ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak sömürüldüğü tespit edilen bir güvenlik açığını daha Bilinen Sömürülen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu kez hedefte, kurumsal yazılım devi Oracle'ın PeopleSoft ürün ailesinde yer alan PeopleTools bileşeni var. CVE-2026-35273 numarasıyla izlenen bu güvenlik açığı, kritik işlevler için kimlik doğrulama eksikliği nedeniyle saldırganların sistemleri ele geçirmesine olanak tanıyor. CISA, bu tür açıkların federal kurumlar için ciddi risk oluşturduğunu vurguluyor.
CVE-2026-35273 güvenlik açığı, Oracle PeopleSoft Enterprise PeopleTools ürününde bulunuyor. Bu yazılım, büyük ölçekli işletmelerin insan kaynakları, finans ve diğer kritik iş süreçlerini yönetmek için kullandığı bir platform. Açığın temelinde, belirli kritik işlevlerin kimlik doğrulama gerektirmemesi yatıyor. Bu sayede, uzaktan erişim sağlayan bir saldırgan, herhangi bir kullanıcı adı veya parola bilgisine ihtiyaç duymadan sisteme sızabiliyor. Sömürü başarılı olduğunda, saldırgan tam kontrol elde ederek hassas verilere erişebilir, sistem ayarlarını değiştirebilir veya daha ileri saldırılar için bir üs oluşturabilir.
CISA'nın bu eklemeyi yapması, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında gerçekleşti. BOD 26-04, federal sivil yürütme organı (FCEB) kurumları için güvenlik güncellemelerini riske göre önceliklendirme zorunluluğu getiriyor. Önceki BOD 22-01'in yerini alan bu direktif, KEV kataloğunun önemini pekiştiriyor ve kamuya açık varlıklarda sömürü sonrası tam kontrol sağlayan yüksek riskli güvenlik açıklarının hızla düzeltilmesini şart koşuyor. Ayrıca, düşük riskli açıklar için erteleme imkanı tanıyor. BOD 26-04, yama uygulanmadan önce tehdit aktörlerinin sistemi tehlikeye atıp atmadığının kontrol edilmesi için temel beklentileri de belirliyor.
Her ne kadar BOD 26-04 yalnızca FCEB kurumlarını bağlasa da, CISA tüm kuruluşları risk tabanlı güvenlik açığı yönetimini benimsemeye ve KEV kataloğundaki açıkları öncelikli olarak düzeltmeye teşvik ediyor. Bu, özel sektör şirketleri, KOBİ'ler ve hatta bireysel kullanıcılar için de geçerli bir öneri. Zira siber saldırganlar, en yaygın ve etkili açıkları hedef alarak geniş kitlelere zarar verebiliyor. Oracle PeopleSoft kullanan kuruluşların, CVE-2026-35273 için yayımlanan yamayı acilen uygulaması ve sistemlerinde herhangi bir ihlal belirtisi olup olmadığını kontrol etmesi kritik önem taşıyor.
CISA, KEV kataloğuna yeni açıklar eklemeye devam edeceğini duyurdu. Ajans, halihazırda katalogda yer almayan ancak aktif olarak sömürüldüğü bilinen bir güvenlik açığı varsa, bunun KEV Aday Gösterme Formu aracılığıyla bildirilmesini istiyor. Potansiyel bir KEV eklemesi için üç şart aranıyor: bir CVE kimliği, sömürü kanıtı ve net bir azaltma rehberi. Bu süreç, tehdit istihbaratının topluluk tarafından paylaşılmasını teşvik ederek siber güvenlik ekosisteminin kolektif savunmasını güçlendirmeyi amaçlıyor.
Sonuç olarak, CISA'nın bu hamlesi, Oracle PeopleSoft kullanıcıları için bir uyarı niteliği taşıyor. Kuruluşların, güvenlik açığı yönetimi süreçlerini gözden geçirmesi ve özellikle KEV kataloğunda yer alan açıklara karşı proaktif önlemler alması gerekiyor. Unutulmamalıdır ki, siber tehditler sürekli evrim geçiriyor ve güncel kalmak, savunmanın en önemli unsurlarından biri. Oracle PeopleTools'un en son sürümüne güncelleme yapmak ve gerekli güvenlik yamalarını uygulamak, bu tür saldırılara karşı en etkili korunma yöntemi.
Kaynak: cisa.gov