ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak sömürüldüğü tespit edilen iki yeni güvenlik açığını Bilinen Sömürülen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu hamle, siber tehdit aktörlerinin bu açıkları hedef aldığına dair somut kanıtlar bulunması üzerine gerçekleşti. Eklenen açıklar arasında KNX Association KNX Protocol'deki CVE-2023-4346 ve Oracle E-Business Suite'teki CVE-2026-46817 bulunuyor. Her iki zafiyet de kritik altyapı ve kurumsal sistemler için ciddi bir tehdit oluşturuyor.
CVE-2023-4346, KNX Protocol'ün Bağlantı Yetkilendirme Seçeneği 1'deki aşırı kısıtlayıcı hesap kilitleme mekanizması zafiyetidir. KNX Protokolü, bina otomasyon sistemlerinde (akıllı ev, enerji yönetimi, aydınlatma, HVAC gibi) yaygın olarak kullanılan bir iletişim standardıdır. Bu zafiyet, saldırganların hesap kilitleme mekanizmasını atlayarak yetkisiz erişim elde etmesine olanak tanıyabilir. Özellikle akıllı bina sistemlerini hedef alan bu açık, fiziksel güvenlik sistemlerinin devre dışı bırakılmasına veya manipüle edilmesine yol açabilir.
CVE-2026-46817 ise Oracle E-Business Suite'teki hatalı ayrıcalık yönetimi zafiyetidir. Oracle E-Business Suite, büyük ölçekli işletmeler tarafından finans, tedarik zinciri, insan kaynakları gibi kritik iş süreçlerinde kullanılan entegre bir kurumsal kaynak planlama (ERP) yazılımıdır. Bu zafiyet, saldırganların düşük yetkili bir kullanıcı hesabından yönetici seviyesinde ayrıcalıklar elde etmesine imkan tanıyabilir. Bu da hassas verilerin sızdırılması, sistemlerin ele geçirilmesi ve iş süreçlerinin aksaması gibi sonuçlar doğurabilir.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için zafiyet yönetimi gereksinimlerini belirliyor. Bu direktif, KEV Kataloğu'ndaki yüksek riskli zafiyetlerin hızla giderilmesini zorunlu kılıyor. Özellikle, kamuya açık varlıklarda bulunan ve sömürü sonrası tam kontrol sağlayan zafiyetlerin öncelikli olarak düzeltilmesi gerekiyor. Direktif ayrıca, yama uygulanmadan önce sistemlerin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri de tanımlıyor. BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları risk bazlı zafiyet yönetimi benimsemeye ve KEV Kataloğu'ndaki zafiyetleri önceliklendirmeye çağırıyor.
Gelecekte Ne Bekleniyor?
Bu iki zafiyetin KEV Kataloğu'na eklenmesi, siber güvenlik ekipleri için acil bir eylem çağrısı niteliğinde. KNX Protocol kullanan akıllı bina sistemlerinin ve Oracle E-Business Suite kullanan kuruluşların, bu zafiyetleri hemen değerlendirmesi ve gerekli yamaları uygulaması kritik önem taşıyor. Ayrıca, sistemlerin daha önce tehlikeye girip girmediğini tespit etmek için kapsamlı bir güvenlik denetimi yapılması öneriliyor. CISA, bilinen bir sömürülen zafiyetin KEV Kataloğu'nda yer almadığını fark edenleri, KEV Aday Gösterme Formu aracılığıyla bildirim yapmaya davet ediyor.
Önemli Gelişmeler
Siber tehdit aktörleri, bu tür zafiyetleri sıklıkla saldırı vektörü olarak kullanıyor. KNX Protocol zafiyeti, bina otomasyon sistemlerine yönelik hedefli saldırılarda; Oracle E-Business Suite zafiyeti ise kurumsal ağlara sızma ve veri hırsızlığında kullanılabiliyor. Kuruluşların, güncel bir zafiyet envanteri tutması, düzenli güvenlik taramaları yapması ve yama yönetimi süreçlerini otomatize etmesi, bu tür tehditlere karşı korunmada hayati rol oynuyor. Ayrıca, çalışanların siber güvenlik farkındalığının artırılması ve sıfır güven mimarisi gibi modern güvenlik yaklaşımlarının benimsenmesi, riskleri azaltmada etkili olacaktır.
Kaynak: cisa.gov