Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Sömürülen Güvenlik Açıkları (KEV) Kataloğu'na iki yeni zafiyet ekledi. Bu eklemeler, söz konusu güvenlik açıklarının siber saldırganlar tarafından aktif olarak kullanıldığına dair kanıtların bulunması üzerine yapıldı. KEV kataloğu, federal kurumların ve özel sektörün öncelikli olarak kapatması gereken güvenlik açıklarını listeleyerek siber tehditlere karşı proaktif bir savunma mekanizması oluşturmayı hedefliyor.
Eklenen zafiyetlerden ilki, CVE-2026-12569 koduyla tanımlanan ve PTC Windchill ile FlexPLM ürünlerini etkileyen hatalı girdi doğrulama güvenlik açığı. Bu açık, saldırganların sistemlere yetkisiz erişim sağlamasına veya hassas verilere ulaşmasına olanak tanıyabilir. İkinci zafiyet ise CVE-2026-20230 koduyla bilinen ve Cisco Unified Communications Manager'da bulunan Sunucu Taraflı İstek Sahteciliği (SSRF) açığı. SSRF zafiyetleri, saldırganların iç ağ kaynaklarına erişmek için hedef sunucuyu proxy olarak kullanmasına izin verdiği için özellikle tehlikelidir.
Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık kullanılan saldırı vektörleri haline gelmiştir ve federal kuruluşlar için önemli riskler oluşturmaktadır. CISA, bu nedenle KEV kataloğuna eklenen zafiyetlerin derhal giderilmesi gerektiğini vurguluyor. Özellikle kamuya açık sistemlerde bulunan ve sömürüldüğünde tam kontrol sağlayan açıklar, en yüksek öncelikli olarak değerlendirilmelidir.
Nasıl Önlem Alınmalı?
CISA'nın yayınladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için risk bazlı güvenlik güncelleme önceliklendirme gerekliliklerini belirliyor. Bu direktif, KEV kataloğunun önemini pekiştiriyor ve federal kurumların, kamuya açık varlıklarda bulunan ve sömürü sonrası tam kontrol sağlayan yüksek riskli güvenlik açıklarını hızla düzeltmelerini zorunlu kılıyor. Düşük riskli açıklar için ise eylemler ertelenebiliyor.
Sonuç ve Değerlendirme
BOD 26-04 ayrıca, kurumların yama uygulanmadan önce tehdit aktörlerinin sistemi tehlikeye atıp atmadığını kontrol etmeleri gerektiğini belirtiyor. Bu, sadece yama yapmanın yeterli olmadığını, aynı zamanda olası bir ihlalin tespit edilmesi ve müdahale edilmesi gerektiğini gösteriyor. CISA, BOD 26-04'ün yalnızca FCEB kurumları için bağlayıcı olduğunu ancak tüm kuruluşları risk bazlı güvenlik yönetimini benimsemeye ve KEV kataloğundaki açıkları önceliklendirmeye teşvik ediyor.
CISA, KEV kataloğunda yer almayan ancak sömürüldüğü bilinen güvenlik açıklarının da kataloğa eklenmesi için başvuru formu sunuyor. Kuruluşlar, CISA'nın KEV Aday Gösterme Formu aracılığıyla yeni zafiyetler bildirebilir. Eklenme potansiyeli olan açıkların bir CVE kimliğine, sömürü kanıtına ve net bir azaltma rehberliğine sahip olması gerekiyor. Bu süreç, siber güvenlik topluluğunun kolektif savunmasını güçlendirmeyi amaçlıyor.
Kaynak: cisa.gov