Ivanti Açıkları: 2025 Kritik Güvenlik Analizi

1. Ivanti Connect Secure Nedir ve Neden Kritik?

Ivanti Connect Secure (eski adıyla Pulse Secure), kurumların:

• VPN bağlantılarını,
• Uzaktan erişim altyapılarını,
• Kullanıcı kimlik doğrulama süreçlerini,
• Ağ erişim politikalarını

yönettiği kritik bir güvenlik cihazıdır. Bu nedenle cihazın zafiyet içermesi:

• Çalışanların VPN trafiğinin,
• Kurum ağına yapılan dış erişimlerin,
• Kimlik doğrulama ve yetkilendirme süreçlerinin

doğrudan tehlikeye girmesi anlamına gelir.

Başka bir ifadeyle: Ivanti’de yaşanan bir açık, kurumun dış kapısının saldırganlara tamamen açılması demektir. Dolayısıyla bu ürünler üzerinde ortaya çıkan her CVE, teknik anlamda bir “zafiyet” olmanın ötesinde, kurumsal risk yönetimi ve iş sürekliliği açısından da kritik bir gündem maddesidir.

2. Son Dönemde Ortaya Çıkan En Kritik Ivanti Açıkları

Ivanti tarafında özellikle iki açıklık, global ölçekte ciddi yankı uyandırdı ve 2024–2025 döneminin “en kritik uzaktan erişim zafiyetleri” arasında konumlandı:

• CVE-2023-46805 — Kimlik Doğrulama Atlama (Authentication Bypass)
• CVE-2024-21887 — Komut Enjeksiyonu (RCE – Remote Code Execution)

Bu iki açıklık birlikte kullanıldığında saldırgan:

• Kimlik doğrulamayı tamamen atlayabiliyor,
• Cihaz üzerinde uzaktan komut çalıştırabiliyor,
• VPN yapılandırmasını değiştirebiliyor,
• Yeni kullanıcılar oluşturabiliyor,
• Cihaz üzerinden iç ağa geçiş yapabiliyor.

Bu nedenle birçok güvenlik uzmanı Ivanti açıklarını yalnızca “kritik seviye” değil, doğrudan “acil seviye” kategorisine yerleştiriyor ve yamaların “hemen şimdi” uygulanması gerektiğini vurguluyor.

3. Saldırganlar Ivanti Açıklarını Nasıl İstismar Ediyor?

Ivanti açıklıkları, saldırganların en sevdiği kategoriye giriyor: kimlik doğrulamasız istismar. Bu, saldırganın cihazı ele geçirmek için herhangi bir kullanıcı hesabına veya geçerli kimlik bilgisine ihtiyaç duymaması anlamına geliyor.

Tipik bir saldırı zinciri şu adımlarla ilerliyor:

1. İnternete açık Ivanti cihazlarının tespiti
   Shodan, Censys gibi arama motorları üzerinden “Ivanti Connect Secure” ve benzeri imzalar taranıyor.
2. Sürüm bilgisinin elde edilmesi
   Cihazın firmware sürümü öğrenilerek ilgili CVE’ler ile eşleştiriliyor.
3. Authentication bypass açıklığının test edilmesi
   Kimlik doğrulama ekranını by-pass etmek için özel hazırlanmış HTTP istekleri gönderiliyor.
4. JWT veya yönetici session üretimi
   Bazı açıklıklar, saldırgana doğrudan yönetici oturumu sağlayabiliyor.
5. Komut enjeksiyonu (RCE) ile cihazın ele geçirilmesi
   Cihaz üzerinde root yetkisiyle komut çalıştırılabiliyor.
6. Cihaz yapılandırma bilgilerinin çekilmesi
   Burada genellikle:
   • VPN kullanıcı listeleri,
   • LDAP bağlantıları,
   • Token anahtarları,
   • Ağ erişim politikaları,
   • Yerel kullanıcı hesapları,
   • VPN profilleri
   gibi kritik bilgiler bulunuyor.
7. VPN profili üzerinden iç ağa bağlanma
   Saldırgan artık şirket ağına “içeriden bağlı bir kullanıcı” gibi erişebiliyor.

Sonuç olarak Ivanti açıkları, sadece cihazın kırılmasıyla sınırlı kalmayıp, saldırgan için kurumsal ağa tam kapsamlı erişim anlamına geliyor.

4. Türkiye’de Ivanti Açıklarının Etkisi

Türkiye’de Ivanti Connect Secure ürünleri özellikle aşağıdaki sektörlerde yoğun şekilde konumlanmış durumda:

• Telekomünikasyon operatörleri,
• Enerji ve altyapı şirketleri,
• Büyük holdingler ve çok lokasyonlu kurumsal yapılar,
• Finans dışı büyük kurumsal firmalar,
• Lojistik ve taşımacılık şirketleri,
• Devlet kurumlarına hizmet veren entegratörler ve sistem entegrasyon firmaları.

Bu nedenle Ivanti açıklıkları, Türkiye özelinde kısa sürede ciddi riskler doğurdu ve birçok sızma testi senaryosunda birincil saldırı vektörü hâline geldi.

Türkiye’de en sık gözlemlenen sonuçlar:

• VPN kullanıcı hesaplarının çalınması,
• Cihaz yapılandırmasının ve ağ haritasının saldırganlara sızması,
• İç ağlarda lateral movement yapılması,
• Domain controller erişimlerinin hedeflenmesi,
• Fidye yazılımı operasyonlarının başlatılması.

Ivanti açıkları, özellikle fidye yazılımı çeteleri ve APT grupları tarafından Türkiye’de yoğun biçimde kullanılmakta. Çünkü saldırı zinciri çok kısadır:

VPN → İç ağ → AD keşfi → Domain Admin → Tüm sistemler

ve çoğu kurumda bu zinciri kıracak ağ segmentasyonu, kayıt analizi ve davranışsal izleme katmanı yeterince güçlü değildir.

5. Ivanti Açıkları KVKK ve Veri Güvenliği Açısından Ne Anlama Geliyor?

Ivanti açıkları sadece teknik bir risk değildir; veri güvenliği ve KVKK açısından doğrudan ihlal potansiyeli taşır. Bir saldırgan Ivanti cihazı üzerinden iç ağa sızdığında:

• Kişisel veriler görüntülenebilir ve kopyalanabilir,
• Çalışan ve müşteri bilgileri dışarı sızdırılabilir,
• E-posta kutuları ve dosya sunucularına erişilebilir,
• Yedekleme sistemleri manipüle edilebilir,
• Kritik veriler şifrelenerek fidye talep edilebilir.

Bu nedenle KVKK kapsamındaki kurumlar için Ivanti açıkları, “yüksek etkili veri ihlali riski” barındıran kaynaklardan biridir. Saldırının tespiti sonrasında:

• Veri ihlali olup olmadığının teknik olarak analiz edilmesi,
• Varlık envanteri ve log kayıtları üzerinden kapsam incelemesi yapılması,
• KVKK’ya yapılacak ihlal bildirimi gerekip gerekmediğinin değerlendirilmesi,
• İlgili kişi ve otoritelere zamanında bildirim süreçlerinin işletilmesi

kurumsal yükümlülükler arasında yer almaktadır.

6. Yöneticiler İçin En Kritik Risk: “Sessiz ve Uzun Süreli Sızma”

Ivanti açıklarının en tehlikeli tarafı, saldırganların cihaz üzerinde izlerini görece kolay gizleyebilmesi ve güvenlik ekipleri fark etmeden uzun süre içeride kalabilmesidir. Türkiye’de de bazı kurumlarda saldırganların 30–90 gün arası içeride kaldığı vakalar raporlanmıştır.

Bu süre zarfında tipik olarak:

• Yeni VPN hesapları ve arka kapılar açılır,
• Active Directory keşfi yapılır,
• Yedekleme sistemleri ve kritik sunucular haritalanır,
• Hassas veri kümelerine erişim test edilir,
• Sızdırılacak veriler paketlenir ve dışarı çıkarılmak üzere hazırlanır,
• Fidye yazılımı saldırısı için uygun zaman kollanır.

Özetle; saldırgan, şirketin tüm operasyonlarını uzaktan izleyebilen ve gerektiğinde kilitleyebilen stratejik bir pozisyona yerleşir.

7. Ivanti Açıkları 2025’te Neden Daha Büyük Tehdit?

2025 itibarıyla Ivanti açıklarının risk seviyesini büyüten üç ana faktör öne çıkıyor:

• Açıkların zincir hâlinde ortaya çıkması
  Bir açıklık tam kapanmadan yeni bir kritik açıklığın devreye girmesi, saldırganların Ivanti ürünlerinin zayıf noktalarını daha iyi tanımasına ve zincir istismar senaryoları üretmesine imkân veriyor.
• Exploit araçlarının internette ücretsiz dolaşması
  GitHub ve benzeri platformlarda Ivanti için pek çok otomatik istismar aracı serbestçe dolaşıyor. Bu da yetkinliği düşük saldırganların bile karmaşık saldırıları kolayca tetiklemesine yol açıyor.
• Türkiye’de cihazların geç güncellenmesi
  Birçok kurumda Ivanti güncellemeleri:
  • “Kesinti olmasın”
  • “VPN bağlantısı kopmasın”
  • “Dönemsel yoğunluk var”
  gibi gerekçelerle erteleniyor. Bu gecikme, saldırganların işini olağanüstü derecede kolaylaştırıyor.

8. Kurumlar Ivanti Açıklarına Karşı Ne Yapmalı?

Ivanti açıklıklarıyla etkili şekilde başa çıkmak için kurumların aşağıdaki adımları sistematik biçimde ele alması kritik önem taşıyor:

• Ivanti cihazlarını düzenli ve zamanında güncelleyin
  Firmware sürümü her zaman en son kararlı versiyon olmalı; güvenlik bültenleri operasyonel planlama gerekçesiyle ertelenmemelidir.
• MFA’yı tüm VPN bağlantılarında zorunlu kılın
  Hâlâ birçok kurumda MFA devre dışı. Tüm uzaktan erişim senaryolarında çok faktörlü kimlik doğrulama standart hâle getirilmelidir.
• Yönetim panelini doğrudan internete açmayın
  Ivanti yönetim arayüzüne erişim yalnızca iç ağdan veya sıkı korunan bir jump server üzerinden sağlanmalıdır.
• Tüm Ivanti loglarını SIEM’e gönderin ve korelasyon yazın
  Özellikle oturum açma denemeleri, yapılandırma değişiklikleri ve yönetici oturumları için uyarı üreten korelasyon kuralları oluşturulmalıdır.
• Düzenli dış ağ sızma testleri yaptırın
  Ivanti zafiyetleri, sızma testleri sırasında çoğu zaman erken aşamada tespit edilerek giderilebilir.
• VPN hesaplarını periyodik olarak gözden geçirin
  Pasif kullanıcılar kapatılmalı, gereksiz ayrıcalıklar azaltılmalı, “işten ayrılanlar” için erişim kesintisi anlık yapılmalıdır.
• Çalışanlara phishing farkındalığı eğitimi verin
  Ivanti açıkları teknik tarafta risk üretirken, VPN parolaları çoğu zaman sosyal mühendislik ile ele geçiriliyor. Bu iki vektör birleştiğinde etki katlanarak artıyor.

Teknik tedbirlerin yanında, Ivanti ve benzeri kritik ağ erişim bileşenleri; risk envanteri, iş sürekliliği planları ve KVKK uyum programları içinde ayrı bir başlık olarak ele alınmalıdır.

9. Ivanti Açıkları 2025’te En Kritik Siber Tehditlerden Biri

Ivanti Connect Secure ve Ivanti Policy Secure ürünleri, şirket ağlarının dışa açılan en kritik kapılarından biri konumunda. Bu nedenle bu ürünlerde ortaya çıkan her güvenlik açığı, sadece ilgili cihazı değil, şirketin tüm sistemlerini riske atıyor.

2025 itibarıyla Ivanti açıkları:

• Yalnızca teknik bir zafiyet değil,
• Kurumsal risk yönetimi ve iş sürekliliği riski,
• KVKK çerçevesinde ciddi bir veri ihlali tehdidi

olarak değerlendirilmelidir.

Kurumların bu tehdide karşı:

• Doğru yapılandırma,
• Zamanında ve planlı güncelleme,
• Etkili izleme ve log analizi,
• Düzenli sızma testleri ve Red Team çalışmaları,

ile hazırlıklı olması kritik öneme sahiptir.

Unutulmamalıdır ki: Ivanti cihazı kırılan bir şirket, büyük olasılıkla tüm iç ağını saldırganlara açmış olur. Bu risk ancak proaktif bir güvenlik yaklaşımı, üst yönetim desteği ve kurum genelinde yerleşmiş bir siber güvenlik kültürü ile minimize edilebilir.