Siber güvenlik dünyası, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayımlanan yeni bir uyarıyla sarsıldı. CISA, siber suçluların ve devlet destekli aktörlerin aktif olarak istismar ettiği bilinen güvenlik zafiyetlerini listelediği Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu‘na iki yeni kritik zafiyet ekledi. Bu zafiyetler, yaygın olarak kullanılan TP-Link ağ cihazlarını ve popüler mesajlaşma uygulaması WhatsApp’ı etkiliyor. Bu gelişme, söz konusu açıkların artık teorik birer tehdit olmaktan çıkıp, gerçek dünya saldırılarında kullanıldığının en net kanıtı olarak kabul ediliyor.
TP-Link Zafiyeti: Artık Desteklenmeyen Bir Cihazdaki Kalıcı Risk
KEV Kataloğu’na eklenen ilk zafiyet, TP-Link’in TL-WA855RE Wi-Fi Menzil Genişletici ürününü etkileyen CVE-2020-24363 kodlu bir güvenlik açığı. Bu zafiyet, yüksek önem derecesine sahip olup, bir “kimlik doğrulama eksikliği” (missing authentication) sorunu olarak tanımlanıyor. Zafiyetin doğası gereği, aynı yerel ağdaki kimliği doğrulanmamış bir saldırgan, yalnızca özel olarak hazırlanmış bir HTTP isteği göndererek cihazı fabrika ayarlarına döndürüp yeniden başlatabiliyor.
Saldırı, cihazın mevcut yapılandırmasını ve yönetici parolasını silerek yeni bir sayfa açıyor. Cihaz yeniden başlatıldığında, saldırgan artık ilk kurulum sayfasına erişebiliyor ve kendi istediği yeni bir yönetici parolası belirleyerek cihazın tam kontrolünü ele geçiriyor. Bu durum, saldırganın ağ trafiğini izlemesine, ağdaki diğer cihazlara saldırmasına veya kötü amaçlı yazılımlar yüklemesine zemin hazırlıyor.
Bu zafiyetin en endişe verici yönü, etkilenen TP-Link ürününün artık “kullanım ömrü sonu” (end-of-life – EoL) statüsünde olması. Bu, TP-Link’in bu cihaz için artık herhangi bir güvenlik yaması veya firmware güncellemesi yayımlamayacağı anlamına geliyor. CISA, bu nedenle, bu cihazı kullanan tüm birey ve kuruluşlara derhal ürünü ağdan çıkarmalarını ve daha güncel, desteklenen bir modelle değiştirmelerini şiddetle tavsiye ediyor.
WhatsApp Zafiyeti: Hedefli Casus Yazılım Operasyonlarının Bir Parçası
KEV Kataloğu’na eklenen ikinci zafiyet ise, Meta Platforms’un popüler mesajlaşma uygulaması WhatsApp’ı etkileyen CVE-2025-55177 kodlu bir “yanlış yetkilendirme” (incorrect authorization) açığıdır. Bu zafiyetin, özellikle hedefli casus yazılım operasyonlarında aktif olarak istismar edildiği tespit edildi. CISA ve Apple tarafından yapılan açıklamalar, bu açığın, Apple’ın iOS ve macOS işletim sistemlerindeki başka bir güvenlik açığıyla (CVE-2025-43300) birlikte, karmaşık bir “saldırı zinciri” (exploit chain) oluşturularak kullanıldığını gösteriyor.
- “Sıfır Tıklama” (Zero-Click) Saldırısı: Güvenlik uzmanlarına göre bu, kurbanın herhangi bir bağlantıya tıklamasına, bir dosya indirmesine veya başka bir etkileşimde bulunmasına gerek kalmadan gerçekleşebilen son derece sofistike bir saldırı türüdür. Saldırgan, WhatsApp’ın “bağlı cihaz senkronizasyon mesajlarını” kötüye kullanarak, hedefin cihazında kötü amaçlı kod çalıştırmayı tetikleyebiliyor.
- Sınırlı ve Yüksek Profilli Hedefler: Bu saldırıların, geniş kitleleri değil, genellikle belirli ve yüksek profilli bireyleri (gazeteciler, insan hakları aktivistleri, muhalifler, hükümet yetkilileri vb.) hedef alan ticari veya devlet destekli casus yazılım kampanyalarının bir parçası olduğu düşünülüyor. WhatsApp, bu kampanyadan etkilenmiş olabilecek 200’den az kullanıcıya uygulama içi bildirim gönderdiğini açıkladı.
WhatsApp, bu zafiyeti daha önce yayımladığı güvenlik güncellemeleriyle gidermiş olsa da, CISA’nın kataloğa eklemesi, bu tür saldırıların halen devam ettiğini veya potansiyelinin yüksek olduğunu vurguluyor. Kullanıcıların, WhatsApp uygulamalarını ve cihazlarının işletim sistemlerini daima en son sürüme güncellemeleri bu tehditlere karşı alınabilecek en temel önlemdir.
CISA’nın KEV Kataloğu Neden Hayati Önem Taşıyor?
CISA’nın KEV Kataloğu, siber güvenlik dünyası için bir acil durum alarmı niteliğindedir. Bu liste, sayısız güvenlik açığı arasından en acil olarak müdahale edilmesi gerekenleri belirleyerek hem federal kurumların hem de özel sektör kuruluşlarının riskleri önceliklendirmesine yardımcı olur. Bir zafiyetin bu kataloğa girmesi, artık teorik bir risk olmaktan çıkıp, siber saldırganlar tarafından aktif olarak kötüye kullanıldığı anlamına gelir.
Kaynaklar:
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://nvd.nist.gov/vuln/detail/CVE-2020-24363
- https://nvd.nist.gov/vuln/detail/CVE-2025-55177
- https://www.facebook.com/security/advisories/cve-2025-55177
- https://www.whatsapp.com/security/advisories/2025/
