ARŞİV ▸ 15 – 21 Haziran 2026 8 – 14 Haziran 2026 1 – 7 Haziran 2026 25 – 31 Mayıs 2026 18 – 24 Mayıs 2026 11 – 17 Mayıs 2026 4 – 10 Mayıs 2026 27 Nisan – 3 Mayıs 2026 20 – 26 Nisan 2026 13 – 19 Nisan 2026 23 – 29 Mart 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Haftalık CTI Bülteni — 15 – 21 Haziran 2026

Yayın: 22 Haziran 2026  ·  TLP:GREEN

7 Kritik Haber
6 Aktif CVE
9.8 Splunk Enterprise CVSS
86K FortiBleed Cihaz
SIEM RISKI
9.8
Splunk CVE 20253
CISA KEV
4
Bu Hafta Eklendi
K. KORE APT
141
Mastra NPM Paket
RANSOMWARE
830
INC 2026 Kurban

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu haftanın en kritik gelişmesi Splunk Enterprise CVE-2026-20253 (CVSS 9.8, CISA KEV) — PostgreSQL sidecar servisindeki kimlik doğrulamasız uzaktan kod yürütme. CISA federal kurumlara 3 gün süre verdi. Splunk envanterimizde 9.3.3 sürüm bulunduğu için şu an doğrudan etkilenmiyoruz (CVE 10.0–10.2 sürümlerini kapsıyor), ancak SIEM upgrade planı varsa 10.0.7 / 10.2.4 öncesi geçilmemeli. WatchTowr PoC kodu, AWS AMI'da sidecar default açık olduğu için internet-dönük örnekler birkaç gün içinde toplu istismar gördü.

FortiBleed: Rusça konuşan grup, 86.644 Fortinet firewall'unun VPN/admin kimlik bilgilerini açığa çıkardı — Türkiye'den bir NATO savunma müteahhidi dahil. Microsoft Defender 'RoguePlanet' sıfırıncı günü (CVE-2026-50656, CVSS 7.8) henüz yamasız — public PoC SYSTEM yetkisi veriyor. BlueNoroff (Kuzey Kore Lazarus) Mastra ekosisteminde 141 npm paketini ele geçirdi — finans/kripto geliştiricileri hedef. INC Ransomware 830 kurbanla LockBit boşluğunu doldurdu, The Gentlemen EDR sonlandırıcı çerçeve dağıtıyor; DragonForce ise C2'yi MS Teams trafiği içine gizleyen yeni RAT (Backdoor.Turn) ile tespit edildi.

// HAFTALIK HABERLER

01
CISA KEVSIEM RCESplunk
Splunk Enterprise CVE-2026-20253 (CVSS 9.8, KEV): PostgreSQL Sidecar Bypass ile Yetkisiz RCE — CISA 3 Gün Süre Verdi
Splunk Enterprise'ın PostgreSQL sidecar servisinde (port 5435) bulunan kimlik doğrulamasız uzaktan kod yürütme açığı. WatchTowr 12 Haziran'da PoC yayınladı, aktif istismar 18 Haziran'da Splunk tarafından doğrulandı. CISA KEV'e 18 Haz'da eklendi, federal kurumlara 21 Haz'a kadar yamala emri. AWS AMI üzerinde sidecar varsayılan açık — internete dönük sistemler doğrudan tehlike altında.
📅 10–18 Haz 2026 📰 Help Net Security / Splunk SVD-2026-0603 / CISA 🎯 Splunk Enterprise 10.0.0–10.0.6 ve 10.2.0–10.2.3
9.8
CVSS KEV
02
CISA AcilFortinetTR Etki
FortiBleed: 86.644 Fortinet Firewall'unun VPN Kimlik Bilgileri Sızdı — Türk NATO Müteahhitleri Dahil 194 Ülke
Rusça konuşan tehdit grubu, 73.932 benzersiz Fortinet firewall'unun VPN ve yönetici kimlik bilgilerini bir sunucuda yanlışlıkla açığa çıkardı; Hudson Rock + Kevin Beaumont doğruladı. 19 Haziran itibarıyla 86.644 cihaza yükseldi. CISA acil uyarı yayımladı. SOCRadar: %35 generic admin hesabı, %28.3 fabrika default — büyük kısmı şifre döndürmemiş. Türkiye'den NATO savunma müteahhidi de etkilenenler arasında; gizli savunma belgeleri sızdırıldı.
📅 18–19 Haz 2026 📰 Help Net Security / Hudson Rock / SOCRadar / CISA 🎯 FortiGate cihazları (PBKDF2 öncesi config'lere sahip)
86K
Cihaz
03
Zero-DayWindows DefenderPoC Public
Microsoft Defender Sıfırıncı Gün 'RoguePlanet' (CVE-2026-50656, CVSS 7.8): Yetki Yükseltme, Public PoC Çıktı
Microsoft, Defender'da yetki yükseltmeye olanak tanıyan sıfırıncı gün açığını resmi olarak duyurdu. Race condition kullanan public PoC kod, SYSTEM yetkili komut istemcisi açıyor. 17 Haziran'da CVE atandı. Patch henüz yayımlanmadı — Microsoft hazırlık aşamasında. SYSTEM düzeyine yükseltilebilen herhangi bir initial access vektörüyle birleştirilebilir.
📅 17 Haz 2026 📰 The Hacker News / MSRC 🎯 Windows Defender (tüm Windows 10/11 + Server)
7.8
CVSS 0-Day
04
Supply ChainLazarus APTFinans Hedef
Mastra NPM Tedarik Zinciri Saldırısı: 141 Paket Ele Geçirildi — Microsoft Atfı BlueNoroff (Lazarus / Sapphire...
17 Haziran'da saldırgan Mastra AI ekosisteminden 141 npm paketini ele geçirdi ve kötü amaçlı sürümler yayımladı. Microsoft saldırıyı Kuzey Kore'nin BlueNoroff (Sapphire Sleet / APT38) grubuna atfetti — finans + kripto kuruluşlarını hedeflemesiyle bilinen aktör. Aikido Security tedarik zincirini analiz etti; ele geçirilen paketler kimlik bilgilerini ve geliştirici makinelerindeki cüzdan verilerini hedefliyor.
📅 17 Haz 2026 📰 The Hacker News / Microsoft Threat Intelligence / Aikido 🎯 Mastra AI npm paketlerini kullanan geliştirme/CI ortamları
141
Paket
05
RansomwareMS Teams AbuseC2 Tunneling
DragonForce Ransomware: Microsoft Teams Trafiği Üzerinden C2 Tüneli (Backdoor.Turn Go RAT) — ABD Hizmet Firmasında
DragonForce ransomware operatörleri, Backdoor.Turn adlı Go ile yazılmış özel RAT'ı Microsoft Teams relay altyapısı içinde gizleyerek C2 trafiğini tünelliyor. Symantec + Carbon Black raporu (Broadcom) büyük bir ABD hizmet firmasında tespiti açıkladı. Geleneksel network monitoring Teams trafiğini güvenli görüyor — bu bypass tekniği kurumsal SIEM tespitini delik bırakıyor.
📅 18 Haz 2026 📰 The Hacker News / Broadcom Symantec 🎯 MS Teams kurumsal kullanan organizasyonlar (geniş)
Go
RAT Tipi
06
Sektör TrendiRansomware-as-a-Service
INC Ransomware: Ağustos 2023'ten Bu Yana 830 Kurban — LockBit + BlackCat Boşluğunu Doldurdu
INC ransomware operasyonu Ağustos 2023'ten bu yana 830 kurban iddiası ile 2026'nın en aktif RaaS'larından biri haline geldi. LockBit'in dağıtılması ve BlackCat'in kapanması sonrası bağlı kuruluşlar (affiliate) INC'ye geçti — pazar paylarını büyütüyor. Finans sektörü hedeflerinde Qilin ile birlikte 2026 Q1'de %76 artış.
📅 18 Haz 2026 📰 The Hacker News / Black Kite 2026 Financial Services Report 🎯 Kurumsal sektör — özellikle finans odaklı
830
Kurban
07
EDR BypassDefense Evasion
'The Gentlemen' RaaS: GentleKiller Çerçevesiyle EDR Bypass Aracı Setini Standartlaştırdı
ESET, The Gentlemen RaaS operasyonunun GentleKiller adlı bir defense-evasion çerçevesi etrafında EDR sonlandırıcı araç paketini affilate'lere dağıttığını raporladı. HexKiller, ThrottleBlood, HavocKiller gibi üçüncü taraf araçları da standartlaştırılmış — sahte sürüm bilgileri ile güvenlik satıcılarını taklit ediyor, kopyalanmış sertifika ve ikonlar kullanıyor. SOC/EDR ekipleri için imza-temelli tespitin yetersizliği kanıtı.
📅 18 Haz 2026 📰 The Hacker News / ESET 🎯 EDR-bağımlı tüm savunma stratejileri (geniş)
MaaS
Kit

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-20253
PostgreSQL Sidecar — Unauth File Create/Truncate → RCE
CISA KEV 		9.8 Splunk Enterprise 10.0.0–10.0.6 ve 10.2.0–10.2.3
CVE-2026-50656
RoguePlanet — Race Condition → SYSTEM Yetki Yükseltme
 7.8 Microsoft Defender (Windows 10/11, Server)
CVE-2026-20251
Unsafe Deserialization (jsonpickle) → RCE
 8.8 Splunk Secure Gateway App
CVE-2026-48907
Improper Access Control → Unauth PHP Upload
CISA KEV 		Kri. Joomla Content Editor (Widget Factory)
CVE-2026-54420
Symlink Following — Privileged File Read/Write
CISA KEV 		Kri. LiteSpeed cPanel Plugin (CloudLinux/CageFS)
CVE-2026-4020
Information Disclosure — API Key + OAuth Token Sızıntısı
 5.3 Gravity SMTP WordPress Plugin (~100K kurulum)

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ

config/inventory.yaml'daki sistemlerle CVE'lerin otomatik substring match'i.

CVE-2026-20253 Splunk Enterprise 10.0.0–10.0.6 ve 10.2.0–10.2.3 ⚠ 1 sistem etkilenebilir
  • Splunk Splunk Enterprise · sürüm 9.3.3 · sahip: soc HIGH 🟠 OLASI
CVE-2026-50656 Microsoft Defender (Windows 10/11, Server) ✓ envanterde eşleşme yok
CVE-2026-20251 Splunk Secure Gateway App ✓ envanterde eşleşme yok
CVE-2026-48907 Joomla Content Editor (Widget Factory) ✓ envanterde eşleşme yok
CVE-2026-54420 LiteSpeed cPanel Plugin (CloudLinux/CageFS) ✓ envanterde eşleşme yok
CVE-2026-4020 Gravity SMTP WordPress Plugin (~100K kurulum) ✓ envanterde eşleşme yok

// 🛡️ BİZDEKİ DURUM — CVE NOTLARI

CVE-2026-20253 Splunk Enterprise 10.0.0–10.0.6 ve 10.2.0–10.2.3 ❌ Bizde Yok

Kurumumuzda 9.4.7 sürümü kullanılmaktadır.

— mehmsahi · 2026-06-22T09:28:17

CVE-2026-50656 Microsoft Defender (Windows 10/11, Server) ❌ Bizde Yok

(not yok)

— mehmsahi · 2026-06-22T09:28:43

CVE-2026-20251 Splunk Secure Gateway App ❌ Bizde Yok

(not yok)

— mehmsahi · 2026-06-22T09:28:45

CVE-2026-48907 Joomla Content Editor (Widget Factory) ❌ Bizde Yok

(not yok)

— mehmsahi · 2026-06-22T09:28:48

CVE-2026-54420 LiteSpeed cPanel Plugin (CloudLinux/CageFS) ❌ Bizde Yok

(not yok)

— mehmsahi · 2026-06-22T09:28:51

CVE-2026-4020 Gravity SMTP WordPress Plugin (~100K kurulum) ❌ Bizde Yok

(not yok)

— mehmsahi · 2026-06-22T09:28:53

📝 EDİTÖR NOTU

FortiBleed hususunda incelemeler, araştırmalar ve kontroller devam ederken, bilgilendirmeler de takip edilmektedir.

— mehmsahi · 2026-06-22T09:29:58