ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu hamle, federal kurumlar ve özel sektör için kritik öneme sahip güvenlik açıklarının hızla giderilmesi gerektiğini bir kez daha vurguluyor. CISA'nın bu adımı, özellikle kamuya açık sistemlerde ciddi risk oluşturan zafiyetlerin öncelikli olarak ele alınması gerektiğini gösteriyor.
Kataloğa eklenen güvenlik açığı CVE-2026-35273, Oracle PeopleSoft Enterprise PeopleTools yazılımında kritik bir işlev için kimlik doğrulama eksikliğinden kaynaklanıyor. Bu tür güvenlik açıkları, siber saldırganların sistemlere kolayca erişmesine ve tam kontrol ele geçirmesine olanak tanıyor. Özellikle federal kurumlar için büyük risk taşıyan bu zafiyet, kamuya açık varlıklarda istismar edildiğinde ciddi veri ihlallerine yol açabiliyor.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, federal kurumlar için güvenlik güncellemelerinin risk temelli önceliklendirilmesini zorunlu kılıyor. Bu direktif, BOD 22-01'in yerini alarak KEV kataloğunun önemini pekiştiriyor ve yüksek riskli güvenlik açıklarının hızla giderilmesini şart koşuyor. Özellikle, istismar sonrası varlığın tam kontrolünü sağlayan zafiyetler için acil müdahale gerekiyor. Ayrıca, direktif, yama uygulanmadan önce sistemlerin tehlikeye girip girmediğinin kontrol edilmesini de zorunlu kılıyor.
BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları risk bazlı güvenlik açığı yönetimi benimsemeye ve KEV kataloğundaki zafiyetleri öncelikli olarak gidermeye çağırıyor. Bu, siber güvenlik stratejilerinin proaktif bir şekilde yönetilmesi ve en kritik tehditlere odaklanılması anlamına geliyor. Kuruluşlar, güvenlik açıklarını sürekli izleyerek ve güncel tehdit istihbaratına dayanarak hareket etmelidir.
CISA, KEV kataloğunda yer almayan ancak istismar edildiği bilinen güvenlik açıklarını bildirmek için bir başvuru formu sunuyor. Kataloğa eklenmesi istenen zafiyetlerin bir CVE kimliği, istismar kanıtı ve net bir azaltma rehberine sahip olması gerekiyor. Bu süreç, tehdit istihbaratının paylaşılmasını ve topluluk tabanlı bir savunma mekanizması oluşturulmasını teşvik ediyor.
Oracle PeopleSoft güvenlik açığı, özellikle büyük ölçekli işletmeler ve kamu kurumlarında yaygın olarak kullanılan bir yazılımı hedef alıyor. Bu nedenle, sistem yöneticilerinin derhal gerekli yamaları uygulaması ve alternatif güvenlik önlemleri alması kritik önem taşıyor. Aksi halde, saldırganların sistemlere sızması ve hassas verilere erişmesi kaçınılmaz olabilir. Kuruluşlar, bu tür zafiyetleri kendi risk değerlendirme süreçlerine entegre etmeli ve sürekli güncelleme politikaları izlemelidir.
Sonuç olarak, CISA'nın KEV kataloğuna yaptığı bu ekleme, siber güvenlik dünyasında proaktif ve risk odaklı yaklaşımın önemini bir kez daha ortaya koyuyor. Hem federal kurumlar hem de özel sektör, bu tür kritik zafiyetleri hızla gidererek siber saldırılara karşı daha dirençli hale gelebilir. Unutulmamalıdır ki, güvenlik açıklarının erken tespiti ve müdahalesi, olası zararları minimize etmenin en etkili yoludur.
Kaynak: cisa.gov