ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na yeni bir zafiyet ekledi. Eklenen güvenlik açığı, Ivanti Sentry ürününde bulunan ve CVE-2026-10520 koduyla tanımlanan OS Command Injection zafiyeti. Bu tür güvenlik açıkları, siber saldırganlar tarafından sıkça kullanılan saldırı vektörleri arasında yer alıyor ve özellikle federal kurumlar için ciddi riskler oluşturuyor. CISA, bu açığın aktif olarak istismar edildiğine dair kanıtlar bulunduğunu belirterek, kurumları acil önlem almaya çağırıyor.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için güvenlik güncellemelerinin risk bazlı önceliklendirilmesini zorunlu kılıyor. Bu direktif, daha önceki BOD 22-01'in yerini alarak, KEV kataloğunun önemini pekiştiriyor ve yüksek riskli güvenlik açıklarının hızla düzeltilmesini şart koşuyor. Özellikle, kamuya açık varlıklarda bulunan ve istismar sonrası tam kontrol sağlayan CISA KEV kataloğundaki CVE'lerin öncelikli olarak ele alınması gerekiyor. Düşük riskli açıklar için ise daha esnek bir yaklaşım benimseniyor.
BOD 26-04 kapsamında, federal kurumların güvenlik yamalarını uygulamadan önce, tehdit aktörlerinin sistemi ele geçirip geçirmediğini kontrol etmeleri de temel bir beklenti olarak belirtiliyor. Bu, istismarın boyutunu anlamak ve olası hasarı sınırlamak için kritik bir adım. Direktif, yalnızca FCEB kurumlarını bağlasa da, CISA tüm kuruluşları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV kataloğundaki zafiyetleri öncelikli olarak gidermeye teşvik ediyor.
Ivanti Sentry'deki OS Command Injection güvenlik açığı (CVE-2026-10520), saldırganların hedef sistemde keyfi komutlar çalıştırmasına olanak tanıyor. Bu tür açıklar genellikle kimlik avı, veri sızdırma veya fidye yazılımı gibi saldırılarda kullanılıyor. CISA'nın KEV kataloğuna eklenen her zafiyet, aktif istismar kanıtına dayanıyor ve kuruluşlar için acil müdahale gerektiriyor. KEV kataloğu, siber güvenlik ekiplerine hangi güvenlik açıklarının öncelikle kapatılması gerektiği konusunda rehberlik ediyor.
CISA, KEV kataloğunda olmayan ancak istismar edildiği bilinen bir güvenlik açığı fark edenleri, KEV Aday Gösterme Formu aracılığıyla bildirmeye davet ediyor. Potansiyel adayların bir CVE kimliği, istismar kanıtı ve net bir düzeltme rehberi içermesi gerekiyor. Bu sayede, katalog sürekli güncel kalarak siber tehditlere karşı proaktif bir savunma sağlanıyor.
Sonuç olarak, CISA'nın KEV kataloğuna yeni eklenen Ivanti Sentry güvenlik açığı, kuruluşların güvenlik yama yönetimini ne kadar hızlı ve etkili yapması gerektiğini bir kez daha hatırlatıyor. Özellikle kamuya açık sistemlerde bulunan bu tür kritik açıklar, saldırganlar için düşük maliyetli ve yüksek etkili bir hedef oluşturuyor. Tüm kuruluşların, risk bazlı bir yaklaşımla güvenlik açıklarını önceliklendirmesi ve CISA'nın KEV kataloğunu düzenli olarak takip etmesi büyük önem taşıyor.
Kaynak: cisa.gov