Tedarik Zinciri Tehdidi

Tedarik zinciri tehdidi, özellikle yönetilen hizmet sağlayıcıları (MSP) üzerinden gerçekleştirilen saldırılarla daha karmaşık ve yıkıcı bir boyuta ulaşmış durumda. Son olarak DragonForce isimli fidye yazılımı grubu, SimpleHelp yazılımındaki bir dizi zafiyeti kullanarak MSP ağları üzerinden çok sayıda kuruluşun sistemlerine sızdı. Bu olay, üçüncü parti yazılımların güvenliği konusunu yeniden gündeme taşıdı.

En çok üçüncü parti yazılımlara yönelik güvenlik açıkları saldırıya maruz kalmaktadır. Bu da siber saldırganlar için görünmez ama etkili bir geçit haline gelmektedir. Özellikle uzaktan erişim çözümleri gibi yüksek ayrıcalıklara sahip yazılımlar kullanıldığında saldırı yapılmaktadır. Bu gibi tehditler çok daha sessiz ve derinlemesine ilerlemektedir. Bu durum, sadece doğrudan saldırılarla yapılmamaktadır. Sistemin içine sızarak ilerleyen görünmeyen tehdit biçimlerini de gündeme taşıyor. Bu nedenle, tedarik zincirindeki her bileşenin güvenliği kritik bir öneme sahip.

Tedarik Zinciri Tehdidi: Üç Kritik Açık, Bir Felaket

Saldırganlar, SimpleHelp yazılımında 2025’in başında açıklanan ve yüksek risk içeren üç güvenlik açığını zincirleyerek kullandı:

  • CVE-2024-57727 – Kimlik doğrulaması gerektirmeden yapılandırma dosyaları gibi hassas verilerin indirilmesine izin veren yol geçişi açıkları.
  • CVE-2024-57726 – Sıradan teknik kullanıcıların yetkilerini kötüye kullanarak yönetici seviyesine yükselmesini sağlayan ayrıcalık yükseltme zafiyeti.
  • CVE-2024-57728 – Yetkili yöneticilerin sistemde keyfi dosya yükleyebilmesini sağlayan, uzaktan kod çalıştırma olasılığı doğuran bir açık.

Bu üç açık, saldırganlara MSP’nin kontrol paneli üzerinden hem içeriden bilgi toplama imkanı sağlamaktadır. Ayrıca kötü amaçlı yazılım dağıtma imkanı da sunmaktadır. Özellikle CVE-2024-57727, saldırının temel taşı olarak değerlendirilmektedir. Çünkü sunucu yapılandırma dosyalarının sızdırılması sayesinde parolalara ve hassas ağ bilgilerine ulaşmak mümkün hale gelmektedir.

DragonForce: Yeni Nesil Ransomware “Karteli”

2023 ortalarında ortaya çıkan DragonForce, klasik bir fidye yazılımı hizmeti (RaaS) modelinden uzaklaşmıştır. Böylece siber suç dünyasında kartel benzeri bir yapılanmaya dönüşmüştür. Bu yapı, farklı grupların kendi markalarıyla saldırı yapmasına olanak tanımaktadır. Böylece ortak bir altyapı üzerinden hareket etmelerini de sağlamaktadır.

Son dönemde Marks & Spencer, Co-op ve Harrods gibi büyük İngiliz markalarını hedef almasıyla adını duyuran grup, bazı saldırılarda Scattered Spider isimli ileri düzey tehdit aktörleriyle iş birliği yaptı. Sophos’un MSP üzerinden yapılan saldırı analizinde de DragonForce’un izleri net biçimde gözlemlendi.

Saldırının Seyri ve Tespit

Saldırganlar, ele geçirdikleri SimpleHelp arayüzü aracılığıyla MSP’ye bağlı çok sayıda müşterinin ağ yapısını ve kullanıcı bilgilerini çıkardı. Bu bilgilerin ardından fidye yazılımı yüklemeleri başladı. Sophos XDR korumasına sahip bir müşteri sistemi, tehdidi başarıyla engelleyerek veri şifreleme ve sızdırma sürecini durdurdu. Ancak korumasız sistemler çifte fidye yöntemiyle (hem şifreleme hem veri sızıntısı tehdidi) karşı karşıya kaldı.

Tedarik Zinciri Güvenliği Alarm Veriyor

Bu saldırı, siber güvenliğin artık yalnızca bireysel sistem korumasıyla sınırlı olmadığını gösteriyor. MSP’ler gibi çoklu müşteri yönetimi yapan yapılar, saldırganlar için stratejik hedefler haline geldi. Tek bir sistemin ele geçirilmesi, onlarca farklı organizasyonun etkilenmesine yol açabiliyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2024-57727 açığını “Aktif Olarak Sömürülen Zafiyetler Kataloğu”na dahil etti ve kamu kurumlarının 6 Mart 2025’e kadar bu açığı yamalamasını zorunlu tuttu.

Güvenlik İçin Ne Yapmalı?

Uzmanlar, SimpleHelp kullanıcılarına şu adımları ivedilikle öneriyor:

  • En kısa sürede sürüm 5.5.8 veya üzeri güncellemeye geçilmeli.
  • Tüm yönetici parolaları değiştirilmeli, MFA (çok faktörlü kimlik doğrulama) aktif hale getirilmeli.
  • Uzaktan erişim için IP kısıtlamaları uygulanmalı.
  • MSP’ler, sistemlerini gelişmiş uç nokta koruma (EDR/XDR) ve yönetilen tehdit izleme hizmetleri (MDR) ile güçlendirmeli.

DragonForce ve benzeri fidye yazılım gruplarının hedefi haline gelmemek için yalnızca kendi sistemlerimizi değil, bağlı olduğumuz tüm altyapı hizmetlerini de sıkı biçimde gözden geçirmemiz gerekiyor. Bu saldırı, tedarik zinciri güvenliğinin siber savunma stratejilerinde ilk sıraya alınması gerektiğini bir kez daha hatırlatıyor.