Wallarm’ın en son 2025 3. Çeyreği API ThreatStats raporu [link placeholder] API’deki güvenlik açıklarının, istismarların ve ihlallerin artmakta olmadığını ortaya koyuyor; gelişiyorlar.
Kötü niyetli aktörler kod düzeyindeki zayıflıklardan iş mantığı kusurlarına, web uygulamalarından iş ortağı entegrasyonlarına ve REST’ten yapay zeka destekli API’lere geçiş yapıyor.
İşte bu çeyrekte öne çıkanlar ve güvenlik liderlerinin bu konuda ne yapması gerektiği.
API Açıkları Tekrar Arttı
2025’in üçüncü çeyreğinde, araştırmacılarımız API ile ilgili 1.602 güvenlik açığı tespit etti; bu sayı, ikinci çeyreğe göre %20 artış gösterdi. Ortalama önem derecesi 7,4 CVSS’de sabit tutuldu, bu da kusurların çoğunun Yüksek veya Kritik kaldığı anlamına geliyor.
Suçlular pek değişmedi:
- Yanlış Güvenlik Yapılandırması (API8), çeyreğe göre %33 artışla 605 vakayla bir kez daha listenin başında yer aldı.
- Bozuk Yetkilendirme (API5, API1), tüm API güvenlik açıklarının yaklaşık %28’ini oluşturuyor.
- Kırık Kimlik Doğrulama (API2), REST ve SOAP API’lerindeki zayıf kimlik bilgisi uygulamaları nedeniyle keskin bir artış gösterdi.
Daha fazla farkındalığa rağmen aynı temel sorunlar devam ediyor: yanlış yapılandırmalar, yetersiz erişim kontrolü ve zayıf kimlik bilgisi hijyeni. Her biri aynı sistemsel boşluğa işaret ediyor: API’ler hâlâ güvence altına alındıklarından daha hızlı dağıtılıyor.
AI-API ve MCP Güvenlik Açıkları Artıyor
Açık bir trend varsa o da AI-API güvenlik açıklarının artmasıdır.
Üçüncü çeyrekte bu sayı yalnızca üç ayda %57 artışla 77’den 121’e çıktı. Bu grup içinde, Model Bağlam Protokolü (MCP) güvenlik açıkları %270 oranında arttı ve bu da kötü niyetli kişilerin model sunma ve çıkarım hatlarından nasıl yararlanacaklarını hızla öğrendiklerinin sinyalini verdi.
Bu kusurların çoğu tanıdık API zayıflıklarıyla eşleşiyor: yanlış yapılandırma, bozuk işlev düzeyinde yetkilendirme ve API’lerin güvenli olmayan tüketimi. Ancak sonuçları daha derinlere uzanıyor.
AI-API entegrasyonları yalnızca verileri açığa çıkarmakla kalmaz; iş mantığını, iş akışlarını ve güven zincirlerini açığa çıkarırlar. Varlıklar yapay zekayı müşteri ve iş ortağı arayüzlerine yerleştirdikçe, bu saldırı yüzeyleri çoğalıyor ve geleneksel API taraması tek başına bu tempoya ayak uyduramıyor.
Çıkarılan sonuç: 2025 Yıllık API ThreatStats raporumuzda iddia ettiğimiz gibi, yapay zeka güvenliği artık API güvenliğidir. Model uç noktalarını veya aracı sistemlerini entegre eden herhangi bir kuruluşun, API koruma yığınını çıkarım ve düzenleme katmanlarını kapsayacak şekilde genişletmesi gerekir.
İstismar Edilen API’ler Hala Aynı Modelleri Takip Ediyor
CISA Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna üçüncü çeyrekte 51 yeni giriş eklendi. Bunlardan 8’i (%16) API ile ilgiliydi; bu da API’lerin yaygın kullanımda olduğu doğrulanan istismarların tutarlı bir parçası olmaya devam ettiğini gösteriyor.
Bu gerçek dünyadaki saldırılar aynı eski kalıpları yansıtıyordu:
- Cisco ISE ve TeleMessage API’lerindeki Bozuk Yetkilendirme, yetkisiz erişime ve uzaktan kod yürütülmesine olanak sağladı.
- Güvenlik Yanlış yapılandırması, Spring Boot Actuator uç noktaları gibi teşhis arayüzlerini açığa çıkardı.
- API’lerin Güvenli Olmayan Tüketimi, Fortra GoAnywhere ve DELMIA Apriso gibi sistemlerde seri durumdan çıkarma kusurlarına yol açtı.
Güvenlik açıkları ile aktif istismarlar arasındaki örtüşme çok açıklayıcıdır. Aynı sınıftaki zayıflıklar yeniden keşfedilmeye, yeniden kullanılmaya ve çoğu zaman çok geç düzeltilmeye devam ediyor.
İhlaller Genişleyen Saldırı Zincirlerini Ortaya Çıkarıyor
Üçüncü çeyrekte fintech, konaklama, SaaS ve yapay zekayı kapsayan API ile ilgili sekiz büyük ihlal doğrulandı. Rakamlar ikinci çeyreğe göre biraz düştü ancak kapsam ve karmaşıklık arttı.
Aralarında Cloudflare, Zscaler, Palo Alto Networks ve Google’ın da bulunduğu birden fazla kuruluştaki Salesforce API’lerini tehlikeye atmak için çalıntı tokenların kullanıldığı Salesloft/Drift OAuth olayı dikkat çekti. Bu, tüm ortak ekosistemlere yayılan tek bir istismardı.
Bahsetmeye değer diğer durumlar şunlardır:
- Uluslararası Restoran Markaları (RBI): mantık kusurları ve bozulmuş nesne düzeyinde yetkilendirme (BOLA) yoluyla yararlanılan arabaya servis ve sipariş API’leri.
- İsviçreBorg: Fintech API’sinin kötüye kullanılması nedeniyle 41 milyon dolar kaybedildi.
- McDonald’s (Paradox.ai aracılığıyla): dahili chatbot API’leri hassas başvuru sahibi ve İK verilerini açığa çıkardı.
- Flexypay Çözümleri: sahte iş ortağı API çağrıları yetkisiz ödemeleri tetikledi.
Ortak nokta, kötü aktörlerin API’leri enjeksiyon kusurları açısından araştırmaktan daha fazlasını yapması; iş akışlarını, belirteçleri ve güven sınırlarını manipüle etmeleridir.
İş Mantığını Kötüye Kullanmanın Yükselişi
Rapor, tüm bulgular arasında her CISO’nun dikkate alması gereken bir trendi vurguluyor: İş Mantığını Kötüye Kullanma (BLA).
SQL enjeksiyonu veya XSS’den farklı olarak BLA, kodlama hatalarından yararlanmaz; bir uygulamanın çalışmak üzere tasarlanma şeklini kötüye kullanır. Saldırganlar yetkisiz sonuçlar elde etmek için adımları atlar, tek seferlik eylemleri tekrarlar veya durum geçişlerini değiştirir.
Örnekler şunları içerir:
- Süresi dolması gereken kuponların veya geri ödemelerin yeniden kullanılması (İşlem Limitinin Aşılması)
- İş akışı doğrulama adımlarının atlanması (Eksik Geçiş Doğrulaması)
- Gizli veya eski API işlevlerinin kötüye kullanılması (Gölge İşlevinin Kötüye Kullanılması)
Bu yıl yayınlanan OWASP İş Mantığını Kötüye Kullanma İlk 10 listesi, giderek büyüyen bu saldırı sınıfını resmileştiriyor. İşletmelerin %82’si artık kendilerini API öncelikli olarak tanımladığından, mantık katmanı kazançlı yeni bir hedef haline geldi.
Geleneksel WAF’ler ve statik tarayıcılar bunu yakalayamaz. Yalnızca durum bilgisi olan, davranışa duyarlı izleme ve bağlam odaklı testler, BLA’yı gerçek zamanlı olarak tespit edebilir.
Güvenlik Liderleri için Temel Çıkarımlar
Üçüncü çeyrek, API riskinin geleneksel AppSec kapsamını geride bıraktığını doğruluyor. Yanlış yapılandırmalar ve yetkilendirme hataları yaygın olmaya devam ediyor, yapay zeka entegrasyonları hızlanıyor ve mantığın kötüye kullanılması ana akım haline geldi. Farkındalık ile uygulama arasındaki uçurum giderek açılıyor.
Peki firmalar bundan sonra nereye odaklanmalı?
API Güvenliğini Birinci Sınıf Vatandaş Haline Getirin
API’ler artık birincil saldırı yüzeyinizi temsil ediyor. Onlara bu şekilde davranın. API metriklerini (envanter kapsamı, maruz kalma oranları, ortalama tespit süresi) yönetim kurulu düzeyindeki kontrol panellerinize entegre edin.
AppSec Ayrımını Kapatın
Web, mobil ve API güvenliği artık ayrı alanlar değil. Yönetişimi ve testleri tek bir çerçeve altında birleştirerek her yeni hizmetin tasarımdan dağıtıma kadar güvenli olmasını sağlayın.
Korumayı AI Pipeline’lara kadar genişletin
Yapay zeka uç noktalarının ayrıcalıklı sistemler gibi izlenmesi gerekir. Enstrüman modeli API’leri, günlük çıkarım trafiği ve denetim entegrasyonları üç ayda bir. Aracı sistemler, müşteriye yönelik API’lerle aynı (veya daha fazla) titizlik gerektirir.
Gölge API’lerini Avla
Keşif yeterli değil. Kayıtlı olmayan uç noktaları, hata ayıklama yollarını ortaya çıkarmak ve artıkları saldırganlardan önce hazırlamak için aktif tarama ve trafik korelasyonunu kullanın.
Sadece Kodu Değil, İş Mantığını Test Edin
CI/CD’de kötüye kullanım simülasyonlarını otomatikleştirin. Rol yükseltmeyi, atlanan iş akışlarını ve belirteç tekrarını kontrol edin. QA süreciniz şema doğrulamayla bitiyorsa güvenliği değil, yalnızca sözdizimini test ediyorsunuz demektir.
API Güvenliği AppSec’e Liderlik Ediyor
2025’in 3. Çeyreği API ThreatStats raporu, API yayılımının, yapay zeka entegrasyonunun ve iş mantığı kusurlarının sistemik bir riske dönüştüğünün resmini çiziyor.
Saldırganlar savunmalardan daha hızlı gelişiyor. Sorun API’lerin hedeflenip hedeflenmeyeceği değil; varlıkların, bağlı ekosistemler arasında yayılmadan önce saldırıları görüp durduramayacağıdır.
API güvenliği artık AppSec’in arkasında duramaz. Buna öncülük etmesi gerekiyor. Tüm bilgiler için raporu bugün indirin.