Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 14 Ekim 2025’te Rapid7’nin Velociraptor uç nokta tespit ve yanıt (EDR) aracındaki kritik bir güvenlik açığını vurgulayan acil bir uyarı yayınladı.
Yanlış varsayılan izinlerden kaynaklanan bu kusur, tehdit aktörleri tarafından keyfi komutlar yürütmek ve virüslü uç noktaların kontrolünü ele geçirmek için zaten silah haline getirilmiş ve açık kaynaklı güvenlik platformuna güvenen kuruluşlar için riskleri artırmıştır.
Adli bilişim yetenekleri ve eser toplaması nedeniyle güvenlik ekipleri arasında popüler olan Velociraptor, eser toplama ayrıcalıklarına sahip kimliği doğrulanmış kullanıcıların erişimlerini artırmasına olanak tanıyan bir yanlış yapılandırmadan muzdariptir.
CISA’nın Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna göre, istismar, uç noktaya ilk erişimi gerektirir ancak içeri girdikten sonra tamamen ele geçirilmeye yol açabilir.
Güvenlik açığı, izinlerin uygunsuz şekilde işlenmesini ele alan CVE-2025-6264 ile bağlantılıdır ve bu durum, varsayılan ayarların ters gittiği klasik bir durum haline gelmektedir.
Rapid7, yakın zamanda yayınlanan bir danışma belgesinde sorunu kabul ederek kullanıcıları daha sıkı izin kontrollerinin uygulandığı 0.7.1 veya sonraki bir sürüme güncelleme yapmaya çağırdı.
Bu güvenlik açığını özellikle endişe verici kılan şey, fidye yazılımı kampanyalarında onaylanmış kullanımıdır. LockBit ve Conti varyantlarıyla bağlantılı olanlar da dahil olmak üzere tehdit grupları, başlangıçtaki dayanak noktalarından ağ çapında yıkıcı enfeksiyonlara geçmek için bu durumdan yararlandı.
Mandiant’taki güvenlik araştırmacıları, saldırganların Velociraptor’un kendi eser toplama özelliklerini savunmacılara karşı kullandığı ve geleneksel tespitten kaçan kötü amaçlı yükler enjekte ettiği örnekleri bildirdi.
Eylül 2025’in sonlarında belgelenen bir vakada, orta ölçekli bir finans firması, fidye yazılımı operatörlerinin araca el koymasının ardından uç nokta görünürlüğünü tamamen kaybetti ve bu da 500 cihazda veri sızıntısına ve şifrelemeye yol açtı.
Bu olay rahatsız edici bir eğilimin altını çiziyor: Saldırganlar giderek daha fazla güvenlik yazılımının kendisini hedef alıyor. Saldırganlar, Velociraptor gibi EDR platformlarını tehlikeye atarak yalnızca savunmayı etkisiz hale getirmekle kalmıyor, aynı zamanda keşif avantajları da kazanıyor.
CISA, yama uygulanmamış sistemlerin, özellikle uç nokta izlemenin hayati önem taşıdığı sağlık hizmetleri ve kritik altyapı gibi sektörlerde daha yüksek risklerle karşı karşıya olduğunu vurguladı.
Azaltmalar
CISA, Rapid7 yamalarının derhal uygulanmasını, yapı koleksiyonu için en az ayrıcalıklı erişimin zorunlu kılınmasını ve bulut tabanlı hizmetler için Bağlayıcı Operasyonel Direktife (BOD) 22-01 uyulmasını önerir.
Azaltımların mümkün olmadığı ortaya çıkarsa, etkilenen ürünün kullanımının durdurulması tavsiye edilir. Ajans, federal kurumların güvenlik açığını ele alması için 4 Kasım 2025 olarak bir son tarih belirledi ve bu da durumun ciddiyetine işaret etti.
Uzmanlar, bu istismarın açık kaynak araçlarının iki ucu keskin kılıcını öne çıkardığı konusunda uyarıyor: güçlü ancak yapılandırma tuzaklarına açık.
Fidye yazılımları geliştikçe, sosyal mühendislik teknik istismarlarla harmanlanırken, savunucuların sıkı izin denetimlerine öncelik vermesi gerekiyor.
Rapid7, adım adım sağlamlaştırma kılavuzlarıyla belgelerini korudu ancak proaktif izleme hâlâ kilit nokta olmaya devam ediyor. Son raporlara göre saldırıların yıldan yıla %30 arttığı göz önüne alındığında, bu CISA uyarısı, bizi korumayı amaçlayan araçları güçlendirmeye yönelik bir çağrı işlevi görüyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
