SharePoint açığı sayesinde yabancı hackerlar tarafından ABD'deki bir nükleer silah tesisi ihlal edildi

 (csoonline.com)
1 puan yazan GN⁺ 2025-10-22 | 1 yorum | WhatsApp'ta paylaş
  • SharePoint güvenlik açığı nedeniyle yabancı siber saldırganlar, bir ABD nükleer silah tesisine sızmıştır
  • Bu ihlal, BT ve OT güvenliği arasındaki uyumsuzluğun federal kurumlar genelinde önemli bir sorun olduğunu gösteriyor
  • Federal hükümet, geleneksel IT ağları için sıfır güven stratejisini geliştirmede ilerleme sağladı, ancak OT ortamlarına uygulanması gecikmekte
  • Savunma Bakanlığı, OT için sıfır güven kontrolleri geliştirmeye öncülük ediyor; bu da IT ile OT'yi kapsayan entegre bir güvenlik stratejisinin gelecekte şekilleneceğine işaret ediyor

SharePoint Açığı ve ABD'deki Nükleer Silah Tesisi İhlali

  • SharePoint'in bir zafiyetinden yararlanarak yabancı siber saldırganların ABD'deki nükleer silah tesisi erişim sağladığı bir olay rapor edildi
  • Uzman Sovada, bu erişimin, dağıtım kontrol sistemlerini yöneten kalite güvencesi veya enerji ve çevre kontrolünden sorumlu SCADA sistemleri üzerinde de etkisi olabileceğini vurguladı
  • Bu konunun yalnızca basit bir BT açığı olmadığını işaret ediyor

IT/OT Bütünleşmesi ve Sıfır Güven Güvenliğinde Farklılık

  • Kansas City olayı, federal kurumlar genelinde IT ve OT güvenlik uygulamaları arasındaki uyumsuzluğu ortaya koyan yapısal bir meseleye işaret ediyor
  • Federal hükümet, mevcut IT ağları için bir sıfır güven yol haritası geliştirmeye devam ediyor
  • Fakat operasyonel teknoloji (OT) ortamlarında benzer bir güvenlik çerçevesi oluşturulması görece geç kalmaktadır
  • Son zamanlarda bu OT güvenlik çerçevesi geliştirme çabaları da ilerleme kaydediyor

IT ve OT Güvenliğini Birleştirme Çabası

  • Sovada, sıfır güven, ağ segmentasyonu, kimlik doğrulama ve kimlik yönetimi için IT yönetim araçlarına ait bir playbook bulunduğunu belirtti
  • ABD Savunma Bakanlığı, OT ortamlarında sıfır güven uygulaması için bir playbook geliştiriyor
  • Nihayetinde IT ve OT için sıfır güven yönetim yönergelerini bir araya getirerek tüm ağ türlerinde kapsamlı bir güvenlik hedefleniyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-22
Hacker News Yorumları

  • Birisi iş teklifi yaptığında ilk yaptıklarımın başında şirketin e-posta etki alanının MX kaydını kontrol etmek gelir; bu, karşı tarafı haberdar etmeden şirketin Microsoft tabanlı olup olmadığını bir saniyede anlama yoludur.
    Microsoft ise benim için büyük bir uyarı sinyali. Microsoft ürünleri yaygın olduğundan, bu tamamen kişisel tecrübeme dayanıyor ama 20 yılı aşkın süredir çalışırken gördüğüm şey, MSFT tabanlı IT yığını kullanan şirketlerin çoğunun benim pek sevmediğim bir mühendislik kültürüne sahip olma olasılığının yüksek olmasıdır.
    Sadece Outlook, SharePoint, Teams gibi araçları kullandıkları için bir şirketi tamamen kötü bir kültüre sahip diye etiketleyemeyiz ama, bunu bir adayla görüşmeden sormayı düşündüğüm herhangi bir sorudan daha yüksek olasılıkla zayıf teknik kültüre işaret eden bir gösterge olduğu için bu yöntemi hâlâ kullanıyorum.
    Microsoft odaklı mühendislerin bunu kaba bulacağını biliyorum, gerçekten özür dilerim. Sorun bende.

    • Açıkçası böyle düşününce kişinin sorunlu biri gibi göründüğünü düşünüyorum.
      Microsoft kullanmayan şirketlerin çoğu Google kullanıyor ve deneyimlerime göre bu çoğu zaman daha da kötü.
      Gerçekten de Microsoft karşıtlarıyla çalıştığımda, bu tip insanlar takımda şirketin seçtiği araçları kullanmadıkları için sürekli ayağa engel olan tiplerdi.
      (Ek olarak, eski gönderimin puanının neden birden düştüğünü de anlayamadım.)

    • Şirketin Mac laptop veriyorsa bu bana olumlu bir sinyal; buna karşı Windows laptop veriyorsa olumsuz bir sinyal.
      Çalıştığım en iyi şirket, her yazılım mühendisine varsayılan ekipman olarak bir Mac laptop ve bir Linux masaüstü sağlıyordu.

    • Tamamen katılıyorum. Her iki ortamda da çalıştım ve artık MS ortamında yedi haneli (milyon düzeyinde) maaş olmadan bir daha çalışmak istemiyorum.

    • Kişisel olarak, işgücüne saygının düşük olduğu şirketlerle (örneğin h1b vize suistimali) MS ortamı kullanımını ilişkilendiriyorum.
      Kaliforniya'da bulunmak özellikle yerel yeteneklere ve işçilere saygının neredeyse olmadığı bir tabloyu gösteriyor.
      Burada sendikalara ve hatta eyaletin kendisine bile hızlıca karşı çıkan bir hava var.

    • Bu ortam gerçekten çok kötü.
      Yazılım ve bilgisayara karşı "fena bir şey değil" yaklaşımı aşılıyorlar gibi ve bu kültürün yazılım üreten insanları da olumsuz etkilediğini düşünüyorum.

  • Böyle konular gündeme geldiğinde insanlar her zaman "Microsoft berbat 😆" gibi bir şey yazar, ama onları ayakta tutan iş modelini düşünmüyorlar diye düşünüyorum.
    Exchange'i kullanmayalım mı? Peki başka seçenek ne var? 15 kişiden 150 bini kadar desteklemek mümkün mü? Ben 70 bin kişinin kullandığı bir Exchange kümesi işlemi yürüttüm. Paylaşımsız diskli, tek bir endpoint'ten erişilen yedekli bir sistemi, posta yazılımıyla nasıl değiştirebiliriz?
    SharePoint'te bir de iki adet RCE (uzaktan kod çalıştırma) çıktığını duymak mı? Şaşırtıcı değil; yazılım zaten hiç iyi değil.
    Buna rağmen bu yazılım yüksek yükleri iyi tolere ediyor. Her açık kaynak çözümü küçük ortamlarda iyi işler ama büyük ölçekte sıklıkla çöküyor.
    Bir açık kaynak geliştiricinin böyle sıkıcı, bilgisayar okuryazarlığı düşük kullanıcılarla arayüz geliştirme işini ücretsiz yapmak istememesini de anlıyorum.
    Ayrıca Microsoft yazılımları bir dereceye kadar geriye dönük uyumluluk sağlıyor. Kurumlarda yıllarca dokunulmamış özgeçmişler, makro içeren Excel dosyaları gibi çokça legacy yazılım/varlık var.
    Registry'yi ele geçirip güvenliği biraz düşürseniz de, 97 tarihli Excel makro dosyaları hâlâ çalışabiliyor. MS Office seviyesinde uyumlu bir ofis ürünü bulmanın zor olduğunu düşünüyorum.
    Konu, Microsoft'un gerçekten bir Gordion düğümü sorunu olduğunu gösteriyor; pratik çözüm çoğunlukla "artık geriye uyumluluk istemeyin, hepsini yükseltin".
    Bu arada yıllar önce bir şirkette Exchange Web Services ile yaptırdıkları çözümü tekrar güncellemem için bana ulaştılar; Microsoft, Office 365'te Exchange Web Services'i kapattı ve şimdi GraphAPI'ye geçmemizi istedi.

    • Sanırım şu an Microsoft ürünlerinin Exchange odaklı avantajlarından bahsediliyor ama mesele SharePoint.
      Microsoft, Windows gibi Exchange ile bir savunma hattı kurmuş gibi görünüyor.
      Asıl soru, neden bütün şirketler Microsoft'un tüm ekosistemini seçiyor? Özellikle web teknolojilerinde Microsoft gerçekten çok kötü, SharePoint de bunların en kötüsü.
      Yine de Postfix/Dovecot gibi büyük ölçekli e-posta sistemlerinin kurulduğuna dair birçok gerçek örnek olduğunu düşünüyorum.
      reddit'te büyük ölçekli bir posta sunucusu kurma deneyimi paylaşımı

    • SharePoint'te yine RCE'lerin bulunduğu söyleniyor, bu yazılımın ciddi olduğunu belirtiyor.
      Ama sonuçta bu bir dosya paylaşım sunucusu değil mi? (Ben kullanmadım.)
      Samba veya FTP sunucularının da ölçeklenebilir olduğuna inanıyorum; gerçek mesele bence kullanıcı arayüzü (UI).

    • Bu tür bir sistem olmadan eski silah üretim tesisleri nasıl çalıştı acaba?

    • Gerçekten Exchange sunucusunu 150 bin kullanıcıyı destekleyecek şekilde kurması gereken şirket sayısı kaçtır?
      Normal bir üretim şirketinde bu ölçekte bir sayı neredeyse hiç olmaz.

    • Açık kaynak geliştiriciler, böyle niş ve sıkıcı, bilgisayar okuryazarlığı düşük kullanıcılarla iletişim gerektiren yazılımları üstlenmeye genelde yanaşmaz; bu da devlete, açık kaynak yazılım geliştirenleri istihdam ederek kamu yararı için bir katkı sunma şansı veriyor olabilir.
      ABD hükümeti Obama döneminde "18F" adlı birim kurup gerçekten vatandaşlara yararlı yazılımlar geliştirmişti.
      Her zaman sorunlu bulunan vergi beyannamesi programları gibi alanlarda çok etkili oldular ama Trump ikinci dönemini tamamladıktan sonra hemen bu birimi kapattı.
      (Bkz: 18F tarihçesi ve değerleri, Lawfare: 18F'den öğrenilen dersler)

  • Devlet için kritik bir tesise SharePoint hangi mantıkla kurulur anlayamıyorum. Bu kadar hassas bilgilere dokunan bir yerde nasıl SharePoint gibi bir MS ürünü kullanılabiliyor?
    MS Office 365, Teams ve Edge'e kadar.
    Güvenlik politikalarının acilen yeniden tasarlanması gerekiyor gibi görünüyor.

    • Bu durum için gerçekten iyi olmayan bir haber var.

    • O halde önerilebilecek alternatif çözümler olup olmadığını merak ediyorum.

    • Temel gizli belgeleri bir tatil köyü ortak tuvaletine kaydedildiğini söyleyen biri vardı...

    • Ama bunu böylece hepsi ücretsiz kullanılmış oluyor ya! /şaka

  • Eskiden Excel ile bir alarm sistemini çökertmiştim.
    (Aslında MSFT'den çok, beklenmeyen yan etki üzerine bir hikâye.)
    Ben alarm sistemini işletiyordum; yapı loglarda 'alert_log' anahtar kelimesini aramaya dayanıyordu.
    Log takibi için bir Excel tablosu oluşturdum ve sayfalardan birine 'alert_log' adını verdim.
    Bulut sürüm Excel kullandığım için girilen metnin tamamı firewall'dan geçti.
    Firewall günlüklerine 'alert_log' metni yazıldı.
    Alarm sistemi logda bu anahtar kelimenin olduğunu düşünerek sürekli tetikleme yaptı.
    İkinci alarmda tekrar firewall logu içeriği girildi ve böylece sonsuz döngü başladı.
    Sistemler bazen kasıt olmadan etkileşime girip beklenmedik şeyler üretebiliyor.
    Bu yüzden denetim, red team ve defense in depth gibi çok katmanlı yaklaşımlar önemli.

    • Bir firewall mühendisi olarak, bu nedenle firewall trafik günlüklerini syslog'a dışa aktarırken günlük üretimini mutlaka kapatın diye söylemiştim.

  • SharePoint, kullandığım en kötü ve en çok hata veren yazılımlardan biri.
    Solidworks (3D tasarım aracı) ile entegrasyonda dosyaların bir anda açılmadığı bir hata yıllardır var.
    Microsoft bu problemi bildiği halde ve çözülmesi imkânsız bir neden de görünmemesine rağmen yıllardır görmezden geliyor.
    Microsoft'un bulut depolaması bir labirent gibi; aradığınız dosyanın nerede olduğunu veya gerçekten çalışıp çalışmadığını kestirmek zor.
    Bazı özellikler sadece tarayıcıda, bazıları sadece uygulamada çalışıyor ve bunun da bir listesi düzgün tutulmuyor.
    Bu yüzden, daha da fazla sıfırdan sökülecek açık olduğundan eminim.

    • Son yıllarda özellikle Microsoft bulut ürünleri, her kullanımda birden fazla hata adımı ve beklenenden yavaş bir çalışma deneyimi veriyor.
      Geçen gün yeni bir alt etki alanıyla e-posta göndermeyi denerken 365'te DKIM ayarını arıyordum; o menüye ulaşmak inanılmaz zor oldu.
      Sonuçta alt etki alanına ait DKIM anahtarının da root domain'e eklenmesi gerektiğini öğrendim.
      Gerçekten verimsiz.

    • Şu an bir devlet sözleşmeli projede çalışıyorum ve Slack'ten tamamının MS Teams'e geçmesi için baskı var.
      Yaklaşık 20 yıldır MS ürünleri olmadan idare ettikten sonra, büyük şirketlerde/ kamu kurumlarında kullanıcı deneyimi (UX) acısına karşı sabırlarının ne kadar yüksek olduğunu anlıyorum.

    • Biz Microsoft'un barındırdığı SharePoint ile rsync kullanarak dosya senkronize ediyoruz.
      MS dosyalarında (ör. Excel), dosya geldiğinde iç metaveri değişiyor ve checksum farklılaşıyor; bu da rsync'in dosyanın tekrar değiştiğini algılayıp tekrar senkronlamasına neden oluyor.

    • MS Word Online'da en az 2 yıldır Firefox Linux'ta (diğer işletim sistemlerinde de mi?) metin silen bir bug var.
      Bir metin editörünün birinci önceliği belgeye yazı eklemektir ama bu olmuyor ve bu bug düzeltilmiyor.
      Ücretli de olsa Overleaf'e geçmek ve amatörlere LaTeX veya gömülü editör öğretmek daha iyiydi.
      Belge çıktısı da güzel, Overleaf kesintisiz çalışıyor ve bu beni gerçekten memnun etti.
      İş için 365 ücretli müşteri olmama rağmen Microsoft'un önceliklendirmesi çok garip.
      MS Word web sürümünde metnin silinmesine dair resmi Q&A

    • SharePoint gibi MS hizmetleri dahili olarak çok kritik roller oynasa da sanki "unutulmuş problem çocuğu" gibi algılanıyor.

  • SharePoint o kadar iyi değilse neden büyük çaplı kötüye kullanım vakaları görünmüyor diye merak ediyorum.
    Fortune 500 şirketlerinden çoğuyla çalışıyoruz; hissiyatıma göre %90'dan fazlası SharePoint kullanıyor.
    Kurulum yöntemleri farklı olsa da doğru kurulduğunda oldukça işe yarıyor.
    Daha iyi bir alternatif olsa bile, 5-10 farklı satıcı ürünü yönetmenin kendisi daha zor.
    Teams'e karşı çıkılmasını da anlamıyorum.
    Ben Zoom, Slack, Discord gibi birden fazla işbirliği aracı kullanıyorum ama Teams, takvim, toplantı, kayıt, Copilot kullanımında bile tüm iş ihtiyaçlarını karşılıyor.
    Discord'un canlı çoklu ekran paylaşımı ve özgür kanal katılım özellikleri hata ayıklama/çift programlama için hoşuma gidiyor ama Teams temel ihtiyaçların tümünü karşılıyor.

    • SharePoint kullanan çoğu kuruluş bunu sadece iç servise açık tutuyor.
      MS, o365 (Office 365) ile yeni SharePoint'i SaaS olarak "yeni" bir modelde push ediyor ve Microsoft, internete açılmış bir yapı ile servis ediyor.
      Böylece Microsoft patch ve WAF gibi güvenlik yönetimini üstleniyor.

  • OT sistemleri destekleyen bir şirket perspektifinden, Purdue modelinde Level 5'ten doğrudan Level 1/0'a yazma izni verilmesini her gördüğümde şaşkınlığa düşüyorum.
    (Ek: Purdue modeli için açıklama: bu bağlantı)

  • Bu konuyu görünce howfuckedismydatabase.com MSSQL bölümü aklıma geliyor.

    • MSSQL'in Microsoft ürünleri arasında gerçekten iyi tarafta olduğunu düşünürüm.
      Benzersiz tarafları var (Oracle için de aynı), ama hem fonksiyon hem stabilite çok iyi.

  • (CVE-2025-53770 ile ilgili son güvenlik olayı linkleri)

  • Nükleer fisyon tesislerini internete açık bırakmayı isteyenler hapse girmeli.

    • Aslında söz konusu bir nükleer fisyon tesisi değil, ABD'de nükleer silah için kritik bileşen üreten bir fabrikaydı.
      Haberde gördüğümüz üzere hedef, IT sistemleriydi ve gerçek operasyonel sistemler muhtemelen air-gapped (dış ağdan ayrık) haldeydi.
      Yine de kritik üretim tesisleri tamamen dış bağlantılardan izole edilemez.
      O tesislerde çalışanların da yemek, ofis malzemesi, tuvalet kağıdı gibi temel ihtiyaçları olduğu için belirli bir dış bağlantı kaçınılmazdır.