Roundcube sunucularında kritik RCE kusuru

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

Ayrıca, M&S Back Online, Meksika Eğitim Platformu ihlal etti, Patch Salı

Anviksha More (Anvikshamore) •
12 Haziran 2025

Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, kritik bir kusur, Meksika eğitim platformu ihlal etti, öğrenci verilerini ortaya çıkardı ve Hollanda Ulusal Polisi düz çatlak kullanıcıları korkutmaya çalışıyor. Bir ABD federal yargıç, Nijeryalı bir adamı vergi hazırlayıcılarına hacklemek için mahkum etti. Marks ve Spencer kısmen geri döndü ve United Natural Foods hala sınırlı bir şekilde gönderiliyor. İngiliz finansal düzenleyici, dört çalışanı kişisel e -postaya veri göndermek için disipline etti. Sinotrack GPS cihazlarında Salı günü zayıf web paneli güvenliği ve yaması var.

Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi

84.000’den fazla Roundcube Webmail sunucusu, 1 Haziran’da yamalanan kritik bir uzaktan kod yürütme güvenlik açığı olan CVE -2025-49113’e maruz kalmaktadır. $_GET['_from'] PHP nesnesinin seansize edilmesine ve oturum yolsuzluğuna izin veren girdi.

Güvenlik araştırmacısı Kirill Firsov, savunuculara yardım etmek için sömürüsünü detaylandırarak hatayı keşfetti ve açıkladı. Kusur kimlik doğrulaması gerektirse de, saldırganların siteler arası istek amptörleri, kaba kuvvet saldırıları veya kütük kazıma yoluyla kimlik bilgileri aldıkları bildiriliyor. Yama sürümünden kısa bir süre sonra bir istismar geliştirildi ve satıldı.

Roundcube, Godaddy, Hostinger ve OVH gibi paylaşılan barındırma platformlarının yanı sıra hükümet, eğitim ve teknoloji sektörlerinde yaygın olarak kullanılmaktadır. Shadowserver taramaları, çoğunlukla ABD, Hindistan, Almanya, Fransa, Kanada ve Birleşik Krallık’ta çevrimiçi olmak üzere 84.925 savunmasız örnek göstermektedir.

Hackerlar, Meksika’daki devlet okulları ve üniversiteler tarafından kullanılan bir eğitim bulut platformunu ihlal ederek bir milyondan fazla öğrencinin kişisel verilerini riske attı.

Platform, Servoesolar, en az 1.600 eğitim merkezine hizmet vermektedir.

Saldırganların, kimlik hırsızlığı ve daha fazla sömürü ile ilgili endişeleri gündeme getirerek oturum açma kimlik bilgilerine ve özel bilgilere eriştikleri bildiriliyor. Bilgisayar korsanları, tanımlama ve iletişim verileri, son fotoğraflar, akademik geçmiş ve ödeme geçmişi gibi bilgiler de dahil olmak üzere verilerin ekran görüntülerini ve örneklerini çevrimiçi olarak paylaştı.

Saldırganlar tespitten önce uzun süre erişime sahip olabilirler. Yetkililer ihlalin tam kapsamını doğrulamadılar.

Hollanda Ulusal Polisi, Hollanda’da ikamet eden 126 kişi ile Cracked adlı kötü şöhretli çevrimiçi siber suç pazarında bir hesap tutan “çeşitli müdahaleler” izlediklerini söyledi.

Bu yılın başlarında, “Operasyon Talent” olarak adlandırılan uluslararası bir kolluk çalışması, kırılmış ve akran sitesi engellendi ve toplu olarak 10 milyondan fazla kullanıcıya spor yaptı. Nisan ayına kadar Cracked, işe geri döndüğünü iddia etti.

Operasyondan toplanan bilgileri kullanan Hollanda polisi, ortalama 20 yaşına sahip olan 126 Hollanda merkezli kullanıcıyı belirlediklerini, en küçüğü sadece 11 yaşında olduğunu söyledi. Polis, birçoğuna kişisel mektuplar veya e-posta gönderdi ve 20 kişiyle yüz yüze görüşmeler yaptı. Polis, sekiz kişiye kanıtlar, onları kovuşturmayacağına veya kovuşturmayacağına karar verecek kamu savcılarına kanıtlar.

Hollanda’daki polis ilk kez doğrudan genç siber suç meraklılarına müdahale etmedi. Polis, bir bireyin eylemlerinin kurbanlar ve kendileri üzerindeki etkisini vurguladıklarını söyledi. Sabıka kaydına sahip olmak, birçok iş için gerekli olan bir arka plan kontrolünü geçmeyi imkansız hale getirebilir veya bir ipotek edinebilir (bkz:: Stres Testi: Polis Webwood Stres/Booter kullanıcılarını ziyaret edin).

Bir ABD federal yargıç Nijeryalı ulusal Kingsley Uchelue Utulu, Amerikan vergi hazırlama firmalarına saldıran ve hileli vergi ve kredi taleplerini yerine getirmek için kişisel verileri çalan siber suç yüzüğündeki rolü nedeniyle federal hapishanede 63 ay hapis cezasına çarptırdı. Utulu ve yardımcı komplocuları, New York, Teksas ve diğer eyaletlerdeki işletmelerin sistemlerini ihlal ederek müşteri vergisi kayıtlarını ve kimlik bilgilerini hedefleyen mızrak aktı e-postaları kullandılar.

Grup, 8,4 milyon dolar para iadesi arayan sahte vergi beyannameleri yaptı ve sonuçta en az 2,5 milyon dolar aldı. Ayrıca, Küçük İşletme İdaresi’nin yeni Coronavirus döneminde felaket kredisi programı kapsamında hileli iddialarla yaklaşık 820.000 dolar çaldılar. Utulu Birleşik Krallık’ta tutuklandı ve suçlamalarla yüzleşmek için ABD’ye iade edildi.

63 aylık hapis cezasına ek olarak, Utulu 3.68 milyon dolar tazminat ödemeli ve yaklaşık 300.000 dolar kaybetmelidir.

Çokuluslu İngiliz perakendeci Marks & Spencer, İngiltere, İskoçya ve Galler’deki belirli moda öğeleri için çevrimiçi siparişler almaya devam etti ve Nisan ayında bir siber saldırıdan kurtulmasında bir adım ilerledi.

M&S, Nisan ayında bir veri ihlali yaşadı ve saldırı sırasında müşteri verilerinin çalındığını ve Dragonforce fidye yazılımını içerdiğinden şüphelenildiğini itiraf etti (bakınız: Marks & Spencer Hack’e bağlı dağınık örümcek).

Perakendeci, önümüzdeki mali yılda faaliyet kârına 404.7 milyon dolarlık bir darbe tahmin ediyor, ancak sigorta talepleri ve diğer maliyet tasarrufu önlemleri ile dengelemeyi hedefliyor.

Hack, İngiliz perakendecilere karşı fidye yazılımı saldırılarının belirgin bir bahar dalgasından biriydi. Kooperatifte bir olay da Dragonforce fidye yazılımlarını içeriyordu. Harrods ayrıca bir saldırı tespit etti. Bir hükümet yetkilisi, olayların bir uyandırma çağrısı anlamına geldiğini söyledi. Hükümetler Arası İlişkiler Bakanı Pat McFadden, İngiliz işletmelerinin “siber güvenliği mutlak bir öncelik olarak ele almaları gerektiğini” söyledi (bkz:: İngiltere perakendecilerinin saldırıları ‘uyandırma çağrısı’ diyor bakan).

CEO’su Salı günü yaptığı açıklamada, Amerika Birleşik Devletleri ve Kanada’daki en büyük sağlık ve özel gıda distribütörü United Natural Foods – ve üst düzey süpermarket zinciri Whole Foods için ana tedarikçi “sınırlı bir şekilde bakkaliye gönderiyor”.

UNFI Pazartesi günü açıkladı, BT sistemlerinin müşteri siparişlerini yerine getirme ve dağıtma yeteneğini bozan bazı kısımlarında yetkisiz faaliyet keşfetti (bkz:: Whole Foods Tedarikçisi Yüzler Siber saldırı Operasyonlarını bozan).

Bir kazanç çağrısı sırasında CEO James Douglas, şirketin normal siparişlerin yüzde kaçını yerine getirebileceğini söylemeyi reddetti. UNFI’nin yiyecekleri dağıtım merkezlerinden hala 30.000’den fazla BT hizmetine taşıyabileceği sorulduğunda, Douglas bunun teknoloji platformuna bağlı olduğunu söyledi. “Bazıları iyileşme konusunda diğerlerinden daha fazla, ancak ihtiyaçlarına olabildiğince iyi hizmet etmek için ülke genelindeki ve çeşitli kısa vadeli modlardaki formatlarımızda müşterilerle ortaklık kuruyoruz.” Dedi. Ayrıca “savunmamızın her yönüne, araçlarımızın nasıl çalıştığına ve onu ileriye doğru desteklemek için neyin gerekli olabileceğine” söz verdi.

Bazı Whole Foods süpermarketleri zaten bazı kıtlıklar yaşamaya başladı. TechCrunch tarafından görülen Amazon’a ait zincirin çalışanlarına gönderilen dahili bir e-posta, personele olayın tartışmalarını müşterilerle sınırlamasını söyledi. TechCrunch, Whole Foods çalışanlarının müşterilerle paylaşabileceği “tek onaylı müşteri konuşma noktası”, “geçici arz zorluklarına” sahip olmasıdır.

Ülkenin finansal hizmetleri firmalarını düzenleyen İngiltere’nin Finansal Davranış Otoritesi, dört çalışanı “FCA verilerini kişisel e -postaya” göndererek “bilgi ve sistem kabul edilebilir kullanım” politikasını ihlal ettiği için disiplin etti.

Financial News’in ilk bildirdiği gibi, muhafazakar eğilimli Parlamento Sokağı düşünce kuruluşu tarafından sunulan Bilgi Özgürlüğü Yasası talebine dayanarak, FCA kişisel e-posta hesabına hassas veri göndermek için kendi personeline ilk yazılı üç uyarıyı ve bir son uyarıyı yayınladı. Uyarılar Nisan 2022’den Nisan 2023’e kadar gerçekleşti.

Bir sözcü bilgi güvenliği medya grubuna verdiği demeçte, “E -posta güvenlik politikalarımızın ihlallerini ciddiye alıyoruz ve e -posta güvenliğinin ihlallerini yönetmek için sistem ve kontroller yapıyoruz. İhlaller soruşturma ile sonuçlanabilir ve sonuç verebilir ve disiplin yaptırımlarına yol açabilir.” Diyerek şöyle devam etti: “2023/24 ve 2024/25 yıllarında disiplin yaptırımları gerektiren böyle bir olayımız olmadı.”

Hong Kong üreticisi Sinotrack tarafından yapılan GPS izleme cihazlarındaki iki güvenlik açığı, istenmeyen tarafların kullanıcıların konumunu desteklemesine izin verebilir – hatta yakıt pompasına güç keserek bir arabayı devre dışı bırakabilir. Güvenlik açıkları her Sinotrack cihazını etkiler ve yama yoktur.

Sinotrack GPS cihazları, araçlara, varlıklara veya hatta evcil hayvanlara monte edilmiş kompakt cihazlardır. Filo yönetimi, lojistik ve hırsızlık önleme çözümlerinde kullanılırlar. Uzaktan başlangıç, bazı cihazların bir özelliğidir.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Salı günü Sinotrack Cihaz Yönetimi Web Panelinin halka açık bir varsayılan şifre ile kodlandığını ve kurulum işleminin bir değişikliği zorlamadığını söyledi. Kötü niyetli bir aktör, CVE-2025-5484 olarak izlenen bir kusur olan varsayılan paneli kullanarak web panellerine erişmek için cihaz tanımlayıcılarını alabilir.

Bir hacker, CVE-2025-5485 olarak izlenen diğer kusurun, Web Paneli kullanıcı adlarının 10 veya daha az olan cihaz tanımlayıcılarıyla sınırlı olduğunu not ettiği için cihaz numaralarına fiziksel olarak erişmesi gerekmeyebilir. CISA, “Kötü niyetli bir aktör, bilinen tanımlayıcılardan veya rastgele basamak dizilerini numaralandırarak potansiyel hedefleri numaralandırabilir.”

Cisa, Sinotrack’ın sosyal yardıma cevap vermediğini söyledi.

Microsoft’un son yaması Salı günü, biri aktif olarak sömürülen ve diğeri kamuya açıklanan iki sıfır günü de dahil olmak üzere 66 güvenlik açığı için düzeltmeler içeriyor. Toplam kusurlardan on, sekiz uzaktan kod yürütme güvenlik açıkları ve iki ayrıcalık artış hatası dahil olmak üzere kritik olarak sınıflandırılır.

Aktif olarak sömürülen kusur, CVE-2025-33053, Windows Web dağıtılmış yazma ve sürümlerde bir RCE güvenlik açığıdır. Check Point Research tarafından keşfedilen hata, Stealth Falcon APT Grubu tarafından bir Türk savunma firmasına karşı siber saldırı girişiminde kullanıldı. Sömürü, bir kullanıcının hazırlanmış bir WebDAV URL’sini tıklamasını gerektirir.

İkinci sıfır gün olan CVE-2025-33073, Windows SMB istemcisini etkiler. Kusur, saldırganların kötü niyetli bir SMB komut dosyası aracılığıyla sisteme ayrıcalıkları artırmasına izin verir. Microsoft hemen güncellenmenizi önerir. Etkilenen sistemler, sunucu tarafı SMB imzalamasını etkinleştirerek SMB kusurunu azaltabilir.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun İskoçya’daki Mathew Schwartz ve Kuzey Virginia’daki David Perera’nın raporları ile.