Siberlab / Podcast Intel

Bölüm 01 · Haftalık değerlendirme

Yama Penceresi Daralırken: SharePoint, Routerlar ve AI Agent Güveni

SharePoint açıkları, router hijyeni, Ghostcommit prompt injection ve AI agent güvenliği için sakin, anlaşılır ve uygulanabilir haftalık değerlendirme.

  • haftalik-intel
  • sharepoint
  • router-security
  • ai-security
  • prompt-injection
  • agent-security
SIBERLAB Podcast kapak görseli
YükleniyorBölüm // 01Türkçe erkek anlatıcı · Yapay zekâ destekli

Yama Penceresi Daralırken: SharePoint, Routerlar ve AI Agent Güveni

00:00 / Açılış ve haftanın rotası

Timebase
/ 14:01
Kalan
Kesit 01 / 06
Bölüm notlarıTR / 2026

Bu bölümde

15 Temmuz 2026 haftasında aktif istismardaki on-prem SharePoint açıklarını, Rus devlet bağlantılı aktörlerin router hedeflemesini, görsel içine gömülen Ghostcommit prompt injection tekniğini ve yeni AI güvenliği verilerini sakin ve anlaşılır bir akışla değerlendiriyoruz.

Kaynaklar

Konuşma metni

Açılış ve haftanın rotasıBuradan dinle

Hoş geldiniz, siberlab.dev podcastine.

Bugün, son günlerde öne çıkan dört gelişmeyi sakin bir tempoda birlikte değerlendireceğiz. Yalnızca ne olduğuna bakmayacağız. Neden önemli olduklarını, kurumlara nasıl dokunduklarını ve ilk olarak hangi adımın atılabileceğini de konuşacağız.

Bu başlıklar ilk bakışta birbirinden uzak görünebilir. Fakat hepsi aynı soruya bağlanıyor. Sistemlerimiz neye erişebiliyor, hangi yetkiyle çalışıyor ve olağan dışı bir hareket başladığında bunu ne kadar erken görebiliyoruz?

Önce aktif istismarı doğrulanan SharePoint açıklarına bakacağız. Ardından ağ cihazlarının görünürlüğünü, Ghostcommit araştırmasını ve yapay zekâ güvenliğindeki yeni sinyalleri ele alacağız. Son bölümde ise önümüzdeki yedi gün içinde gerçekten uygulanabilecek beş kısa adım çıkaracağız.

Hazırsanız, SharePoint ile başlayalım.

SharePoint: yama ile incelemeyi birlikte yürütmekBuradan dinle

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA, üç SharePoint açığının gerçek sistemlerde kullanıldığını duyurdu. Açıkların kimliklerini bölüm notlarında bulabilirsiniz. Bunlardan biri, CVE 2026 56164 olarak izleniyor.

Burada önemli bir ayrım var. Uyarı, Microsoft'un bulutta sunduğu SharePoint Online hizmetini değil, kurumların kendi altyapısında çalıştırdığı SharePoint Server sistemlerini kapsıyor.

Sistem internete açıksa müdahale penceresi artık aylarla ölçülmüyor. Bazen günler, bazen de saatler belirleyici oluyor. SharePoint'in belge, kimlik ve iş akışlarıyla kurduğu bağlantılar düşünülünce, risk tek bir web sayfasında kalmıyor.

Doğal ilk adım güvenlik güncellemesini kurmak. Bu gerekli, fakat tek başına yeterli değil. Yama gelecekte kullanılabilecek kapıyı kapatır. Daha önce o kapıdan girilip girilmediğini ise söylemez.

Bir saldırgan güncellemeden önce sisteme ulaştıysa geride bir web kabuğu bırakmış olabilir. Yeni bir hesap açmış, bir parolayı ele geçirmiş veya başka bir sisteme geçiş hazırlamış da olabilir. Güncelleme kurulduğunda bu izler kendiliğinden kaybolmaz.

Bu nedenle, “Yamayı kurduk mu?” sorusunun yanına iki soru daha eklemek gerekiyor. Sunucu ne kadar süredir dışarıdan erişilebiliyordu? Bu süre içinde beklenmeyen bir dosya, hesap ya da bağlantı oluştu mu?

İşe envanterden başlayın. Kurum içindeki SharePoint örneklerini görünür hâle getirin. Daha sonra hangilerinin doğrudan veya dolaylı biçimde internete açıldığını kontrol edin.

Dış erişim bazen sunucunun kendi ayarlarında açıkça görünmez. Trafik bir yük dengeleyici, ters vekil sunucu ya da web güvenlik katmanı üzerinden gelebilir. Bu yüzden yalnızca uygulama ekranına bakmak yeterli olmaz.

İnceleme sırasında kayıtları korumak da önemli. Güncelleme ve yeniden başlatma bazı izleri zayıflatabilir. Beklenmeyen ASPX dosyaları, yeni yönetici hesapları ve alışılmadık dış bağlantılar özellikle dikkat çekmeli.

Şüpheli bir belirti görürseniz dosyayı silip devam etmeyin. Sistemi olay müdahalesi kapsamında ele alın. Ele geçirilmiş olabilecek parolaları ve anahtarları yenileyin. Bulguyu, zamanı ve yapılan işlemi kaydedin.

Bu bölümden akılda kalmasını istediğim cümle şu. Aktif istismar varsa yama ve inceleme birlikte yürümeli. Biri gelecekteki kapıyı kapatırken diğeri, geçmişte içeri girilip girilmediğini anlamamızı sağlar.

Şimdi uygulama katmanından ağın kenarına geçelim.

Router hijyeni ve görünmeyen ağ cihazlarıBuradan dinle

NSA, CISA, FBI ve uluslararası ortaklarıyla birlikte ağ yönlendiricileri için yeni bir güvenlik uyarısı yayımladı. Uyarı, Rus devlet bağlantılı bir grubun savunmasız veya kötü yapılandırılmış ağları hedeflemeyi sürdürdüğünü söylüyor.

Devlet destekli bir aktör denildiğinde akla hemen çok karmaşık saldırılar gelebilir. Oysa saldırganlar çoğu zaman önce en kolay yolu deniyor. İnternete açık bir yönetim paneli veya yıllardır değişmemiş bir parola, pahalı bir sıfır gün açığından daha kullanışlı olabiliyor.

Buradaki ilk sorun görünürlük. Kurumlar genellikle kaç sunucuya sahip olduklarını biliyor. Aynı netlik, yönlendiriciler ve ağ anahtarları için her zaman bulunmuyor. Destek süresi bitmiş, yedekte kalmış ya da unutulmuş bir cihaz yıllarca çalışmaya devam edebiliyor.

İkinci sorun yönetim düzlemi. Bu, cihazın günlük trafiği taşıyan kısmından farklı olarak yöneticilerin oturum açtığı ve yapılandırmayı değiştirdiği alanı anlatıyor. Bu arayüzün doğrudan internete açık olması ciddi bir risk yaratıyor.

Yönetim erişimini yalnızca onaylı ağlardan ve güvenli bir bağlantı üzerinden açmak iyi bir başlangıç. Eski SNMP sürümleri yerine sürüm üç kullanılmalı. TFTP ve Smart Install gibi ihtiyaç duyulmayan eski servisler kapatılmalı.

Şüpheli etkinlik gördüğünüzde hemen fabrika ayarlarına dönmek cazip gelebilir. Fakat bu hareket erişimi keserken saldırganın nasıl girdiğini anlamayı zorlaştırabilir. Önce yapılandırmayı, kullanıcı listesini ve son oturum kayıtlarını korumak daha sağlıklı olur.

Bu hafta ağ tarafında yapılabilecek en iyi küçük iş, yönetim arayüzlerini dışarıdan kontrol etmek. Hangi cihazların görünür olduğunu, hangilerinin destek aldığını ve eski servislerin nerede açık kaldığını tek bir listede toplayın.

Sıradaki konu, ilk bakışta oldukça masum görünen bir dosya.

Ghostcommit ve ajanların güven sınırıBuradan dinle

Ghostcommit adı verilen araştırma, yapay zekâ destekli yazılım geliştirmedeki önemli bir kör noktayı gösteriyor. Önce sınırı doğru koyalım. Bu, yaygın bir saldırı kampanyası değil. Bir araştırma ekibinin hazırladığı kavram kanıtı.

Senaryoda zararlı talimatlar bir görsel dosyasının içine yerleştiriliyor. Kod deposundaki bir talimat dosyası da kodlama ajanını bu görseli okumaya yönlendiriyor.

İnsan inceleyici değişikliklere bakarken görseli önemsiz sayabilir. Bazı otomatik araçlar da görselleri inceleme kapsamına almayabilir. Değişiklik ana dala girdikten sonra ajan, normal bir görev sırasında dosyayı okuyabilir.

Araştırmadaki örnekte ajan gizli anahtar dosyalarına ulaşıyor. Daha sonra bu bilgileri klasik tarama araçlarının kolayca tanımayacağı bir biçime dönüştürerek kaynak koda taşıyor.

Sorun yalnızca görsel değil. Asıl mesele, ajanın dışarıdan gelen içeriği veri olarak mı, yoksa uyulması gereken bir talimat olarak mı yorumladığı.

Sonucu yalnızca model belirlemiyor. Modeli çevreleyen çalışma katmanı da en az onun kadar önemli. Bu katman, ajanın hangi dosyaları okuyabildiğini, hangi araçları kullanabildiğini ve insan onayının nerede gerektiğini belirliyor.

Savunmayı üç soruyla düşünebiliriz. Ajan hangi içeriğe güveniyor? Hangi işlemleri yapmaya yetkili? Yaptığı işleri daha sonra görebiliyor muyuz?

İlk olarak, dışarıdan gelen dosyaları yalnızca kodla sınırlamayın. Görseller, belgeler ve depo talimatları da inceleme kapsamına girmeli. Bir talimat dosyası yararlı olabilir, ancak daha yüksek güvenlik kurallarını tek başına değiştirememeli.

İkinci olarak, kod yazan bir ajanın üretim sırlarına erişmesi şart değil. Dosya okumak, internete veri göndermek ve kodu üretime taşımak ayrı izinler olarak ele alınabilir. Görev için gerekmeyen yetki baştan verilmemeli.

Üçüncü olarak, yalnızca ajanın son mesajını kaydetmek yetmez. Hangi dosyayı okuduğu ve hangi aracı kullandığı da görünür olmalı. Sıradan bir kod görevi sırasında gizli anahtar dosyasına yönelmesi, sonuç başarılı olsa bile incelenmesi gereken bir işarettir.

Pratik karşılık şu. Kodlama ajanlarını yalnızca ürettikleri sonuçla değerlendirmeyin. Neye erişebildiklerini ve o sonuca giderken ne yaptıklarını da izleyin.

Şimdi kurumların daha geniş yapay zekâ kullanımına bakalım.

AI güvenliği: yardımcıdan operatöre geçişBuradan dinle

Check Point Research, 2026 Yapay Zekâ Güvenliği Raporu'nun özetini yayımladı. Raporun ana fikri şu. Yapay zekâ, bazı saldırılarda yalnızca metin ya da kod üreten bir yardımcı olmaktan çıkıp adımları yürüten bir operatöre dönüşmeye başlıyor.

Rapor, zararlı yazılım geliştirme ve kimlik avı gibi alanlara bakarken kurum içindeki günlük yapay zekâ kullanımının yarattığı veri riskini de inceliyor.

Öne çıkan sinyallerden biri dolaylı komut enjeksiyonu tespitlerindeki artış. Raporun kendi verisinde bu tür tespitler birkaç ay içinde yaklaşık beş kat yükselmiş. Hassas veri içeren yüksek riskli istemlerin oranı da bir yılda iki katına çıkmış.

Bu sayıları dikkatli okumak gerekiyor. Veriler bütün interneti temsil etmiyor. Bir güvenlik şirketinin kendi müşterilerinden ve kendi sınıflandırma yönteminden geliyor. Dolayısıyla her kurum için aynı oranı varsayamayız.

Yine de yön açık. Çalışanlar daha fazla yapay zekâ aracı kullanıyor ve bu araçlar daha fazla kurumsal veriye dokunuyor. Başlangıç noktası geniş bir yasak listesi olmak zorunda değil. Önce basit bir envanter çıkarılabilir.

Hangi ekip hangi aracı kullanıyor? Bu araç e-postaya, kod deposuna veya müşteri kayıtlarına bağlanıyor mu? Aracın sahibi kim ve acil durumda erişimi kim durdurabilir?

Bir sonraki konu kimlik ve yetki. Ajanı sıradan bir kullanıcı oturumunun içine saklamak yerine ayrı bir makine kimliğiyle yönetin. Mümkünse kısa ömürlü erişim anahtarı ve en düşük yetkili rol kullanın.

E-posta gönderme, dosya silme veya üretim değişikliği yapma gibi yüksek etkili işlemler farklı ele alınmalı. Bu adımlarda açık bir politika ve gerektiğinde insan onayı bulunmalı. Böylece ajanın yararını korurken etki alanını daraltmak mümkün olur.

Veri tarafında yalnızca “Bunu paylaşmayın” demek yeterli değil. Çalışanların kullanabileceği, saklama politikası açık ve kurum tarafından onaylanmış bir araç sunmak daha etkili. Aksi hâlde ihtiyaç ortadan kalkmıyor. Yalnızca görünmeyen bir kanala taşınıyor.

Olay müdahalesini de önceden düşünmek gerekiyor. Şüpheli bir ajan oturumunda hangi kayıtlar korunacak? Hangi erişim anahtarları yenilenecek? Ajanın değiştirdiği dosyalar veya gönderdiği iletiler nasıl geri alınacak?

Modelin son cevabını silmek, gerçek sistemlerde yapılan işlemleri geri çevirmiyor. Bu nedenle yapay zekâ olay müdahalesi konuşma geçmişinin yanında araç çağrılarını ve dış sistemlerdeki değişiklikleri de kapsamalı.

Bu bölümden alınacak küçük ama etkili adım şu. Kurumunuzdaki yapay zekâ uygulamaları ve ajanlar için bir liste başlatın. İlk sürümde yalnızca sahip, veri kaynağı, kimlik, yetki ve kayıt alanları bulunsa bile işe yarar.

Beş uygulanabilir adım ve kapanışBuradan dinle

Haftanın başlıklarını yan yana koyduğumuzda ortak çizgi netleşiyor. Görünürlük ve yetki.

Hangi sistemlerin internetten erişilebildiğini bilmiyorsak SharePoint riskini zamanında göremeyiz. Ağ cihazlarını izlemiyorsak yapılandırma değişikliklerini kaçırırız. Bir ajanın erişimini sınırlamıyorsak masum görünen bir dosya, hassas verilere giden yolu açabilir.

Önümüzdeki yedi gün için beş küçük adım bırakalım.

Birinci adım, şirket içindeki SharePoint sunucularını ve dış erişim yollarını doğrulamak. Yama uygulanırken geçmişteki olası izleri de inceleyin.

İkinci adım, ağ cihazlarının yönetim arayüzlerini dışarıdan kontrol etmek. Gereksiz eski servisleri kapatın ve desteği bitmiş cihazları görünür bir plana alın.

Üçüncü adım, kodlama ajanlarının gizli dosyalara ve üretim kimliklerine erişimini gözden geçirmek. Görev için gerekmeyen yetkiyi kaldırın.

Dördüncü adım, kod incelemesine görselleri, PDF dosyalarını ve depo talimatlarını da eklemek. Güvenilmeyen içeriğin talimat gibi davranabileceğini varsayın.

Beşinci adım, yapay zekâ araçları için küçük bir envanter başlatmak. Sahibinin kim olduğunu, hangi veriye eriştiğini, hangi işlemleri yapabildiğini ve acil durumda nasıl durdurulacağını kaydedin.

Hepsini aynı anda bitirmek zorunda değilsiniz. En görünür riski seçin ve sorumlusu belli tek bir adımla başlayın.

Bu haftanın cümlesi şu olsun. Savunmanın hızı, neyi gördüğümüze ve yetki sınırlarını ne kadar açık çizdiğimize bağlı.

Dinlediğiniz için teşekkür ederim. Kaynakların tamamını ve teknik ayrıntıları bölüm notlarında bulabilirsiniz.

Bir sonraki bölümde yeniden görüşmek üzere. Kendinize ve sistemlerinize iyi bakın.