Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na yeni bir kritik zafiyet ekledi. CVE-2026-45659 olarak tanımlanan bu güvenlik açığı, Microsoft SharePoint Server ürününü hedef alıyor ve 'güvenilmeyen verilerin deserialization' (serileştirme çözme) zafiyeti olarak sınıflandırılıyor. CISA, bu zafiyetin aktif olarak istismar edildiğine dair kanıtlar bulunduğunu belirterek, özellikle federal kurumlar ve kritik altyapılar için acil önlem alınması gerektiğini vurguluyor.
Deserialization zafiyetleri, yazılımın güvenilmeyen kaynaklardan gelen serileştirilmiş verileri güvenli bir şekilde işleyememesi durumunda ortaya çıkar. SharePoint gibi yaygın kullanılan bir platformda böyle bir açık, saldırganların sunucu üzerinde tam kontrol elde etmesine olanak tanıyabilir. CISA'ya göre bu tür zafiyetler, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörüdür ve federal kurumlar için ciddi riskler oluşturmaktadır.
CISA'nın bu hamlesi, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında atılmış bir adımdır. BOD 26-04, Federal Sivil Yürütme Organı (FCEB) kurumlarının güvenlik güncellemelerini risk temelli bir yaklaşımla önceliklendirmesini zorunlu kılıyor. Bu direktif, KEV Kataloğu'ndaki yüksek riskli zafiyetlerin hızla giderilmesini, özellikle de istismar sonrası saldırgana tam kontrol sağlayan açıkların öncelikli olarak ele alınmasını emrediyor. Ayrıca, yama uygulanmadan önce sistemlerin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri belirliyor.
Nasıl Önlem Alınmalı?
BOD 26-04 sadece FCEB kurumlarını bağlasa da CISA, tüm kuruluşları risk temelli güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu'ndaki zafiyetleri önceliklendirmeye teşvik ediyor. Bu yaklaşım, siber güvenlik kaynaklarının en kritik tehditlere yönlendirilmesini sağlayarak genel güvenlik duruşunu iyileştirmeyi hedefliyor. Kuruluşlar, kendi risk profillerine göre yama takvimleri oluşturmalı ve özellikle internet üzerinden erişilebilen sistemlerde bu tür zafiyetleri acilen kapatmalıdır.
Teknik Analiz
CISA, KEV Kataloğu'na eklenmemiş ancak istismar edildiği bilinen güvenlik açıklarının, ajansın KEV Adaylık Formu aracılığıyla bildirilmesini istiyor. KEV'e eklenebilmesi için bir zafiyetin geçerli bir CVE kimliğine, istismar kanıtına ve net bir azaltma yönergesine sahip olması gerekiyor. Bu sayede topluluk, tehdit istihbaratını paylaşarak herkesin daha güvende olmasına katkıda bulunabiliyor.
Gelecekte Ne Bekleniyor?
SharePoint kullanıcıları için bu gelişme, acil bir eylem çağrısı niteliği taşıyor. Microsoft'un yayınladığı güvenlik güncellemelerinin derhal uygulanması, sistem yöneticilerinin öncelikli görevi olmalıdır. Ayrıca, ağ segmentasyonu, güçlü erişim kontrolleri ve düzenli güvenlik denetimleri gibi ek savunma katmanları, bu tür zafiyetlerin etkisini azaltmada yardımcı olabilir. Unutulmamalıdır ki, siber tehditler sürekli evrim geçirirken, proaktif bir güvenlik yaklaşımı benimsemek hayati öneme sahiptir.
Kaynak: cisa.gov