanesini İndirmişti
Sertifika iptal edildi, kullanıcı verisi ya da iç sistem etkilenmedi. Ancak vaka, Axios tedarik zinciri açığının CI/CD pipeline'larındaki kalıcı riskini gözler önüne serdi. Tüm derlemeler yeniden yapıldı.
📅 13 Nis 2026 📰 WIU Siber Haberler / OpenAI 🎯 CI/CD / GitHub Actions / Yazılım Geliştiriciler
CI/CD
Risk

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-32201
Aktif İstismar 		6.5 Microsoft SharePoint Server 2016/2019/Subscription Edition Input validation hatası → kimliksiz ağ tabanlı spoofing ve XSS. Yama yayımlanmadan önce aktif istismar edildi. İnternet bağlantılı SharePoint'ler yüksek risk altında. 14 Nisan CISA KEV'e eklendi.
Acil — CISA KEV
MSRC ↗
CVE-2026-33827
Kritik 		Kritik Windows TCP/IP Stack — Tüm desteklenen Windows sürümleri Kimliksiz uzak saldırgan — kullanıcı etkileşimi gerektirmeden RCE. Ağ erişimi yeterli. Wormlanabilir potansiyel mevcut. Nisan Patch Tuesday ile kapatıldı.
Acil Yama
BleepingComputer ↗
CVE-2026-34197
CISA KEV 		8.8 Apache ActiveMQ Classic — 5.19.3 ve öncesi, 6.2.2 ve öncesi 13 yıldır gizli Jolokia API kod enjeksiyonu → uzak OS komutu çalıştırma. Varsayılan admin:admin credentials riski büyütüyor. İstismar 14 Nisan zirvesine ulaştı. CISA son tarihi: 30 Nisan 2026.
Son: 30 Nis 2026
THN ↗
CVE-2026-33825
"BlueHammer"
Kamuya Açık 		7.8 Microsoft Defender Antimalware Platform "Chaotic Eclipse" takma adlı araştırmacı GitHub'da çalışan exploit yayımladı. Ayrıcalık yükseltme. Microsoft'un açıklama sürecine yönelik eleştiri gündemde. 14 Nisan CISA KEV'e eklendi.
Acil Yama
ZDI ↗