Çin tehdidi aktörlerinin aktif olarak sömürdüğü kritik bir sıfır gün kırılganlığına karşı savunmasız 840 sistem de dahil olmak üzere, internet tabanlı saldırılara maruz kalan 17.000’den fazla Microsoft SharePoint sunucusunun keşfedilmesiyle önemli bir siber güvenlik krizi ortaya çıktı.
Güvenlik araştırmacıları tarafından CVE-2025-53770 ve “Araç Kobanı” olarak adlandırılan güvenlik açığı, hükümet, sağlık, finans ve eğitim sektörlerinde yüzlerce kuruluşu tehlikeye atmıştır.
Aktif saldırı altında kritik altyapı
Shadowserver Foundation’ın son bulguları, bu siber güvenlik olayının endişe verici kapsamını ortaya koyuyor ve araştırmacılar en az 20 sunucuyu aktif web kabuklarıyla tehlikeye atılmış olarak tanımlıyor.
Güvenlik açığı, 9.8 kritik bir CVSS puanı taşır ve kimlik doğrulanmamış saldırganların şirket içi SharePoint sunucularında uzaktan keyfi kod yürütmesini sağlar.
Microsoft bu sofistike saldırıları üç Çin tehdit aktörüne bağladı: Keten Typhoon (APT27), Violet Typhoon (APT31) ve Storm-2603.
Sömürü kampanyası 7 Temmuz 2025’te başladı ve araştırmacılar ilk keşiften sonra hızlı yükselmeyi gözlemlediler.
İlk olarak 18 Temmuz’daki saldırıları bildiren göz güvenliği, 400’den fazla kurban örgütünü doğruladı, ancak uzmanlar bu müdahalelerin gizli doğası nedeniyle gerçek sayının muhtemelen çok daha yüksek olduğu konusunda uyarıyor.
Birkaç ABD federal ajansı, Enerji Bakanlığı Ulusal Nükleer Güvenlik İdaresi, İç Güvenlik Bakanlığı, Sağlık ve İnsan Hizmetleri Bakanlığı ve Eğitim Bölümü de dahil olmak üzere bu saldırılara kurban edildi.
Ülke çapında eyalet ve yerel yönetim kurumları da etkilenmiştir ve ulusal güvenlik sonuçları konusunda ciddi endişeler ortaya çıkarmıştır.
Saldırılar, kimlik doğrulama mekanizmalarını tamamen atlayan sofistike bir güvenlik açığı zincirinden yararlanıyor.
Saldırganlar, genellikle “spinstall0.aspx” ve varyantlar adı verilen kötü amaçlı web kabuklarını dağıtarak SharePoint’in araç pisti uç noktasına özenle hazırlanmış posta istekleri gönderir.
Bu kabuklar, tehdit aktörlerinin ASP.NET makine anahtarlarını çalmasını sağlar ve sistemler yamalandıktan sonra bile kalıcı erişim sağlar.
İlgili Çin gruplarından biri olan Storm-2603, Warlock fidye yazılımlarını tehlikeye atılan sistemlere dağıtarak veri hırsızlığının ötesinde tehditleri artırdı.
Grup, kimlik bilgisi hasat için Mimikatz ve Psexec gibi yanal hareket araçları da dahil olmak üzere gelişmiş teknikler kullanıyor ve gelişmiş kalıcı tehdit yetenekleri gösteriyor.
Microsoft, desteklenen tüm SharePoint sürümleri için acil durum yamaları yayınladı, ancak siber güvenlik uzmanları tek başına yamaların yetersiz olduğunu vurguluyor.
Kuruluşlar derhal makine anahtarlarını döndürmeli, kötü amaçlı yazılım karşıtı tarama arayüzünü (AMSI) etkinleştirmeli ve potansiyel uzlaşmaları tanımlamak için kapsamlı güvenlik değerlendirmeleri yapmalıdır.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıkları kataloğuna acil bir iyileştirme son tarihine sahip CVE-2025-53770 ekledi ve ülke çapında temel altyapı sistemleri için kritik tehdidin altını çizdi.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!