ARŞİV ▸ 27 Nis – 3 May 2026 20–26 Nis 2026 13–19 Nis 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Linux Copy Fail 9 Yılda Gizli Kaldı: Tek Komutla Root, GitHub RCE ve PyTorch Lightning Tedarik Zinciri — Shai-Hulud PyPI'ye Taşındı

27 Nisan – 3 Mayıs 2026  ·  Yayın: 4 Mayıs 2026  ·  TLP:WHITE

7 Kritik Haber
4 Aktif CVE
732 Bayt ile Root
9 Yıl Gizli Kernel Açığı
HABER
7
Kritik Olay
SUPPLY CHAIN
4.
Büyük Dalga
LİNUX
2017
Den Beri Açık
GITHUB RCE
88%
Yama Yapmadı

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta, siber güvenlik tarihinin en dikkat çekici Linux açığı kamuoyuna duyuruldu: Copy Fail (CVE-2026-31431), 2017'den bu yana tüm büyük Linux dağıtımlarını etkileyen ve 732 baytlık bir Python scriptiyle yarış koşulu gerektirmeksizin güvenilir biçimde root ayrıcalığı sağlayan bir kernel zafiyeti. Exploit aynı zamanda bir konteyner kaçış vektörü ve Kubernetes node uzlaşma aracı. Yapay zekanın bir saatte bu zafiyet sınıfını keşfedebilmesi, savunma anlayışını kökten değiştiriyor.

Aynı hafta Wiz Research, GitHub'ın git push altyapısında tek bir komutla (semicolon içeren push option) milyonlarca depoya çapraz erişim sağlayan kritik RCE açığını (CVE-2026-3854) kamuoyuyla paylaştı; GitHub Enterprise Server kullananların %88'i henüz yamayı uygulamamış durumda. TeamPCP/Shai-Hulud tedarik zinciri kampanyası PyPI'ye taşındı: PyTorch Lightning (31.000+ GitHub yıldızı, milyonlarca aylık indirme) sürüm 2.6.2 ve 2.6.3'e enjekte edilen Mini Shai-Hulud, import anında çalışarak tüm credential ekosistemini hedef alıyor. Liberty Mutual'a yönelik Everest fidye yazılımı saldırısı finans sektörünü doğrudan etkiliyor; Çin bağlantılı SHADOW-EARTH-053 APT grubu ise NATO'ya bağlı Avrupa ülkeleri dahil Asya-Pasifik hükümet ve savunma sektörlerini hedef almaya devam ediyor.

// HAFTALIK HABERLER

01
Linux Kernel LPE CISA KEV Copy Fail Konteyner Kaçış
Linux Copy Fail (CVE-2026-31431): 2017'den Beri Gizli, 732 Baytla Root — Tüm Büyük Dağıtımlar, Kubernetes ve Konteyner Ortamları Etkileniyor
algif_aead modülünde mantık hatası → AF_ALG + splice() zinciriyle 4 bayt page cache yazma → setuid binary bellek üzerinde değiştirme → root. Yarış koşulu yok, tekrar gerekmez, tek komut. Sayfalama önbelleği tüm konteynerler arasında paylaşıldığından konteyner kaçış primitifi. Kubernetes node uzlaşma vektörü.
📅 29 Nis – 1 May 2026 📰 Xint/Theori / THN / Microsoft / CERT-EU / Help Net 🎯 Tüm Linux Sunucular / Cloud / CI/CD / Kubernetes
732B
Exploit Boyutu
02
Supply Chain Mini Shai-Hulud PyPI / PyTorch TeamPCP
PyTorch Lightning PyPI'de Ele Geçirildi: Mini Shai-Hulud import Anında Çalışıyor — 42 Dakikada Yanıt, GitHub Hesabı Ele Geçirilmiş
lightning==2.6.2 ve 2.6.3 — 30 Nisan'da yayımlandı, Socket 18 dakikada tespit etti. hidden _runtime/router_runtime.js: import anında çalışır, PoC gereksiz. Solucan GitHub token'larıyla 50 branch'e yayılır. intercom-client@7.0.4 da aynı anda ele geçirildi. 6. büyük TeamPCP dalgası.
📅 30 Nis 2026 📰 Socket / Aikido / THN / Semgrep / Penligent 🎯 AI/ML Geliştiriciler / PyTorch Ekosistemi
42dk
Yanıt Süresi
03
GitHub RCE CVE-2026-3854 Wiz Research 88% Yamayı Uygulamadı
GitHub CVE-2026-3854: Tek git push ile Backend Sunucusunda RCE — Çapraz Kiracı Erişim, Milyonlarca Depo Riski, GHES'lerin %88'i Açıkta
babeld X-Stat header'ına kullanıcı push option'ı sanitize edilmeden ekleniyor → semicolon injection → git servis kullanıcısıyla RCE. GitHub.com 75 dakikada yamadı. GHES: %88 hâlâ açıkta. Wiz: milyonlarca private repo'ya erişim doğrulandı (üçüncü taraf veri dokunulmadı).
📅 28 Nis 2026 (açıklama) 📰 Wiz / GitHub Blog / THN / Security Affairs 🎯 GitHub Enterprise Server / DevOps
8.7
CVSS
04
Fidye Yazılımı Liberty Mutual Everest Grubu Finans / Sigorta
Everest Fidye Yazılımı Liberty Mutual'ı Hackledi: 100GB+ Sigorta Poliçesi ve Müşteri Verisi Çalındı — 3 Günlük Son Tarih
Tüm dünyada faaliyet gösteren büyük sigorta şirketi. Polisler, isimler, adresler, mali bilgiler. Everest çift gasp modeli — BMW, Collins Aerospace, Coca-Cola Orta Doğu ve AT&T sonrası. BlackByte grubuyla bağlantılı. Finans sektörü için doğrudan risk.
📅 29 Nis – 1 May 2026 📰 Cybernews / Cybernews Ransomlooker 🎯 Sigorta / Finans / Kurumsal Müşteriler
100GB+
Çalınan Veri
05
Çin APT SHADOW-EARTH-053 ShadowPad NATO / Asya-Pasifik
Çin Bağlantılı SHADOW-EARTH-053 APT: Güney, Doğu, Güneydoğu Asya ve NATO Ülkesi Hükümeti Hedefte — ShadowPad ve Godzilla Webshell
Trend Micro analizi. Exchange ve IIS ProxyLogon zinciri → Godzilla webshell → ShadowPad DLL sideloading. CL-STA-0049 / Earth Alux / REF7707 ile örtüşme. Aralık 2024'ten aktif. Savunma ve hükümet sektörleri. Finans kurumlarının düzenleyici birimlerini kapsıyor.
📅 29 Nis 2026 📰 THN / Trend Micro 🎯 Hükümet / Savunma / NATO Üyesi Ülkeler
APT
Devlet
06
CISA KEV 8 Yeni Giriş Cisco SD-WAN Linux / Zimbra / Quest
CISA 8 Zafiyet Daha KEV'e Ekledi: Cisco SD-WAN 3 CVE, Quest KACE CVSS 10.0, Zimbra ZCS, Linux Copy Fail ve JetBrains TeamCity Dahil
CVE-2025-32975 (Quest KACE, CVSS 10.0 — kimliksiz RCE), CVE-2026-20122/20128/20133 (Cisco SD-WAN Manager), CVE-2026-31431 (Linux Copy Fail), CVE-2025-48700 (Zimbra). Son tarihler: Mayıs 2026 içinde. 8 KEV girişinin tek günde yapılması istismar yoğunluğunu yansıtıyor.
📅 28–29 Nis 2026 📰 THN / CISA KEV 🎯 Tüm Kurumsal Ortamlar
8
CISA KEV
07
Çin / Silk Typhoon İade / ABD Adaleti COVID Araştırma CISA KEV Bağlantısı
Çinli Silk Typhoon Hackerı COVID-19 Araştırma Siber Saldırıları Nedeniyle ABD'ye İade Edildi — Birden Fazla Araştırma Kurumu Hedef Alınmıştı
Pandemi döneminde ABD, Kanada ve Avustralya'daki COVID-19 araştırma kurumlarına yönelik saldırıların faili. Silk Typhoon (Hafnium) grubunun altyapısıyla örtüşen TTK'lar. İade, APT operasyonlarında hesap verebilirlik açısından nadir bir örnek. CISA KEV ile bağlantılı zafiyet zinciri.
📅 29 Nis 2026 📰 THN / Reuters / DoJ 🎯 Kritik Araştırma Altyapısı / Hukuki Süreç
İADE
Hesap Verebilirlik

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-31431
"Copy Fail"
CISA KEV 		7.8 Linux Kernel ≥4.13 (2017'den tüm dağıtımlar) algif_aead + splice() → 4 bayt page cache yazma → setuid binary bellek manipülasyonu → root. Yarış koşulu yok, tekrar gerekmez. 732 bayt Python PoC. Konteyner kaçış primitifi. Kubernetes node uzlaşma vektörü. Disk üzerinde iz bırakmıyor.
Acil Kernel Güncellemesi
Xint Advisory ↗
CVE-2026-3854
Kritik 		8.7 GitHub Enterprise Server (tüm sürümler <3.19.3) babeld X-Stat header'ında sanitize edilmemiş push option → komut enjeksiyonu → git servis kullanıcısıyla RCE. Çapraz kiracı blast radius. GHES'lerin %88'i hâlâ açıkta. GitHub.com 75 dakikada yamalandı. GHES: 3.19.4+ veya 3.14.25+.
Anında GHES Güncellemesi
THN ↗
CVE-2025-32975
CISA KEV 		10.0 Quest KACE Systems Management Appliance (SMA) Kimliksiz RCE — tam ağ erişimi gerektirmiyor. CVSS 10.0: maksimum kritiklik. Kurumsal endpoint yönetiminde yaygın kullanım. CISA KEV'e 28 Nisan'da eklendi.
CISA KEV — Acil
CISA ↗
lightning==2.6.2/2.6.3
Mini Shai-Hulud / TeamPCP
Supply Chain 		Kritik PyPI lightning (PyTorch Lightning) — milyonlarca aylık indirme import anında çalışır — _runtime/router_runtime.js (11MB): GitHub token, npm token, AWS/GCP/Azure/K8s secret, SSH key, kripto cüzdan. Solucan: bulunan tokenlarla diğer paketlere otomatik yayılır. intercom-client@7.0.4 da aynı anda ele geçirildi.
→ lightning==2.6.1
Socket ↗