ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Zafiyetler (KEV) Kataloğu'na ekledi. CVE-2026-10520 koduyla tanımlanan bu zafiyet, Ivanti Sentry ürününde bir işletim sistemi komut enjeksiyonu (OS Command Injection) açığı olarak kaydedildi. Bu tür zafiyetler, siber saldırganlar tarafından sıkça kullanılan bir saldırı vektörü olup, özellikle federal kurumlar için ciddi riskler oluşturmaktadır.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, risk temelli güvenlik güncellemelerine öncelik verilmesini zorunlu kılarak, Federal Sivil Yürütme Organı (FCEB) ajanslarının güvenlik açığı yönetimini yeniden düzenliyor. Bu direktif, BOD 22-01'in yerini almakta ve KEV kataloğunun önemini vurgulamaktadır. BOD 26-04'e göre, federal ajanslar, kamuya açık varlıklarda bulunan ve istismar sonrası varlığın tam kontrolünü ele geçirmeyi sağlayan yüksek riskli zafiyetleri (KEV kataloğunda listelenen CVE'ler) hızlı bir şekilde düzeltmekle yükümlüdür. Daha düşük riskli zafiyetler için ise eylemler ertelenebilir.
BOD 26-04 ile birlikte, ajansların yama uygulanmadan önce tehdit aktörlerinin sistemi tehlikeye atıp atmadığını kontrol etmeleri için temel beklentiler de belirlenmiştir. Bu, yalnızca zafiyetin kapatılmasını değil, aynı zamanda olası bir ihlalin tespit edilmesini ve müdahale edilmesini de içermektedir. Direktif yalnızca FCEB ajanslarını bağlasa da, CISA tüm kuruluşları risk bazlı zafiyet yönetimini benimsemeye ve KEV kataloğundaki zafiyetlerin düzeltilmesine öncelik vermeye çağırmaktadır.
CVE-2026-10520 zafiyeti, Ivanti Sentry ürününde bir OS Command Injection açığı olarak tanımlanmıştır. Bu tür açıklar, saldırganların hedef sistemde keyfi komutlar çalıştırmasına olanak tanır ve genellikle tam sistem kontrolü ile sonuçlanır. Ivanti Sentry, ağ geçidi ve güvenlik cihazı olarak kullanıldığından, bu zafiyetin istismarı kurumsal ağlara sızma için kritik bir adım olabilir. CISA, bu zafiyetin aktif olarak istismar edildiğine dair kanıtlar bulunduğunu belirtmiştir.
CISA, KEV kataloğuna yeni zafiyetler eklemeye devam edeceğini ve listede olmayan ancak istismar edildiği bilinen zafiyetlerin bildirilmesi için KEV Adaylık Formu'nu kullanıma sunduğunu duyurdu. KEV kataloğuna eklenmesi istenen zafiyetlerin, bir CVE ID'sine, istismar kanıtına ve net bir düzeltme kılavuzuna sahip olması gerekmektedir. Bu, güvenlik topluluğunun katkılarını teşvik ederek kataloğun güncel kalmasını sağlamayı amaçlamaktadır.
Teknik Analiz
Kuruluşların, KEV kataloğundaki zafiyetlere karşı öncelikli olarak yama uygulaması, risk bazlı bir güvenlik stratejisinin temelini oluşturur. Özellikle kamuya açık sistemlerde bulunan ve tam kontrol sağlayan zafiyetler, en kısa sürede düzeltilmelidir. Ayrıca, yama öncesi sistemlerin tehlikeye girip girmediğinin kontrol edilmesi, olası bir ihlalin erken tespiti için kritik öneme sahiptir. CISA'nın bu hamlesi, hem federal hem de özel sektör kuruluşlarına güvenlik açığı yönetiminde proaktif olmaları gerektiğini hatırlatmaktadır.
Kaynak: cisa.gov