ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen dört yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu hamle, federal kurumlar ve özel sektör için kritik bir uyarı niteliği taşıyor. Eklenen güvenlik açıkları arasında SonicWall SMA1000 cihazlarında sunucu taraflı istek sahteciliği (SSRF) ve kod enjeksiyonu zafiyetleri ile Microsoft Active Directory Federation Services (AD FS) ve SharePoint sunucularındaki yetki ve kimlik doğrulama açıkları bulunuyor. CISA, bu tür zafiyetlerin siber saldırganlar için sık kullanılan bir saldırı vektörü olduğunu ve federal kurumlar için ciddi riskler oluşturduğunu vurguluyor.
CISA'nın KEV Kataloğu'na eklenen ilk iki güvenlik açığı, SonicWall SMA1000 serisi güvenlik duvarı cihazlarını etkiliyor. CVE-2026-15409 olarak izlenen sunucu taraflı istek sahteciliği (SSRF) zafiyeti, saldırganların hedef sistemdeki dahili kaynaklara yetkisiz erişim sağlamasına olanak tanırken, CVE-2026-15410 kod enjeksiyon zafiyeti ise uzaktan kod çalıştırma (RCE) riski taşıyor. Bu iki açık birlikte ele alındığında, saldırganların SMA1000 cihazlarını tamamen ele geçirmesine ve ağ içinde yanal hareket etmesine olanak sağlayabilir. Özellikle VPN ve uzaktan erişim için yaygın olarak kullanılan bu cihazlar, kurumsal ağların kritik bir bileşeni olduğundan, zafiyetlerin istismarı büyük çaplı veri ihlallerine yol açabilir.
Microsoft ürünlerini hedef alan diğer iki güvenlik açığı ise daha geniş bir etki alanına sahip. CVE-2026-56155, Microsoft Active Directory Federation Services (AD FS) ürününde yetersiz erişim kontrolü ayrıntılandırmasından kaynaklanıyor. Bu zafiyet, kimlik doğrulama ve yetkilendirme mekanizmalarını aşarak saldırganların ayrıcalık yükseltmesine olanak tanıyor. Özellikle bulut hibrit kimlik çözümlerinde kritik rol oynayan AD FS, bu açık sayesinde tüm federasyon altyapısının tehlikeye atılmasına neden olabilir. CVE-2026-56164 ise Microsoft SharePoint Server'da kritik bir işlev için eksik kimlik doğrulama zafiyeti olarak tanımlanıyor. Saldırganlar, bu açığı kullanarak kimlik doğrulaması gerektiren hassas işlemleri herhangi bir yetkilendirme olmadan gerçekleştirebiliyor. SharePoint sunucuları genellikle kurumsal belge yönetimi ve işbirliği platformu olarak kullanıldığından, bu zafiyetin istismarı veri sızıntısına ve kurumsal bilgilerin çalınmasına yol açabilir.
CISA'nın bu hamlesi, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında federal kurumlar için zorunlu güvenlik güncelleme gerekliliklerini yeniden hatırlatıyor. BOD 26-04, federal sivil yürütme organı (FCEB) kurumlarının risk temelli güvenlik güncelleme yönetimi yapmasını ve özellikle KEV Kataloğu'nda listelenen yüksek riskli güvenlik açıklarını öncelikli olarak gidermesini zorunlu kılıyor. Direktif ayrıca, kamuya açık varlıklarda istismar sonrası tam kontrol sağlayan zafiyetlerin hızlıca düzeltilmesini, düşük riskli açıklar için ise gecikmeye izin verilmesini öngörüyor. Ek olarak, kurumların yama uygulanmadan önce sistemin tehlikeye girip girmediğini kontrol etmesi gerekiyor. Bu yaklaşım, kaynakların en kritik tehditlere yönlendirilmesini sağlayarak siber güvenlik operasyonlarının etkinliğini artırmayı hedefliyor.
BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları risk temelli güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu'ndaki zafiyetleri öncelikli olarak gidermeye çağırıyor. Özel sektör şirketleri, KOBİ'ler ve kritik altyapı işletmeleri de bu uyarıları dikkate almalı. KEV Kataloğu'ndaki güvenlik açıklarının aktif olarak istismar edildiği kanıtlandığından, gecikmeksizin yama uygulanması hayati önem taşıyor. Kurumlar, özellikle internet üzerinden erişilebilen SonicWall SMA1000, Microsoft AD FS ve SharePoint sunucularını acilen güncellemeli ve geçici koruma önlemleri almalıdır. Ayrıca, ağ segmentasyonu, güvenlik duvarı kuralları ve izleme sistemleri ile olası istismar girişimlerine karşı proaktif savunma mekanizmaları devreye alınmalıdır.
Detaylar ve Etkileri
CISA, KEV Kataloğu'nda yer almayan ancak istismar edildiği bilinen güvenlik açıklarını bildirmek için bir başvuru formu da sunuyor. Kuruluşlar, istismar kanıtı ve net bir düzeltme kılavuzu ile birlikte CVE ID'sine sahip zafiyetleri CISA'ya iletebilir. Bu sayede topluluk tabanlı tehdit istihbaratı güçleniyor ve tüm ekosistem daha hızlı yanıt verebiliyor. Güncel KEV Kataloğu'nu düzenli olarak takip etmek ve yeni eklenen zafiyetlere karşı anında aksiyon almak, siber saldırılara karşı en etkili savunma stratejilerinden biridir.
Kaynak: cisa.gov