CISA, Kataloğa Bilinen Dört İstismara Uğrayan Güvenlik Açığı Ekliyor Siber Güvenlik

CISA, Kataloğa Bilinen Dört İstismara Uğrayan Güvenlik Açığı Ekliyor

CISA, aktif istismar kanıtlarına dayanarak Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğuna dört yeni güvenlik açığı ekledi....

CISA, aktif istismar kanıtlarına dayanarak Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğuna dört yeni güvenlik açığı ekledi.

CVE-2025-67038 Lantronix EDS5000 Kod Ekleme Güvenlik Açığı

CVE-2026-34908 Ubiquiti UniFi İşletim Sisteminde Uygunsuz Erişim Kontrolü Güvenlik Açığı

Uzmanların Görüşleri

CVE-2026-34909 Ubiquiti UniFi İşletim Sisteminde Yol Geçişi Güvenlik Açığı

Teknik Analiz

CVE-2026-34910 Ubiquiti UniFi İşletim Sisteminde Uygunsuz Giriş Doğrulama Güvenlik Açığı

Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluşlar için önemli riskler oluşturuyor.

Bağlayıcı Operasyonel Direktif (BOD) 26-04: Güvenlik Güncelleştirmelerinin Riske Göre Önceliklendirilmesi, Federal Sivil Yürütme Organı (FCEB) kurumları için güvenlik açığı yönetimi gereksinimlerini belirler. BOD 26-04, KEV Kataloğunun önemini güçlendirir ve federal kurumların, yüksek riskli güvenlik açıklarının, özellikle de CISA'nın KEV Kataloğunda listelenen ve kamuya açık varlıklar üzerinde listelenen ve kullanım sonrası varlığın tam kontrolünü sağlarken, düşük riskli güvenlik açıkları için eylemi erteleyen Ortak Güvenlik Açıkları ve Riskler (CVE'ler) tarafından tanımlananların hızlı bir şekilde iyileştirilmesine öncelik vermesini gerektirir. BOD 26-04 ayrıca, kurumların tehdit aktörlerinin yama uygulanmadan önce sistemi tehlikeye atıp atmadığını ne zaman kontrol etmeleri gerektiğine ilişkin temel beklentileri de belirliyor.

Nasıl Önlem Alınmalı?

BOD 26-04 yalnızca FCEB kurumları için geçerli olsa da CISA, tüm kuruluşları risk tabanlı güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu güvenlik açıklarının iyileştirilmesine öncelik vermeye teşvik eder. CISA, belirtilen kriterleri karşılayan güvenlik açıklarını kataloğa eklemeye devam edecektir.

Şu anda KEV Katalogunda listelenmeyen, istismar edilen bir güvenlik açığından haberdar mısınız? CISA'nın KEV Adaylık Formu aracılığıyla potansiyel ekleme için gönderin. Potansiyel KEV ilavelerinin bir CVE kimliği, kötüye kullanım kanıtı ve net azaltma kılavuzu bulunmalıdır.

Paylaş: