CISA Kritik Güvenlik Açıklarını Kataloğuna Ekledi: Aktif Saldırı Altındaki İki Yeni Zafiyet Yazılım

CISA Kritik Güvenlik Açıklarını Kataloğuna Ekledi: Aktif Saldırı Altındaki İki Yeni Zafiyet

CISA, aktif olarak istismar edilen iki kritik güvenlik açığını KEV Kataloğu'na ekledi. Bu zafiyetler dosya yükleme güvenlik açıkları içeriyor ve feder

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen iki yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu hamle, siber güvenlik topluluğunun dikkatini bu kritik zafiyetlere çekmeyi ve kurumların hızlı aksiyon almasını sağlamayı hedefliyor. CISA'nın KEV Kataloğu, federal kurumlar ve özel sektör için öncelikli olarak giderilmesi gereken güvenlik açıklarını listeleyen bir kaynak niteliği taşıyor.

Kataloğa eklenen ilk güvenlik açığı olan CVE-2026-48939, iCagenda platformunda tespit edilen 'Tehlikeli Türde Dosya Yükleme' zafiyetidir. Bu tür açıklar, saldırganların kötü amaçlı dosyaları sisteme yüklemesine ve uzaktan kod çalıştırmasına olanak tanır. İkinci açık olan CVE-2026-56291 ise Balbooa Forms eklentisinde bulunan benzer bir dosya yükleme zafiyetidir. Her iki açık da, aktif olarak istismar edildiğine dair kanıtlar bulunması nedeniyle KEV Kataloğu'na dahil edilmiştir.

Bu tür güvenlik açıkları, özellikle federal kurumlar için ciddi riskler oluşturmaktadır. CISA'nın yayınladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için risk bazlı güvenlik güncellemesi önceliklendirmesini zorunlu kılmaktadır. BOD 26-04, KEV Kataloğu'ndaki yüksek riskli açıkların hızla giderilmesini ve bu açıkların kamuya açık varlıklarda istismar edilmesi durumunda tam kontrol sağlayan zafiyetlere öncelik verilmesini şart koşar.

Direktif ayrıca, yama uygulanmadan önce sistemlerin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri de belirlemektedir. Bu, proaktif bir güvenlik yaklaşımı gerektirir. BOD 26-04 sadece FCEB kurumlarını bağlasa da, CISA tüm kuruluşları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu'ndaki açıkları öncelikli olarak gidermeye teşvik etmektedir.

CISA, KEV Kataloğu'na yeni açıklar eklemeye devam edeceğini belirtiyor. Kataloğa eklenmesi için, bir güvenlik açığının CVE kimliğine, aktif istismar kanıtına ve net bir hafifletme rehberine sahip olması gerekiyor. Kuruluşlar, istismar edildiğini düşündükleri ancak KEV Kataloğu'nda yer almayan güvenlik açıklarını CISA'ya bildirebilirler.

Nasıl Önlem Alınmalı?

Siber güvenlik uzmanları, bu tür dosya yükleme zafiyetlerinin genellikle web uygulamalarında kritik risk oluşturduğunu vurguluyor. Kullanıcıların ve yöneticilerin, ilgili yazılımların en son sürümlerine güncelleme yapmaları, güvenlik yamalarını hemen uygulamaları ve ağlarında şüpheli aktiviteleri izlemeleri öneriliyor. Ayrıca, web uygulaması güvenlik duvarları (WAF) gibi ek koruma katmanları kullanmak da saldırı riskini azaltabilir.

CISA'nın bu hamlesi, siber tehditlerin hızla yayıldığı bir dönemde kurumların güvenlik açıklarını yönetme biçiminde önemli bir değişimi temsil ediyor. Risk bazlı yaklaşım, kaynakların en kritik zafiyetlere yönlendirilmesini sağlayarak genel güvenlik duruşunu iyileştirmeyi hedefliyor. Tüm kuruluşlar, KEV Kataloğu'nu düzenli olarak takip etmeli ve kendi sistemlerinde bu açıkları taramalıdır.

Kaynak: cisa.gov

Paylaş: