CISA, Oracle PeopleSoft Kritik Güvenlik Açığını İstismar Edilenler Listesine Ekledi Yazılım

CISA, Oracle PeopleSoft Kritik Güvenlik Açığını İstismar Edilenler Listesine Ekledi

CISA, Oracle PeopleSoft PeopleTools'taki kritik kimlik doğrulama eksikliği güvenlik açığını (CVE-2026-35273) aktif istismar nedeniyle KEV Kataloğu'na

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Kataloğa eklenen son zafiyet, Oracle PeopleSoft Enterprise PeopleTools ürününde bulunan ve kritik işlevler için kimlik doğrulama eksikliğine yol açan CVE-2026-35273 kodlu güvenlik açığı oldu. Bu tür zafiyetler, kötü niyetli siber aktörler tarafından sıkça kullanılan saldırı vektörleri arasında yer alıyor ve özellikle federal kurumlar için ciddi riskler oluşturuyor.

CVE-2026-35273, Oracle PeopleSoft PeopleTools bileşeninde yer alan ve kimlik doğrulaması gerektiren kritik işlevlerin yeterince korunmamasından kaynaklanıyor. Bu açık, saldırganların herhangi bir kimlik doğrulama olmadan hassas işlevlere erişmesine ve potansiyel olarak sistem üzerinde tam kontrol elde etmesine olanak tanıyor. PeopleSoft, birçok büyük kuruluş ve devlet kurumu tarafından insan kaynakları, finans ve diğer kritik iş süreçlerinde kullanıldığı için bu güvenlik açığının etkisi oldukça geniş olabilir.

CISA, bu eklentiyle birlikte, Federal Sivil Yürütme Organı (FCEB) kurumları için güvenlik güncellemelerini riske göre önceliklendirmeyi zorunlu kılan Bağlayıcı Operasyonel Direktif (BOD) 26-04'ü de güncelledi. BOD 26-04, BOD 22-01'in yerini alarak, KEV Kataloğu'ndaki yüksek riskli güvenlik açıklarının hızlı bir şekilde giderilmesini zorunlu kılıyor. Özellikle, istismar sonrası varlık üzerinde tam kontrol sağlayan ve kamuya açık varlıklarda bulunan KEV Kataloğu'ndaki CVE'lerin öncelikli olarak ele alınması gerekiyor. Düşük riskli açıklar için ise müdahale ertelenebilecek.

Nasıl Önlem Alınmalı?

BOD 26-04 ayrıca, kurumların yama uygulanmadan önce tehdit aktörlerinin sistemi tehlikeye atıp atmadığını kontrol etmeleri için temel beklentileri de belirliyor. Bu, güvenlik açıklarının kapatılmasının yanı sıra olası ihlallerin tespiti için de bir mekanizma sunuyor. Her ne kadar BOD 26-04 yalnızca FCEB kurumlarını bağlasa da, CISA tüm kuruluşları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu'ndaki zafiyetleri öncelikli olarak gidermeye teşvik ediyor.

Sonuç ve Değerlendirme

CISA, KEV Kataloğu'na eklenen her güvenlik açığı için belirli kriterler aradığını vurguluyor: bir CVE kimliği, aktif istismar kanıtı ve net bir azaltma kılavuzu. Halihazırda katalogda yer almayan ancak istismar edildiği bilinen bir güvenlik açığı varsa, kuruluşlar CISA'nın KEV Aday Gösterme Formu aracılığıyla başvuruda bulunabiliyor. Bu, siber güvenlik topluluğunun kolektif olarak tehditlere karşı daha hızlı yanıt vermesini sağlıyor.

Gelecekte Ne Bekleniyor?

Oracle PeopleSoft kullanıcıları için bu gelişme, acil bir eylem çağrısı niteliği taşıyor. İşletmelerin, PeopleTools bileşenini en kısa sürede güncellemesi ve sistemlerini olası ihlal belirtilerine karşı taraması öneriliyor. Ayrıca, güvenlik ekiplerinin KEV Kataloğu'nu düzenli olarak takip etmesi ve risk değerlendirmelerini güncellemesi, benzer tehditlere karşı proaktif bir savunma için kritik öneme sahip.

Kaynak: cisa.gov

Paylaş: