Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na yeni bir zafiyet ekledi. Eklenen güvenlik açığı, Drupal Core'da bulunan ve CVE-2026-9082 koduyla tanımlanan SQL Enjeksiyon zafiyetidir. Bu ekleme, söz konusu açığın aktif olarak istismar edildiğine dair kanıtların bulunması üzerine yapıldı. CISA'nın bu hamlesi, özellikle federal kurumlar ve kritik altyapılar için önemli bir uyarı niteliği taşıyor.
SQL Enjeksiyon zafiyetleri, siber saldırganlar tarafından sıklıkla kullanılan ve ciddi riskler oluşturan saldırı vektörleridir. CVE-2026-9082, Drupal içerik yönetim sisteminin çekirdek bileşeninde yer alan bir SQL enjeksiyon hatasıdır. Bu tür bir açık, saldırganların veritabanına yetkisiz erişim sağlamasına, hassas verileri çalmasına veya sistemi tamamen ele geçirmesine olanak tanıyabilir. Özellikle Drupal, dünya genelinde birçok devlet kurumu, üniversite ve büyük şirket tarafından kullanıldığı için bu açığın potansiyel etkisi oldukça büyüktür.
CISA, bu eklemeyi Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında gerçekleştirdi. BOD 22-01, federal sivil yürütme organı (FCEB) kurumlarının, bilinen istismar edilen güvenlik açıklarını belirlenen son tarihe kadar düzeltmesini zorunlu kılıyor. Bu direktif, KEV Kataloğu'nu, federal kurumlar için önemli risk taşıyan bilinen güvenlik açıklarının (CVE'ler) yaşayan bir listesi olarak tanımlıyor. FCEB kurumları, bu katalogdaki açıkları belirtilen süre içinde kapatmakla yükümlüdür.
Sonuç ve Değerlendirme
BOD 22-01 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları güvenlik açığı yönetimi uygulamalarının bir parçası olarak KEV Kataloğu'ndaki zafiyetlerin zamanında giderilmesine öncelik vermeye çağırıyor. Ajans, siber saldırılara karşı maruziyetini azaltmak isteyen her kuruluşun bu açıkları acilen düzeltmesi gerektiğini vurguluyor. CISA, belirlenen kriterleri karşılayan yeni güvenlik açıklarını kataloğa eklemeye devam edeceğini belirtiyor.
Bu gelişme, özellikle Drupal kullanan kurumlar için acil bir eylem planı oluşturulması gerektiğini gösteriyor. CVE-2026-9082 için Drupal'ın resmi güvenlik yamalarının kontrol edilmesi ve en kısa sürede uygulanması kritik önem taşıyor. Ayrıca, SQL enjeksiyon saldırılarına karşı web uygulama güvenlik duvarları (WAF) kullanmak, girdi doğrulama mekanizmalarını güçlendirmek ve düzenli güvenlik taramaları yapmak gibi ek önlemler de alınmalıdır. Kurumlar, güvenlik açığı yönetim süreçlerini KEV Kataloğu'ndaki güncellemeleri takip edecek şekilde yapılandırmalıdır.
Gelecekte Ne Bekleniyor?
CISA'nın KEV Kataloğu'na yaptığı bu ekleme, siber tehdit ortamının ne kadar dinamik olduğunu ve kuruluşların güvenlik açıklarını yönetme konusunda proaktif olmaları gerektiğini bir kez daha hatırlatıyor. Özellikle yaygın olarak kullanılan içerik yönetim sistemleri ve diğer kritik yazılımlardaki güvenlik açıkları, saldırganlar için cazip hedefler oluşturmaya devam ediyor. Bu nedenle, güncellemeleri takip etmek ve yamaları zamanında uygulamak, siber güvenlik stratejisinin temel bir parçası olmalıdır.
Kaynak: cisa.gov