Forum İhlalleri Polymarket ve PNC'yi Vurdu, Gemini CLI RCE Yamalandı

Özet

Günün iki farklı yüzeyi çarpışıyor. Yeraltı forumlarında, iddia edilen 47 veri ihlali gönderisi ve 10 sızıntı iddiası ABD finansal hizmet firmalarını, devlet veritabanlarını ve Endonezya bölgesel yönetimlerini hedef aldı -- tek bir aktör kümesi altında yoğun bir ABD mağduru konsantrasyonu. Yayınlanan araştırma tarafında, Google, Gemini CLI araç takımındaki CVSS-10 RCE'yi yamaladı, 2017'de eklenen bir Linux çekirdek mantık hatasının root ele geçirmeye izin verdiği açıklandı ve cPanel, kritik bir kimlik doğrulama atlatmasının aylardır sıfır gün olarak istismar edildiğini kabul etti. Savunmacılar, günün desenini suç hacmi katmanı (forum iddiaları, fidye yazılımı) ile stratejik güvenlik açığı katmanı (AI araçları, işletim sistemi çekirdekleri, barındırma kontrol panelleri) arasındaki boşluğun hızla kapandığı şeklinde okumalı.

Bugünkü Gelişmeler

Forum iddiaları ABD mağdurlarına karşı yoğunlaştı. Aktör xorcat, Polymarket, Arkansas Adalet Sistemi ve Devlet Çalışanı Veritabanı, yazılım firması KBROApp, balıkçılık uygulaması veritabanı Lakemonster (43.773 hesap) ve Yaaka ile bir ADEMI/AQUAES tarım verisi satışı dahil bir dizi Fransız pazarı kuruluşuna yönelik iddia edilen ihlalleri yayınladı. Aktör Fallen (ayrıca TheFallen olarak da yayın yapıyor) ABD odaklı bir portföy derledi: Liberty Mutual Insurance, e-ticaret satıcısı American Luxury Unlimited, finans firması TastyFX, perakendeci Big Island Candies, American Investors Company, American Franchise Academy ve bir "Executive High-Income Individuals" listesi. Aktör AdminOwner, ABD Hava Kuvvetleri verilerine yönelik iddia edilen ihlaller ve PNC varlık ve servet yönetimi müşterilerine bağlı 6 milyon kayıtlık bir satışın yanı sıra ayrı bir Filipin Ulusal Polisi iddiası ve 30 GB BAE Yatırımcı veri hazinesi yayınladı. Aktör GordonFreeman, 150 bin kayıtlık bir Guatemala Eğitim Bakanlığı veri seti yayınladı.

Devlet yönetimi ve eğitim, ayrı bir Endonezya kümesi gördü. Mr. Hanz Xploit, Jember Regency, bölgesel gelir ajansı Bapenda Inhu ve Universitas Pembangunan Nasional "Veteran" Jakarta (UPNVJ)'ye yönelik iddia edilen ihlalleri yayınladı; Xyph0rix bir Yogyakarta sakin verisi sızıntısı iddia etti. Devlet yönetimi, belirtilmemiş girişlerin ardından günün en büyük ikinci mağdur sektörüydü -- 150 olaydan 15'i. Cyber_Isnaad_Front, İsrail savunma tedarikçisi IMCO Industries Ltd.'yi hedef alan bir satış iddia etti. Fransız ihlal iddiaları, NEMEA Group (gayrimenkul) üzerinde ChimeraZ, Yomoni üzerinde ijpys ve "FRENCH DATABASE EASY CASH" üzerinde Lagui'yi hedef aldı. Ayrı bir Vave888 listesi, "Chase bank and Citibank database" verilerine erişim iddia etti.

DDoS etkinliği üç aktör kullanıcı adında yoğunlaştı. Order403, 31 DDoS olayının 10'undan sorumluyken, NoName057(16) 6'sından sorumluydu -- ikincisi, Ukrayna odaklı hedef oyun kitabını izledi -- Payouts King ve HellR00ters Team'den daha küçük kümelerle. Fidye yazılımı operatörleri gün boyunca 23 olay dağıttı. Yayınlanan araştırma fidye yazılımı hikayesi ayrı olarak geldi: Sandhills Medical, 170.000 kişiyi etkileyen bir Inc Ransom ihlalini açıkladı ve ifşa, orijinal olaydan neredeyse bir yıl sonra geldi.

Günün güvenlik açığı ifşaları kritik bölgeye indi:

• Google, Gemini CLI'de maksimum ciddiyette (CVSS 10) bir RCE'yi yamaladı -- hem @google/gemini-cli npm paketi hem de google-github-actions/run-gemini-cli iş akışı -- saldırganların, yerleştirilmiş kötü niyetli bir yapılandırma aracılığıyla ana bilgisayar sistemlerinde keyfi komutlar yürütmesine izin veriyordu; Cursor'daki eşlik eden kusurlar da yamalandı.
• CVE-2026-31431 (CVSS 7.8) olarak izlenen, Xint.io ve ThreatGen tarafından "Copy Fail" olarak adlandırılan yüksek ciddiyette bir Linux çekirdek yerel ayrıcalık yükseltme güvenlik açığı, ayrıcalıksız bir yerel kullanıcının root elde etmesine olanak tanıyor; çekirdeğin authenc şifreleme şablonundaki hata 2017'de eklenmişti ve tüm büyük dağıtımları etkiliyor.
• SecurityWeek, kritik bir cPanel ve WHM kimlik doğrulama atlatma kusurunun -- 28 Nisan'da yamalanan -- ifşadan aylar önce sıfır gün olarak istismar edildiğini ve savunmasız sunuculara yönetici erişimine izin verdiğini bildirdi.
• Claroty, protokol yığınını kullanan binaları uzaktan ele geçirmeye maruz bırakan iki EnOcean SmartServer kusurunu (güvenlik atlatma ve uzaktan kod yürütme) ifşa etti.

İki kötü amaçlı yazılım yığını parçası yayınlanan araştırmayı tamamladı. DEEP#DOOR adlı yeni bir Python tabanlı arka kapı çerçevesi, kalıcı erişim ve tarayıcılardan ve bulut hizmetlerinden geniş kimlik bilgisi toplama için tünel hizmeti altyapısını kullanıyor. Atos Threat Research Center tarafından EtherRAT olarak izlenen, Mart 2026'da tespit edilen ayrı bir kampanya, yönetici araçları gibi görünen GitHub cepheleri aracılığıyla RAT yüklerini dağıtıyor ve özellikle kurumsal yöneticilerin, DevOps mühendislerinin ve güvenlik analistlerinin yüksek ayrıcalıklı hesaplarını hedefliyor. Anthropic ayrıca, modelin büyük işletim sistemlerinde ve tarayıcılarda "binlerce önceden bilinmeyen yazılım güvenlik açığı" keşfetmesinin ardından Mythos AI modelini kamuya açık olarak yayınlamayacağını açıkladı ve bu da AI odaklı saldırgan araştırmalar hakkında yönetişim sorularını gündeme getirdi.

Tehdit Ortamı Sinyalleri

İlk 3 aktör konsantrasyonu anlamlı: Order403, HellR00ters Team ve Payouts King birlikte 150 olayın 28'ini oluşturuyor -- günün gönderilerinin kabaca yüzde 19'u. Forum hedef coğrafyası ağırlıklı olarak ABD mağdurlarına (150'de 41) ve ardından Endonezya hükümeti ve akademik mağdurlarına (12) kayıyor. AI araçları, Linux çekirdek iç yapıları ve barındırma kontrol panelleri üzerindeki güvenlik açığı yığını konsantrasyonu, savunmacıların bu yüzeyleri yama önceliklendirmesinde ağırlıklandırması gerektiğini gösteriyor: geliştiriciler tarafından ölçekte kullanılan bir AI CLI'de yayınlanmış bir RCE, 2017 tarihli bir çekirdek kusuru ve aylardır istismar edilen bir barındırma paneli sıfır günü -- bunların tümü yönetici erişimine giden tek adımlı yollardır. Inc Ransom'un Sandhills Medical olayındaki neredeyse bir yıllık ifşa gecikmesi, düzenleyici baskıdan sonra bile ihlal tespitinden ifşaya kadar geçen sürelerin uzun kaldığına dair operasyonel bir hatırlatmadır.