CISA Kritik Güvenlik Açıklarını Kataloguna Ekledi: Windchill ve Cisco Unified Communications Manager Tehdit Altında Windows

CISA Kritik Güvenlik Açıklarını Kataloguna Ekledi: Windchill ve Cisco Unified Communications Manager Tehdit Altında

CISA, aktif istismar edilen iki kritik güvenlik açığını Known Exploited Vulnerabilities (KEV) kataloğuna ekledi. Federal kurumlar için acil yama çağrı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edilen iki yeni güvenlik açığını Known Exploited Vulnerabilities (KEV) kataloğuna ekledi. Bu açıklar, siber saldırganlar tarafından sıkça kullanılan saldırı vektörleri haline gelmiş durumda ve özellikle federal kurumlar için ciddi riskler oluşturuyor. CISA’nın bu hamlesi, kurumların güvenlik açıklarını hızlı bir şekilde kapatmaları için bir uyarı niteliği taşıyor.

Eklenen güvenlik açıklarından ilki, CVE-2026-12569 olarak kodlanan PTC Windchill ve FlexPLM ürünlerindeki hatalı girdi doğrulama (Improper Input Validation) zafiyeti. Bu açık, saldırganların sistemlere yetkisiz erişim sağlamasına ve kritik verilere ulaşmasına olanak tanıyabiliyor. İkinci açık ise CVE-2026-20230 ile tanımlanan Cisco Unified Communications Manager ürünündeki Sunucu Taraflı İstek Sahteciliği (Server-Side Request Forgery - SSRF) zafiyeti. SSRF açıkları, saldırganların iç ağlardaki diğer sistemlere saldırması için bir sıçrama tahtası görevi görüyor.

CISA, bu güvenlik açıklarını KEV kataloğuna eklerken, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında federal kurumlar için risk bazlı güvenlik yönetimi zorunluluğunu da hatırlatıyor. BOD 26-04, Federal Sivil Yürütme Organı (FCEB) kurumlarının, KEV kataloğunda listelenen yüksek riskli güvenlik açıklarını hızlı bir şekilde düzeltmelerini ve özellikle kamuya açık varlıklarda tam kontrol sağlayan açıklara öncelik vermelerini gerektiriyor. Ayrıca, yama uygulanmadan önce sistemlerin tehlikeye girip girmediğinin kontrol edilmesi gibi temel beklentileri de belirliyor.

Sonuç ve Değerlendirme

BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm organizasyonları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV kataloğundaki açıkları öncelikli olarak düzeltmeye teşvik ediyor. Bu yaklaşım, siber saldırılara karşı proaktif bir savunma sağlarken, kaynakların en kritik tehditlere yönlendirilmesine de yardımcı oluyor. CISA, kriterlere uygun yeni güvenlik açıklarını kataloğa eklemeye devam edeceğini belirtiyor.

Sistem Güvenliği

PTC Windchill ve Cisco Unified Communications Manager kullanan kurumların, bu güvenlik açıklarına karşı derhal harekete geçmesi gerekiyor. İlk adım olarak, ilgili üreticilerin yayınladığı güvenlik yamalarının uygulanması büyük önem taşıyor. Ayrıca, ağ güvenliği duvarları ve izinsiz giriş tespit sistemleri gibi ek güvenlik önlemleri alınarak olası saldırıların önüne geçilebilir. Kurumlar, sistemlerinde bu açıkların istismar edilip edilmediğini kontrol etmek için güvenlik günlüklerini incelemeli ve gerekirse adli bilişim incelemesi yapmalıdır.

Hali hazırda KEV kataloğunda olmayan ancak aktif olarak istismar edilen bir güvenlik açığı fark edenler, CISA’nın KEV Aday Gösterme Formu üzerinden başvuruda bulunabilir. Potansiyel KEV adaylarının bir CVE kimliğine, istismar kanıtına ve net bir azaltma rehberliğine sahip olması gerekiyor. Bu sayede, topluluk katkısıyla katalog güncel tutuluyor ve tüm kurumların tehditlere karşı daha hazırlıklı olması sağlanıyor.

Kaynak: cisa.gov

Paylaş: