2025 tatil sezonu, saldırganların çevrimiçi ticaretteki küresel artıştan yararlanmak için endüstriyel altyapıyı kullanmasıyla benzeri görülmemiş bir siber tehdit dalgasını serbest bıraktı.
Bu yılın tehdit ortamı, suçluların operasyonlarını birden fazla ticari kategoride ölçeklendirmek için otomatik araçlardan yararlandığı yanıltıcı dijital varlıkların hesaplı bir şekilde genişletilmesiyle karakterize ediliyor.
Bu kampanyaların ana vektörü, meşru perakendecileri taklit etmek ve alışverişin yoğun olduğu dönemlerde hassas tüketici verilerini yakalamak üzere tasarlanmış, birbirine benzeyen web sitelerinin kitlesel olarak oluşturulmasını içerir.
Tatil öncesi bu saldırının en önemli göstergelerinden biri, yalnızca son üç ayda 18.000’den fazla tatil temalı alanın kaydedilmesidir.
“Noel”, “Kara Cuma” ve “Flash Sale” gibi yüksek trafiğe sahip anahtar kelimeleri hedefleyen bu alanlar, kimlik avı düzenlerinin ve sahte vitrinlerin omurgasını oluşturur.
Bu sitelerin çoğu, hafif URL değişiklikleriyle ev adlarını taklit ediyor ve bu da onları aceleci alışveriş yapanlar için neredeyse ayırt edilemez hale getiriyor.
Bu alan adlarının bir kısmı erken tespitten kaçınmak için pasif kalırken, yüzlercesi zaten hediye kartı dolandırıcılığı ve ödeme toplama sayfalarını barındırmak için silah haline getirildi.
Fortinet güvenlik analistleri, bu kapsamlı kötü amaçlı altyapı ağını tespit ederek, kampanyanın ölçeğinin etkili SEO zehirlenmesini kolaylaştırdığını belirtti.
Saldırganlar, bu kötü amaçlı URL’lerin arama sıralamasını yapay olarak şişirerek, trafiğin en yoğun olduğu zamanlarda sahte sitelerinin meşru sonuçlarla birlikte görünmesini sağlar.
Araştırmacılar ayrıca, şu anda yer altı pazarlarında dolaşan büyük e-ticaret sitelerindeki 1,57 milyondan fazla oturum açma hesabıyla kimlik bilgisi hırsızlığında rahatsız edici bir artışın altını çizdi.
Bu “hırsız günlükleri”, tarayıcıda saklanan şifreleri, çerezleri ve oturum belirteçlerini içerir ve geleneksel oturum açma savunmalarını aşan hızlı hesap ele geçirme işlemlerine olanak tanır (Şekil 1: Etki Alanı Kayıt Eğilimleri).
Platform Güvenlik Açıklarından Teknik İstismar
Bu saldırıların karmaşıklığı, en çok, kritik e-ticaret güvenlik açıklarının hedefli şekilde istismar edilmesinde açıkça görülmektedir. Saldırganlar, Adobe Magento’da hatalı giriş doğrulamanın neden olduğu kritik bir kusur olan CVE-2025-54236’dan aktif olarak yararlanıyor.
Bu güvenlik açığı, tehdit aktörlerinin, oturumu ele geçirmek için kimlik doğrulama katmanlarını etkili bir şekilde atlayarak uzaktan kod yürütme (RCE) saldırısı yürütmesine olanak tanır.
Saldırganlar, doğrulanmamış giriş alanlarına kötü amaçlı yükler enjekte ederek yönetim erişimi elde ederek, kalıcı arka kapılar veya JavaScript tabanlı web skimmer’larını doğrudan ödeme sayfalarına yüklemelerine olanak tanır.
| CVE Kimliği / Tehdit | Platform ve Bileşen | Güvenlik Açığı Türü | Şiddet (CVSS) | Etki ve Kullanım Ayrıntıları | İyileştirme / Eylem |
|---|---|---|---|---|---|
| CVE-2025-54236 | Adobe Ticaret & Magento Açık Kaynak | Uygunsuz Giriş Doğrulaması | 9.1 (Kritik) | Aktif Sömürü (SessionReaper): Kimliği doğrulanmamış saldırganların oturumları ele geçirmesine ve Uzaktan Kod Yürütme (RCE). 250’den fazla mağazanın ele geçirildiği doğrulandı. Saldırganlar bunu skimmer’ları enjekte etmek ve yönetici erişimini çalmak için kullanır. | Hemen Yama Yapın: Adobe Güvenlik Bültenini Uygula APSB25-88. Sürümlerin 2.4.7-p8, 2.4.6-p13 veya 2.4.5-p15’e yükseltildiğinden emin olun. |
| CVE-2025-61882 | Oracle E-İş Paketi (Oracle EBS) | Kimliği doğrulanmamış RCE | 9.8 (Kritik) | Fidye Yazılımı Hedefi: Bir kusur BI Yayıncı Entegrasyonu Saldırganların oturum açmadan uzaktan kod yürütmesine olanak tanır. Fidye yazılımı grupları (örn. Clop) tarafından ERP verilerini çalmak ve envanter/sipariş sistemlerini bozmak için aktif olarak kullanılır. | Güncelleme: Uygula Oracle Kritik Yama Güncellemesi (Ekim 2025) hemen. Yama uygulamasının gecikmesi durumunda EBS’yi genel internet erişiminden ayırın. |
| CVE-2025-47569 | WordPress WooCommerce (Nihai Hediye Kartı Eklentisi) | SQL Enjeksiyonu (SQLi) | 9.3 (Kritik) | Veritabanı Süzülmesi: Kimliği doğrulanmamış saldırganlar, hassas müşteri verilerini (PII) ve yönetici kimlik bilgilerini boşaltmak için veritabanı sorgularını değiştirebilir. Darknet pazarları şu anda bu kusuru kullanarak ihlal edilen mağazalara erişim satıyor. | Güncelleme/Yama: Güncelleme WooCommerce Ultimate Hediye Kartı sürüme eklenti > 2.8.10. Güncelleme yapamıyorsanız eklentiyi hemen devre dışı bırakın. |
| CVE-2025-62416 | Paketleyici (Laravel tabanlı Platform) | Sunucu Tarafı Şablon Ekleme (SSTI) | Kritik (Risk) | Ürün Açıklaması aracılığıyla RCE: Ürün oluşturma erişimine sahip saldırganlar, ürün açıklamalarına kötü amaçlı şablon kodu ekleyebilir. Sunucu tarafından işlendiğinde bu, rastgele kod çalıştırır ve sunucunun tamamen ele geçirilmesine yol açar. | Güncelleme: Bagisto’yu sürüme yükseltin v2.3.8 veya daha sonra. Eski sürümler kullanılıyorsa tüm ürün açıklaması girişlerini temizleyin. |
| CVE-2025-62417 | Paketleyici | CSV Formül Enjeksiyonu | Yüksek | Yönetici Uzlaşması: Kötü amaçlı ürün verileri (örneğin, CSV dışa aktarımında), bir yönetici dosyayı Excel/E-Tablolar’da açtığında formül yürütülmesini tetikleyebilir ve bu da yöneticinin yerel makinesinde komut yürütülmesine yol açabilir. | Güncelleme: Bagisto’yu şuna yükselt: v2.3.8. Güvenilmeyen CSV aktarımlarını, temizlemeden doğrudan e-tablo yazılımında açmaktan kaçının. |
Ek olarak, Oracle E-Business Suite’te CVE-2025-61882’nin kullanılması, kimliği doğrulanmamış RCE’ye izin vererek fidye yazılımı gruplarının arka uç envanter sistemlerini felç etmesine olanak tanır.
Bu teknik saldırılar, yama uygulanmamış sistemleri sürekli olarak araştıran otomatik komut dosyaları aracılığıyla gerçekleştirilir ve tek bir güvenlik açığı, büyük veri sızıntısı için bir ağ geçidine dönüştürülür.
Bu sistematik istismar, satıcıların yamaları hemen uygulamasına yönelik kritik ihtiyacın altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
