CISA, Ivanti Sentry'de Kritik Komut Enjeksiyon Zafiyetini Kataloğuna Ekledi: Acil Güncelleme Çağrısı Yazılım

CISA, Ivanti Sentry'de Kritik Komut Enjeksiyon Zafiyetini Kataloğuna Ekledi: Acil Güncelleme Çağrısı

CISA, Ivanti Sentry ürününde kritik bir komut enjeksiyon zafiyetini (CVE-2026-10520) aktif istismar nedeniyle KEV kataloğuna ekledi. Yeni BOD 26-04 di

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edilen bir güvenlik açığını daha Known Exploited Vulnerabilities (KEV) Kataloğu’na ekledi. CVE-2026-10520 koduyla tanımlanan bu zafiyet, Ivanti Sentry ürününde bir OS Command Injection (İşletim Sistemi Komut Enjeksiyonu) güvenlik açığı olarak kayıtlara geçti. Bu tür zafiyetler, siber saldırganlar tarafından sıkça kullanılan ve federal sistemler için yüksek risk oluşturan saldırı vektörleri arasında yer alıyor. CISA’nın bu hamlesi, özellikle kamu kurumları ve kritik altyapılar için acil önlem alınması gerektiğini bir kez daha gözler önüne seriyor.

CVE-2026-10520 zafiyeti, Ivanti Sentry (eski adıyla MobileIron Sentry) ürününde bulunan bir komut enjeksiyon hatasıdır. Saldırganların, özel hazırlanmış istekler göndererek hedef sistemde keyfi komutlar çalıştırmasına olanak tanır. Başarılı bir istismar durumunda, saldırgan cihaz üzerinde tam kontrol elde edebilir. Bu da veri sızıntısı, sistem ele geçirme ve ağ içinde yanal hareket gibi ciddi sonuçlara yol açabilir. Ivanti Sentry, özellikle mobil cihaz yönetimi ve ağ geçidi çözümlerinde kullanıldığından, zafiyet kurumsal ağlara büyük risk getirmektedir.

CISA’nın bu eklemesi, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında yapıldı. BOD 26-04, federal sivil yürütme organı (FCEB) kurumları için güvenlik güncellemelerinin risk bazlı önceliklendirilmesini zorunlu kılıyor. Önceki BOD 22-01’i güncelleyen bu direktif, KEV kataloğunun önemini vurguluyor ve yüksek riskli zafiyetlerin hızla giderilmesini şart koşuyor. Özellikle, kamuya açık varlıklarda bulunan ve istismar sonrası tam kontrol sağlayan KEV zafiyetlerinin öncelikli olarak düzeltilmesi gerekiyor. Düşük riskli zafiyetler için ise süreç esnetilebiliyor. Ayrıca direktif, kurumların yama uygulamadan önce tehdit aktörlerinin sistemi ele geçirip geçirmediğini kontrol etme zorunluluğu getiriyor.

Nasıl Önlem Alınmalı?

BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları risk bazlı zafiyet yönetimini benimsemeye ve KEV kataloğundaki zafiyetleri öncelikli olarak gidermeye çağırıyor. Özel sektör şirketleri, KOBİ'ler ve kritik altyapı işletmeleri de bu çağrıya kulak vermeli. Çünkü aktif olarak istismar edilen zafiyetler, yalnızca federal sistemleri değil, tüm dijital ekosistemi tehdit ediyor. Ivanti Sentry kullanan tüm kuruluşların derhal güncelleme yapması ve sistemlerini olası ihlallere karşı denetlemesi öneriliyor.

CISA, KEV kataloğuna eklenen zafiyetler için belirli kriterler belirlemiştir: Bir CVE ID'sine sahip olmak, aktif istismar kanıtı bulunmak ve net bir azaltma kılavuzu (mitigasyon) sunulmak. Kuruluşlar, kataloğa eklenmesini istedikleri yeni zafiyetleri CISA’nın KEV aday formu aracılığıyla bildirebilirler. Bu sayede topluluk tabanlı bir savunma mekanizması oluşturulması hedefleniyor.

Sonuç ve Değerlendirme

Sonuç olarak, CVE-2026-10520 zafiyeti, siber güvenlik dünyasında acil eylem gerektiren bir durum olarak öne çıkıyor. Ivanti Sentry kullanıcıları, üreticinin yayınladığı güvenlik yamalarını hemen uygulamalı ve sistemlerinde herhangi bir ihlal belirtisi olup olmadığını kontrol etmelidir. Aynı zamanda, tüm kuruluşların KEV kataloğunu düzenli olarak takip etmesi ve risk bazlı bir zafiyet yönetimi stratejisi benimsemesi, siber saldırılara karşı en etkili savunma yöntemlerinden biridir.

Kaynak: cisa.gov

Paylaş: