ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar edildiği tespit edilen bir güvenlik açığını daha Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. CVE-2026-20253 olarak izlenen bu açık, Splunk Enterprise ürününde kritik işlevler için kimlik doğrulama eksikliğinden kaynaklanıyor. Bu tür zafiyetler, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörü oluşturuyor ve federal kurumlar için ciddi riskler taşıyor. CISA, bu eklemeyle birlikte tüm kuruluşları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV kataloğundaki zafiyetleri önceliklendirmeye çağırıyor.
Splunk Enterprise'da bulunan CVE-2026-20253 güvenlik açığı, kimlik doğrulama gerektirmeyen kritik bir işlevde yetkisiz erişime izin veriyor. Bu, saldırganların sisteme tam kontrol sağlamasına yol açabiliyor. Özellikle internete açık varlıklarda bu açığın istismar edilmesi, kurumlar için felaket sonuçlar doğurabilir. CISA, bu tür yüksek riskli güvenlik açıklarının hızla giderilmesi gerektiğini vurguluyor. Zafiyetin aktif olarak kullanıldığına dair kanıtlar bulunması, acil müdahale gerekliliğini ortaya koyuyor.
CISA, bu güncellemeyle birlikte Bağlayıcı Operasyonel Direktif (BOD) 26-04'ü de yürürlüğe koydu. BOD 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için güvenlik güncellemelerinin riske göre önceliklendirilmesini zorunlu kılıyor. Bu direktif, önceki BOD 22-01'in yerini alıyor ve KEV kataloğunun önemini pekiştiriyor. Direktife göre federal kurumlar, kamuya açık varlıklarda tam kontrol sağlayan yüksek riskli güvenlik açıklarına öncelik vermeli; düşük riskli açıklar için ise müdahaleyi erteleyebilir. Ayrıca BOD 26-04, yama uygulanmadan önce sistemin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri belirliyor.
Nasıl Önlem Alınmalı?
BOD 26-04 yalnızca FCEB kurumlarını bağlasa da, CISA tüm kuruluşları risk bazlı güvenlik açığı yönetimini uygulamaya ve KEV kataloğundaki zafiyetleri önceliklendirmeye teşvik ediyor. Özellikle Splunk gibi yaygın kullanılan ürünlerdeki kritik açıklar, özel sektör ve kamu kurumları için eşit derecede tehdit oluşturuyor. CISA, belirlenen kriterleri karşılayan yeni güvenlik açıklarını kataloğa eklemeye devam edeceğini duyurdu. Kuruluşların, kendi sistemlerinde aktif olarak istismar edilen ancak henüz katalogda yer almayan açıkları CISA'ya bildirmeleri için KEV Adaylık Formu'nu kullanmaları öneriliyor.
Sistem Güvenliği
Splunk kullanıcıları için bu güvenlik açığı, acil bir yama uygulama çağrısı anlamına geliyor. İlk adım olarak, Splunk Enterprise'ın en son sürüme güncellenmesi ve ilgili güvenlik yamalarının derhal uygulanması gerekiyor. Ayrıca, sistemlerde herhangi bir yetkisiz erişim izi olup olmadığını kontrol etmek için günlüklerin incelenmesi önem taşıyor. CISA, yama öncesi sistemlerin tehlikeye girip girmediğinin tespiti için adli bilişim incelemeleri yapılmasını öneriyor. Kuruluşlar, güvenlik açığı yönetim süreçlerini KEV kataloğuyla uyumlu hale getirerek riskleri minimize edebilir.
CISA'nın KEV kataloğu, siber güvenlik topluluğu için kritik bir kaynak niteliği taşıyor. Aktif olarak istismar edilen güvenlik açıklarının merkezi bir veritabanında toplanması, kuruluşların tehditlere karşı proaktif önlem almasını kolaylaştırıyor. BOD 26-04 ile birlikte, federal kurumlar için zorunlu hale gelen bu uygulama, özel sektör için de bir referans oluşturuyor. Güvenlik ekiplerinin, KEV kataloğunu düzenli olarak takip etmesi ve yüksek riskli açıkları önceliklendirmesi, siber saldırılara karşı savunmayı güçlendirecektir.
Kaynak: cisa.gov