Cyble araştırmacıları bugün bir blog yazısında aktif saldırı altında 22 güvenlik açıkını detaylandırdı ve bunlardan dokuzu CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğunda değil.
Cyble blogundaki güvenlik açıklarından on iki tanesi, şirketin balkap sensörleri tarafından alınan saldırı girişimleri ile hedeflendi. 12’den sadece dördü Cisa’nın Kev kataloğunda.
Cyble ayrıca fidye yazılımı gruplarının saldırısı altında 10 güvenlik açıkını detaylandırdı; Bunlardan dokuzu KEV kataloğunda.
Ve elbette her gün yeni güvenlik açıkları keşfediliyor. Solarwinds Web Yardım Masasında yeni bir CVE (CVE-2025-26399) için bir Solarwinds hotfix’i bugün kırdı. CVE-2024-28986 CISA’nın KEV kataloğunda olduğundan, yeni 9.8 dereceli CVE, tehdit aktörlerinin dikkatini çekebilir.
Saldırı altında bir düzine güvenlik açığı
Honeypot sensörlerinin saldırı girişimlerini tespit ettiği 12 güvenlik açıkıyla ilgili olarak:
- 60, 2025.06.02 sürümünden önce Akamai CloudTest’te CVE-2025-49493 (12988)
- CVE-2025-5086, Delmia Apriso’da (sürüm 2020-sürüm 2025)-son zamanlarda KEV kataloğuna ICS/OT güvenlik açığının nadir bir ilavesi haline geldi
- CVE-2025-48827, Vbulletin 5.0.0 ila 5.7.5 ve 6.0.0 ila 6.0.3 PHP 8.1 veya üstünde
- Çoklu yanıp sönen yönlendirici modellerinde CVE-2025-45985
- CVE-2025-4427, Ivanti Endpoint Manager’da 12.5.0.0’a kadar mobil sürümler; Ayrıca Cisa’nın Kev kataloğunda.
- Evertz SDVN 3080IPX-10G yönetim arayüzünde CVE-2025-4009
- CVE-2025-32432 CRAF CMS sürümlerinde 3.0.0-rc1-3.9.15, 4.0.0-rc1’den 4.14.15 ve 5.0.0-rc1’den 5.6.17’den önce
- CVE-2025-31161, Crushftp sürümlerinde 10 (10.8.4’ten önce) ve 11 (11.3.1’den önce); Güvenlik açığı Cisa’nın Kev Kataloğunda
- CVE-2025-29306, Foxcms v1.2.5
- Kablosuz LAN denetleyicileri için Cisco IOS XE yazılımında CVE-2025-20188
- 7.4.4’ten önce kanat FTP sunucusunda CVE-2025-47812; Ayrıca Cisa Kev Kataloğunda
- CVE-2025-54782, @nestjs/devtools-entegrasyon paketinde 0.2.0 ve altındaki NESTJS sürümlerinde.
Fidye yazılımı grupları tarafından kullanılan güvenlik açıkları
Cyble Tehdit İstihbarat Araştırmacıları ayrıca fidye yazılımı grupları tarafından kullanılan, Cyble Gözlem ve OSINT kaynaklarından toplanan 10 güvenlik açığını listeledi. Medusalocker tarafından hedeflendiği bildirilen keV kataloğunda değil-CVE-2025-7771.
Saldırı altındaki diğer güvenlik açıkları ve bunlardan yararlanan fidye yazılımı grupları şunları içerir:
- CVE-2025-53770 Şirket içi Microsoft SharePoint Server Storm-2603 tarafından hedeflenmiştir
- Sonicwall Sonicos Management Erişiminde CVE – 2024-40766 Akira tarafından hedeflendi
- CVE – 2024-23692 REJETTO HTTP Dosya Sunucusu Bilinmeyen Bir Fidye Yazılımı Grubu tarafından hedeflendi
- Winrar’ın Windows sürümünde CVE – 2025-8088 ROMCOM tarafından hedeflenmiştir (ayrıca Storm – 0978, Tropical Scorpius, UNC2596 olarak da izlenmiştir)
- CVE-2025-29824 Windows Ortak Günlük Dosyası Sistemi DriverStorm-2460 (Ransomexx) tarafından hedeflenmiştir.
- CVE-2025-31324 ve CVE-2025-42999’da SAP NetWeaver Visual Composer Meta Veri Yükleyici Dağınık Örümcek ile kombinasyon halinde hedeflendi
- CVE-2023-46604 Java Openwire Protokolü’nde Marshaller birkaç fidye yazılımı grubu tarafından kullanıldı ve şu anda damla dipdroper Linux kötü amaçlı yazılımları dağıtan bilinmeyen bir grup tarafından hedefleniyor
- Fortios 7.0.0 ila 7.0.16’da CVE-2025-24472 ve Fortiproxy 7.2.0 ila 7.2.12, 7.0.0 ila 7.0.19 INC ransomu tarafından hedeflenmiştir.
Cyble, güvenlik açıklarının ”zaten yamalı veya azaltılmamışlarsa güvenlik ekipleri tarafından yüksek öncelikli düzeltmeler olması gerektiğini ve riske dayalı bir güvenlik açığı yönetimi programının her kuruluşun siber savunmalarının merkezinde olması gerektiğini söyledi.