Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na yeni bir zafiyet ekledi. Bu ekleme, söz konusu güvenlik açığının aktif olarak istismar edildiğine dair kanıtların bulunması üzerine yapıldı. KEV Kataloğu, federal ağları hedef alan aktif tehditlere karşı korunmak için oluşturulmuş önemli bir kaynaktır ve sürekli güncellenmektedir.
Kataloğa eklenen yeni güvenlik açığı, CVE-2026-42897 koduyla tanımlanan Microsoft Exchange Server Cross-Site Scripting (XSS) zafiyetidir. Bu tür bir güvenlik açığı, kötü niyetli siber aktörler tarafından sıkça kullanılan bir saldırı vektörüdür ve federal kurumlar için önemli riskler oluşturur. XSS zafiyetleri, bir web uygulamasına kötü niyetli kod enjekte edilmesine olanak tanıyarak kullanıcı verilerinin çalınmasına, oturumların ele geçirilmesine veya daha ciddi saldırılara yol açabilir.
Bu ekleme, CISA'nın 2022 yılında yayınladığı Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında gerçekleştirilmiştir. BOD 22-01, federal sivil yürütme organı (FCEB) ajanslarının, KEV Kataloğu'nda yer alan güvenlik açıklarını belirtilen son tarihe kadar gidermesini zorunlu kılar. Bu direktif, bilinen istismar edilen güvenlik açıklarının oluşturduğu önemli riski azaltmayı amaçlar. FCEB ajansları, ağlarını korumak için bu zafiyetleri öncelikli olarak ele almalıdır.
BOD 22-01 yalnızca FCEB ajanslarını bağlayıcı olsa da, CISA tüm kuruluşları siber saldırılara karşı korunmak için KEV Kataloğu'ndaki güvenlik açıklarının zamanında giderilmesine öncelik vermeye çağırıyor. Özellikle Microsoft Exchange Server kullanan kuruluşlar, CVE-2026-42897 zafiyetini acilen değerlendirmeli ve gerekli yamaları uygulamalıdır. Bu, kuruluşların güvenlik açığı yönetimi süreçlerinin bir parçası olarak ele alınmalıdır.
Gelecekte Ne Bekleniyor?
Microsoft Exchange Server, dünya genelinde birçok kuruluş tarafından e-posta ve iletişim altyapısı olarak kullanılmaktadır. Bu nedenle, bu tür bir güvenlik açığının istismar edilmesi, geniş çaplı veri ihlallerine ve sistem ele geçirmelerine yol açabilir. Kuruluşlar, Microsoft'un yayınladığı güvenlik güncellemelerini takip etmeli ve sistemlerini güncel tutmalıdır. Ayrıca, web uygulamalarında XSS zafiyetlerini önlemek için girdi doğrulama ve çıktı kodlama gibi güvenlik önlemleri alınmalıdır.
Teknik Analiz
CISA, KEV Kataloğu'nu belirtilen kriterleri karşılayan güvenlik açıklarıyla güncellemeye devam edeceğini duyurdu. Bu nedenle, kuruluşların KEV Kataloğu'nu düzenli olarak takip etmeleri ve yeni eklenen zafiyetlere karşı önlem almaları hayati önem taşımaktadır. Siber güvenlik uzmanları, bu tür katalogların ve direktiflerin, proaktif bir güvenlik duruşu benimsemek için kritik araçlar olduğunu vurgulamaktadır.
Kaynak: cisa.gov