ARŞİV ▸ 8 – 14 Haziran 2026 1 – 7 Haziran 2026 25 – 31 Mayıs 2026 18 – 24 Mayıs 2026 11 – 17 Mayıs 2026 4 – 10 Mayıs 2026 27 Nisan – 3 Mayıs 2026 20 – 26 Nisan 2026 13 – 19 Nisan 2026 23 – 29 Mart 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Haftalık CTI Bülteni — 8 – 14 Haziran 2026

Yayın: 16 Haziran 2026  ·  TLP:GREEN

8 Kritik Haber
7 Aktif CVE
9.8 Oracle PeopleSoft CVSS
800K/Gün UAE Saldırı Hacmi
FİNANS
9.9
SAP NetWeaver CVSS
CISA KEV
4
Aktif Zafiyet Eklendi
İRAN APT
2017
Den Beri Aktif Seedworm
PATCH TUESDAY
206
Haziran 2026 CVE

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta finans ve kurumsal altyapıyı doğrudan etkileyen iki kritik zafiyet öne çıktı. Oracle PeopleSoft PeopleTools 8.61/8.62'yi etkileyen CVE-2026-35273 (CVSS 9.8), kimlik doğrulama gerektirmeksizin HTTP üzerinden tam sistem kontrolü sağlayan bir RCE açığı olarak 27 Mayıs–9 Haziran tarihleri arasında sıfır gün olarak istismar edildi; saldırılar ShinyHunters grubuna atfedildi ve CISA 12 Haziran'da açığı KEV kataloğuna ekledi. Finans ve İK sistemlerinin omurgasını oluşturan PeopleSoft ortamlarında internete açık EMHub uç noktaları derhal izole edilmeli ya da yamalanmalıdır. Buna ek olarak, SAP NetWeaver AS ABAP'ta tespit edilen CVE-2026-44748 (CVSS 9.9), SAML XML imza sarmalama tekniğiyle düşük yetkili bir saldırgana tam kimlik doğrulama bypass imkânı tanıyor; finans sektöründe yaygın kullanılan SAP ortamlarını kritik risk altına sokuyor. Microsoft'un Haziran 2026 Patch Tuesday güncellemesi ise rekor 206 CVE ile tarihin en büyük sürümü oldu; Azure HorizonDB'de CVSS 10.0 puanlı CVE-2026-48567 ve HTTP/2 Bomb tekniğini kullanan CVE-2026-49160 dahil beş sıfır gün kapatıldı.

Orta Doğu ve Körfez bölgesindeki tehdit ortamı bu hafta belirgin biçimde yoğunlaştı. İran MOIS bağlantılı Seedworm/MuddyWater, Şubat 2026'dan itibaren bir ABD bankası, havalimanı ve Kanada'daki kar amacı gütmeyen kuruluşların ağlarında 'Dindoor' ve 'Fakeset' adlı yeni backdoor'larla aktif olduğu tespit edildi; bu bulgular finans sektörü için İran kaynaklı casusluğun somut bir hatırlatıcısıdır. DieNet hacktivist grubu, kaynaklara göre Katar, Bahreyn, BAE, Kuveyt ve Suudi Arabistan'daki bankalar, havalimanları ve enerji altyapısını kapsayan yapılandırılmış bir hedef listesi yayımlarken, UAE Siber Güvenlik Konseyi Başkanı bölgedeki günlük saldırı hacminin 800.000 ihlal girişimine ulaştığını açıkladı; AWS veri merkezi ve finans altyapısı bu saldırılardan nasibini aldı. CISA'nın 9 Haziran'da KEV'e eklediği üç zafiyet arasında Google Chrome V8 sıfır günü CVE-2026-11645 (CVSS 8.8) ve Arista EOS CVE-2026-7473 için yama planlanmadığı duyurusu, ağ altyapısı operatörlerini yalnızca ACL tabanlı mitigasyonla baş başa bıraktı. Son olarak, Google'ın Gemini AI platformunu kötüye kullanarak 9.000+ sahte site ve 100.000'den fazla kurban üreten Çinli Outsider Enterprise PhaaS ağına dava açması, yapay zeka destekli kimlik avı tehditlerinin kurumsal riski nasıl dönüştürdüğünü gözler önüne serdi.

// HAFTALIK HABERLER

01
CVSS 9.8 RCECISA KEVShinyHuntersFinans / İK Sistemleri
Oracle PeopleSoft CVE-2026-35273 (CVSS 9.8): ShinyHunters 14 Gün Sıfır Gün İstismarı, CISA KEV'e Eklendi
Oracle PeopleSoft PeopleTools 8.61/8.62'de bulunan CVE-2026-35273, kimlik doğrulama gerektirmeksizin HTTP üzerinden tam sistem kontrolü sağlayan bir RCE açığı olup 27 Mayıs–9 Haziran 2026 tarihleri arasında ShinyHunters tarafından sıfır gün olarak aktif biçimde istismar edildi. Oracle yamasını 10 Haziran'da yayımladı; CISA açığı KEV kataloğuna ekledi. İnternete açık EMHub uç noktaları derhal izole edilmeli; 'not listed' eski sürümler de savunmasız kabul edilmelidir.
📅 10–12 Haz 2026 📰 SOCRadar / Mandiant (GTIG) 🎯 Oracle PeopleSoft PeopleTools 8.61 / 8.62 — Finans, İK, Eğitim
CVSS 9.8
Kimliksiz RCE
02
Hacktivist / DDoSKuveyt / BAE / KörfezDieNet + Keymous PlusFinans Altyapısı
DieNet Grubu Kuveyt, BAE, Katar ve Suudi Arabistan Bankalarını Hedef Listesine Aldı
Kaynaklara göre DieNet hacktivist grubu, Katar, Bahreyn, BAE, Kuveyt ve Suudi Arabistan'daki bankalar, havalimanları, telekom ve enerji/su otoritelerini kapsayan yapılandırılmış bir hedef listesi yayımladı. Keymous Plus da Kuveyt, Ürdün ve Suudi Arabistan'ı günlük 'ziyaret' hedefi olarak ilan etti. İran-İsrail siber çatışması bağlamında Körfez finans kuruluşları için yükseltilmiş DDoS ve web tahrifatı riski mevcut.
📅 10 Haz 2026 📰 SOCRadar (Iran–Israel Cyber Conflict Dashboard) 🎯 Körfez Bankaları, Havalimanları, Enerji / Telekom Altyapısı
5 Ülke
Hedef Alınan
03
İran APT / MOISFinans / BankaDindoor / FakesetTedarik Zinciri
MuddyWater / Seedworm ABD Bankası ve Havalimanı Ağlarında: Dindoor & Fakeset Backdoor'ları Şubat 2026'dan Bu Yana Aktif
İran MOIS bağlantılı Seedworm (MuddyWater), Şubat 2026'dan itibaren bir ABD bankası, havalimanı, Kanada ve ABD'deki kar amacı gütmeyen kuruluşlar ile savunma/havacılık tedarikçisi bir yazılım şirketinin İsrail operasyonlarında aktif. Dino çalışma zamanı üzerine inşa Dindoor backdoor'u 'Amy Cherne' sertifikasıyla imzalanmış; Python tabanlı Fakeset ise Backblaze bulut depolama üzerinden dağıtılmakta. Rclone ile veri sızdırma girişimi de tespit edildi.
📅 9 Haz 2026 📰 Security.com (Broadcom/Symantec) 🎯 ABD Bankası, Havalimanı, NGO, Savunma Tedarikçisi (İsrail)
Şub 2026
İlk Sızma
04
CVSS 9.9 KritikSAP NetWeaver ABAPXML Signature WrappingFinans ERP
SAP NetWeaver CVE-2026-44748 (CVSS 9.9): SAML İmza Sarmalama ile Tam Kimlik Doğrulama Bypass
SAP Haziran 2026 Güvenlik Yama Günü kapsamında yayımlanan CVE-2026-44748, SAP NetWeaver AS ABAP'ta XML imza sarmalama (XSW) tekniğiyle SAML mesajlarının manipülasyonuna izin veriyor; düşük yetkili kimliği doğrulanmış bir saldırgan sahte kimlikle oturum açabilir. CVSS 9.9 puanıyla bu haftanın en yüksek skoru; finans sektöründe ERP omurgası olarak yaygın kullanılan SAP ortamları kritik risk altında. SAP müşterileri Haziran yamalarını öncelikli olarak uygulamalı.
📅 10 Haz 2026 📰 SOCRadar / SAP Security Notes 🎯 SAP NetWeaver AS ABAP — Finans, ERP, Bordro Sistemleri
CVSS 9.9
Auth Bypass
05
PhaaS / SmishingAI Destekli SaldırıÇin Siber SuçKredi Kartı Hırsızlığı
Google Gemini'yi Silah Olarak Kullanan Çinli PhaaS Ağı 'Outsider Enterprise': 9.000+ Sahte Site, 100K+ Mağdur
Google, Gemini AI platformunu kötüye kullanarak 9.000+ sahte site ve 1,59 milyon sahte URL üreten Çinli Outsider Enterprise PhaaS ağına Manhattan federal mahkemesinde dava açtı. Operasyon, Telegram üzerinden koordine edilen Geliştirici, Veri Simsarı, Spam, Hırsızlık ve Telegram alt gruplarından oluşuyor; haftada 88 dolar lisans ücretiyle 290+ kurum taklidi şablon sunuyor. 100.000'den fazla kişi mağdur oldu, milyonlarca dolarlık kayıp raporlandı; Google AT&T, T-Mobile ve Verizon ile ağ seviyesi engelleme için iş birliği yapıyor.
📅 12 Haz 2026 📰 The Hacker News / Google (Manhattan Federal Court) 🎯 ABD Tüketicileri, Mobil Bankacılık, Finansal Kurumlar
9.000+
Sahte Site
06
206 CVE RekorCVSS 10 AzureHTTP/2 Bomb DoSGreenPlasma LPE
Microsoft Haziran 2026 Patch Tuesday: Rekor 206 CVE, 6 Sıfır Gün — Azure HorizonDB CVSS 10 ve HTTP/2 Bomb
Microsoft'un Haziran 2026 Patch Tuesday güncellemesi 206 güvenlik açığını kapattı; 33'ü kritik, 55'i RCE ve 65'i ayrıcalık yükseltme kategorisinde. Altı sıfır gün arasında HTTP/2 Bomb tekniğini kullanan CVE-2026-49160 (CVSS 7.5), SYSTEM ayrıcalığı veren GreenPlasma CVE-2026-45586 (CVSS 7.8) ve BitLocker bypass CVE-2026-50507 (CVSS 6.8, PoC kamuya açık) öne çıkıyor. Azure HorizonDB'yi etkileyen CVE-2026-48567 CVSS 10.0 ile Patch Tuesday kapsamı dışında ayrıca yamalandı; HTTP.sys RCE CVE-2026-47291 (CVSS 9.8) internet'e açık IIS/Windows Server altyapısını doğrudan hedef alıyor.
📅 10 Haz 2026 📰 BleepingComputer / SOCRadar / Microsoft 🎯 Windows Server, IIS, Azure, BitLocker — Kurumsal Altyapı
206
Haziran CVE Rekoru
07
BAE / Körfez800K/Gün SaldırıAWS Veri MerkeziFinans Altyapısı
UAE Siber Saldırı Hacmi 800K/Gün Zirvesine Ulaştı: AWS Veri Merkezi ve Finans Altyapısı Hedef Alındı
UAE Siber Güvenlik Konseyi Başkanı Mohammed Al Kuwaiti, bölgedeki siber saldırıların günlük 600.000–800.000 ihlal girişimine ulaştığını açıkladı. Snippet'e göre saldırı profili Telegram üzerindeki DDoS iddialarından gerçek ağ sızma operasyonlarına evrildi; havalimanı, liman, finans ve hükümet altyapısına hizmet veren bir AWS veri merkezi de etkilendi. Körfez'deki artan hacktivist ve devlet destekli faaliyet göz önünde bulundurulduğunda finans kurumları için izleme yoğunluğunun artırılması öneriliyor.
📅 8 Haz 2026 📰 Dark Reading 🎯 BAE Finans, Hükümet, Havalimanı, Liman Altyapısı — AWS Bölgesi
800K
Günlük Saldırı Girişimi

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-35273
PeopleSoft EMHub RCE
CISA KEV 		9.8 Oracle PeopleSoft PeopleTools 8.61 / 8.62 (EMHub) EMHub bileşeninde auth gerektirmeyen HTTP üzerinden RCE; finans/bordro/İK verilerine tam erişim. ShinyHunters tarafından sıfır gün olarak istismar edildi.
CISA KEV — Acil Yama
Rapid7 Advisory ↗
CVE-2026-44748
SAML Auth Bypass
 9.9 SAP NetWeaver AS ABAP & ABAP Platform XML İmza Sarmalama (XSW) ile SAML payload manipülasyonu; düşük yetkili saldırgan tam kimlik doğrulama bypass elde eder. Finans sistemleri kritik risk altında.
Acil SAP Yaması
SOCRadar ↗
CVE-2026-11645
V8 OOB RCE
CISA KEV 		8.8 Google Chromium V8 Engine (Chrome, Edge, Opera) V8 motorunda OOB okuma/yazma; özel hazırlanmış HTML ile sandbox içinde RCE. Tüm Chromium tabanlı tarayıcılar etkileniyor; vahşi doğada aktif istismar teyit edildi.
CISA KEV — Tarayıcı Güncelle
The Hacker News ↗
CVE-2026-48567
HorizonDB Tam Ele Geçirme
 10.0 Microsoft Azure HorizonDB CVSS 10.0; tam gizlilik, bütünlük ve erişilebilirlik kaybına yol açabilir. Microsoft Haziran 2026 Patch Tuesday kapsamında yama yayımladı.
Acil Azure Yaması
BleepingComputer ↗
CVE-2026-47291
HTTP.sys Heap Overflow RCE
 9.8 Microsoft HTTP.sys (Windows Server / IIS) HTTP.sys'te tamsayı taşması + heap buffer overflow; auth ve kullanıcı etkileşimi gerektirmeden uzaktan RCE. İnternet'e açık IIS/Windows Server altyapısı doğrudan risk altında.
Acil Windows Yaması
CrowdStrike ↗
CVE-2026-49160
HTTP/2 Bomb DoS
 7.5 Microsoft Windows HTTP.sys — HTTP/2 Stack (IIS) HTTP/2 Bomb tekniği ile auth gerektirmeyen uzaktan DoS; küçük istek büyük bellek tüketimine neden olur, IIS ve Windows ağ servisleri etkilenir. PoC kamuya açıklandı.
Yamayı Uygula
Tenable ↗
CVE-2026-50751
CISA KEV (8 Haziran 2026)
CISA KEV 		Kri. Check Point Security Gateway / Quantum Spark EMHub bileşeninde auth gerektirmeyen HTTP üzerinden RCE; finans/bordro/İK verilerine tam erişim. ShinyHunters tarafından sıfır gün olarak istismar edildi.
CISA KEV — Acil Yama
Rapid7 Advisory ↗

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ

config/inventory.yaml'daki sistemlerle CVE'lerin otomatik substring match'i.

CVE-2026-35273 Oracle PeopleSoft PeopleTools 8.61 / 8.62 (EMHub) ✓ envanterde eşleşme yok
CVE-2026-44748 SAP NetWeaver AS ABAP & ABAP Platform ✓ envanterde eşleşme yok
CVE-2026-11645 Google Chromium V8 Engine (Chrome, Edge, Opera) ✓ envanterde eşleşme yok
CVE-2026-48567 Microsoft Azure HorizonDB ✓ envanterde eşleşme yok
CVE-2026-47291 Microsoft HTTP.sys (Windows Server / IIS) ✓ envanterde eşleşme yok
CVE-2026-49160 Microsoft Windows HTTP.sys — HTTP/2 Stack (IIS) ✓ envanterde eşleşme yok
CVE-2026-50751 Check Point Security Gateway / Quantum Spark ✓ envanterde eşleşme yok

// 🛡️ BİZDEKİ DURUM — CVE NOTLARI

CVE-2026-35273 Oracle PeopleSoft PeopleTools 8.61 / 8.62 (EMHub) ❌ Bizde Yok

(not yok)

— teomany · 2026-06-16T09:38:51

CVE-2026-44748 SAP NetWeaver AS ABAP & ABAP Platform ❌ Bizde Yok

(not yok)

— teomany · 2026-06-16T09:38:48

CVE-2026-11645 Google Chromium V8 Engine (Chrome, Edge, Opera) ❌ Bizde Yok

(not yok)

— teomany · 2026-06-16T09:38:49

CVE-2026-48567 Microsoft Azure HorizonDB ❌ Bizde Yok

(not yok)

— teomany · 2026-06-16T09:38:46

CVE-2026-47291 Microsoft HTTP.sys (Windows Server / IIS) ❌ Bizde Yok

(not yok)

— teomany · 2026-06-16T09:38:45

CVE-2026-49160 Microsoft Windows HTTP.sys — HTTP/2 Stack (IIS) ❌ Bizde Yok

(not yok)

— teomany · 2026-06-16T09:38:44

CVE-2026-50751 Check Point Security Gateway / Quantum Spark ❌ Bizde Yok

(not yok)

— teomany · 2026-06-16T09:38:43