Meta’ya bağlı WhatsApp, belirli kullanıcıları hedef alan gelişmiş saldırılarda kullanılabilecek bir güvenlik açığı tespit ettiğini duyurdu.
CVE-2025-55177 olarak tanımlanan bu açık, bağlantılı cihazlarda senkronizasyon sırasında yetkisiz işlemlere izin veriyor. Bu durum, saldırganların hedef cihazdaki rastgele bir URL’den içerik çalıştırmasını mümkün kılabiliyor.
WhatsApp güvenlik ekibi, Apple’ın geçtiğimiz hafta yamaladığı CVE-2025-43300 sıfır tıklama açığıyla benzerlik gösterdiğini belirtti. Uzmanlara göre, bu açıklar ticari casus yazılımlar aracılığıyla gazeteciler, insan hakları savunucuları ve hükümetlerin hedef aldığı kişiler üzerinde kullanılabiliyor.
Microsoft Azure’da MFA zorunlu hale geliyor
Microsoft, 1 Ekim’den itibaren Azure sistemlerinde salt okunur işlemler dışında tüm erişimlerde çok faktörlü kimlik doğrulama (MFA) zorunluluğu getireceğini açıkladı.
Azure CLI, Azure PowerShell, mobil uygulama ve REST API uç noktalarında oturum açan tüm hesaplar bu zorunluluk kapsamına girecek. Ancak, teknik zorluk yaşayan kuruluşlar için süre 1 Temmuz 2026’ya kadar uzatılabilecek.
Şirket, kullanıcı tabanlı hizmet hesaplarının bulut tabanlı kimliklerle değiştirilmesini tavsiye ediyor. MFA’nın siber saldırılara karşı etkili bir güvenlik katmanı olduğu vurgulanıyor.
Nissan, Qilin fidye yazılımı saldırısını doğruladı
Japon otomobil üreticisi Nissan, tasarım yan kuruluşu Creative Box Inc’in Qilin fidye yazılımı grubu tarafından hedef alındığını açıkladı.
Saldırı sonucunda bazı tasarım verilerinin sızdırıldığı doğrulandı. Soruşturmanın sürdüğü ve gerekli önlemlerin alınacağı bildirildi.
Qilin grubu, fidye yazılımlarını profesyonel bir hizmet gibi sunması ve karmaşık müzakere yöntemleriyle tanınan organize bir siber suç oluşumu olarak biliniyor.
Baltimore’da 1,5 milyon dolarlık ödeme dolandırıcılığı
ABD’nin Baltimore şehri, bir satın alma dolandırıcılığı sonucu 1,5 milyon dolar kaybettiğini açıkladı.
Dolandırıcılar, şehirle iş yapan bir satıcının Workday hesabını ele geçirerek ödeme bilgilerini değiştirdi. Baltimore’un yaptığı ödemeler, dolandırıcıların kontrolündeki hesaba aktarıldı.
Şehir yetkilileri, paranın yarısına yakınını kurtarmayı başardı. Ancak kalan kısmı için sigortadan geri ödeme alınamadığı bildirildi.
FreePBX’te kritik güvenlik açığı
Açık kaynaklı telekomünikasyon yazılımı FreePBX’te, CVSS ölçeğinde en yüksek seviye olan 10 puanlık kritik bir açık keşfedildi.
Bu açık, saldırganların veritabanı bilgilerini değiştirmesine ve uzaktan kod yürütmesine imkân tanıyor. Ağustos ayında gözlemlenen saldırılardan sonra geliştiriciler acil bir yama yayınladı.
Kullanıcıların FreePBX’in en güncel sürümlerine (15, 16 ve 17) geçmeleri ve kurulu modüllerin güncelliğini kontrol etmeleri gerektiği bildirildi. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da kullanıcıları vakit kaybetmeden güncelleme yapmaları konusunda uyardı.