ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu’na ekledi. Bu hamle, siber tehdit aktörlerinin sürekli olarak yeni zafiyetler aradığını ve kurumların güncellemeleri geciktirmemesi gerektiğini bir kez daha gösteriyor. Eklenen güvenlik açığı CVE-2026-48907 koduyla tanımlanıyor ve Joomla Widget Factory içerik düzenleyicisinde bulunan hatalı erişim kontrolü zafiyetini içeriyor.
CVE-2026-48907, Joomla içerik yönetim sistemi için geliştirilen Widget Factory eklentisinin içerik düzenleyici bileşeninde yer alan bir erişim kontrolü sorunudur. Bu tür bir güvenlik açığı, yetkisiz kullanıcıların normalde erişememesi gereken işlevlere veya verilere ulaşmasına olanak tanır. Özellikle içerik düzenleyici gibi hassas bir bileşende bulunması, kötü niyetli aktörlerin sitenin kontrolünü ele geçirmesine veya kritik bilgilere erişmesine yol açabilir. CISA, bu zafiyetin aktif olarak istismar edildiğini doğrulamış durumda.
Bu güvenlik açığı, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörü olarak değerlendiriliyor ve federal kurumlar için önemli riskler taşıyor. CISA’nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için güvenlik güncellemelerinin risk temelli olarak önceliklendirilmesini zorunlu kılıyor. Bu direktif, BOD 22-01’i güncelleyerek KEV kataloğunun önemini vurguluyor ve federal kurumların, istismar sonrası varlık üzerinde tam kontrol sağlayan yüksek riskli güvenlik açıklarını hızla düzeltmelerini gerektiriyor.
BOD 26-04’e göre, federal kurumlar KEV kataloğunda listelenen ve kamuya açık varlıklarda bulunan güvenlik açıklarını öncelikli olarak ele almalı. Özellikle istismar edildiğinde varlık üzerinde tam kontrol sağlayan zafiyetler için hızlı düzeltme zorunlu tutulurken, düşük riskli açıklar için daha esnek bir zaman çizelgesi sunuluyor. Ayrıca kurumlar, yama uygulanmadan önce tehdit aktörlerinin sistemi tehlikeye atıp atmadığını kontrol etmekle yükümlü. Bu, olay müdahale süreçlerinin bir parçası olarak adli incelemelerin yapılmasını gerektiriyor.
Önemli Gelişmeler
BOD 26-04 yalnızca FCEB kurumlarını bağlasa da, CISA tüm kuruluşları risk temelli güvenlik açığı yönetimini benimsemeye ve KEV kataloğundaki zafiyetleri öncelikli olarak düzeltmeye teşvik ediyor. Özel sektör şirketleri de bu yaklaşımı benimseyerek siber saldırılara karşı daha dirençli hale gelebilir. CISA, kataloğa belirlenen kriterleri karşılayan yeni güvenlik açıklarını eklemeye devam edeceğini belirtiyor.
Kuruluşlar, KEV kataloğunda yer almayan ancak istismar edildiğini bildikleri bir güvenlik açığı varsa, CISA’nın KEV Aday Gösterme Formu aracılığıyla bildirimde bulunabilir. Aday gösterilen güvenlik açığının bir CVE kimliğine sahip olması, istismar edildiğine dair kanıt sunulması ve net bir düzeltme rehberi içermesi gerekiyor. Bu süreç, tehdit istihbaratının paylaşılmasını teşvik ederek toplumsal siber güvenliği artırmayı hedefliyor.
Sonuç olarak, CISA’nın KEV kataloğuna yeni bir güvenlik açığı eklemesi, siber tehditlerin sürekli evrildiğini ve kurumların güncelleme politikalarını gözden geçirmesi gerektiğini hatırlatıyor. Joomla kullanıcıları, Widget Factory eklentisini en son sürüme güncellemeli ve erişim kontrollerini denetlemelidir. Federal kurumlar ise BOD 26-04 kapsamında bu zafiyeti öncelikli olarak ele almalı ve olası ihlalleri tespit etmek için gerekli adli incelemeleri yapmalıdır.
Kaynak: cisa.gov