ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen üç yeni güvenlik açığını Known Exploited Vulnerabilities (KEV) Kataloğu'na ekledi. Bu kataloğa eklenen zafiyetler, Arista Networks, Google ve Cisco gibi büyük teknoloji şirketlerinin ürünlerini etkiliyor. CISA'nın bu hamlesi, federal kurumlar ve özel sektör için acil önlem alınması gerektiğini gösteriyor.
Kataloğa eklenen ilk güvenlik açığı olan CVE-2026-7473, Arista Extensible Operating System (EOS) ürününde bulunan 'Incomplete Comparison with Missing Factors' zafiyetidir. Bu açık, saldırganların eksik karşılaştırma faktörlerini kullanarak sistemleri hedef almasına olanak tanıyor. Arista EOS, özellikle veri merkezlerinde ve ağ altyapılarında yaygın olarak kullanıldığı için bu zafiyetin istismarı kritik sonuçlar doğurabilir.
İkinci güvenlik açığı olan CVE-2026-11645, Google Chromium V8 motorunda tespit edilen 'Out-of-Bounds Read and Write' zafiyetidir. Bu açık, Chromium tabanlı tarayıcılar (Chrome, Edge, Opera vb.) üzerinde uzaktan kod çalıştırma riski taşıyor. Saldırganlar, özel hazırlanmış bir web sayfası aracılığıyla bu zafiyeti kullanarak kullanıcının sistemine sızabilir ve kritik verilere erişebilir.
Sistem Güvenliği
Üçüncü ve son güvenlik açığı olan CVE-2026-20245, Cisco Catalyst SD-WAN Manager ürününde bulunan 'Improper Encoding or Escaping of Output' zafiyetidir. Bu açık, SD-WAN yönetim platformunda çıktı kodlamasının yanlış yapılması nedeniyle ortaya çıkıyor ve saldırganların enjeksiyon saldırıları gerçekleştirmesine olanak tanıyor. Cisco SD-WAN Manager, kurumsal ağlarda yaygın olarak kullanıldığı için bu zafiyetin istismarı büyük güvenlik ihlallerine yol açabilir.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında, Federal Sivil Yürütme Organı (FCEB) kurumlarının bu güvenlik açıklarını belirtilen son tarihe kadar düzeltmeleri zorunludur. Bu direktif, federal ağları aktif tehditlere karşı korumayı amaçlıyor. Ancak CISA, BOD 22-01'in yalnızca federal kurumları kapsamasına rağmen, tüm kuruluşların bu kataloğu takip ederek siber saldırılara karşı savunmalarını güçlendirmelerini şiddetle tavsiye ediyor.
Gelecekte Ne Bekleniyor?
Güvenlik uzmanları, bu tür zafiyetlerin siber saldırganlar tarafından sıkça kullanıldığını ve özellikle kritik altyapıları hedef aldığını belirtiyor. KEV kataloğu, bilinen ve istismar edilen güvenlik açıklarının canlı bir listesi olarak yönetiliyor. CISA, düzenli olarak yeni zafiyetleri bu listeye ekleyerek kurumların güncel tehditlere karşı proaktif önlem almasını sağlıyor.
Sonuç olarak, Arista, Google ve Cisco ürünlerini kullanan tüm kuruluşların ilgili güvenlik yamalarını acilen uygulaması gerekiyor. CISA'nın KEV kataloğuna eklediği bu üç zafiyet, aktif olarak istismar edildiği için zamanında müdahale edilmemesi durumunda ciddi veri ihlallerine ve sistem kesintilerine yol açabilir. Kurumların güvenlik ekipleri, bu açıkları kapatmak için gerekli adımları derhal atmalıdır.
Önemli Gelişmeler
Siber güvenlik yönetiminde güncellemelerin ve yamaların zamanında uygulanması, saldırılara karşı en etkili savunma yöntemlerinden biridir. CISA'nın bu hamlesi, sadece federal kurumlar için değil, tüm işletmeler için bir uyarı niteliği taşıyor. KEV kataloğunu düzenli olarak takip etmek ve kritik güvenlik açıklarını önceliklendirmek, siber dayanıklılığı artırmak için atılması gereken temel adımlardan biridir.
Kaynak: cisa.gov