ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif sömürü kanıtlarına dayanarak Bilinen Sömürülen Güvenlik Açıkları (KEV) Kataloğu’na iki yeni güvenlik açığı ekledi. Bu hamle, federal kurumlar ve özel sektör için kritik bir uyarı niteliği taşıyor. CISA’nın KEV Kataloğu, kötü niyetli siber aktörler tarafından aktif olarak kullanılan güvenlik açıklarını takip ederek kurumların önceliklendirme yapmasına yardımcı oluyor. Eklenen iki açık, endüstriyel yazılım ve iletişim altyapısını hedef almasıyla dikkat çekiyor.
İlk güvenlik açığı, CVE-2026-12569 olarak tanımlanan ve PTC Windchill ile FlexPLM ürünlerini etkileyen bir girdi doğrulama zafiyetidir. Bu zafiyet, saldırganların özel hazırlanmış girdiler göndererek sistem üzerinde yetkisiz işlemler yapmasına olanak tanıyabilir. Özellikle ürün yaşam döngüsü yönetimi (PLM) yazılımları, tedarik zinciri ve üretim süreçlerinde kritik rol oynadığından, bu açığın sömürülmesi ciddi veri sızıntılarına veya operasyonel kesintilere yol açabilir.
İkinci güvenlik açığı ise CVE-2026-20230 olarak kaydedilen ve Cisco Unified Communications Manager’ı (CUCM) etkileyen bir Sunucu Taraflı İstek Sahteciliği (SSRF) zafiyetidir. SSRF zafiyetleri, saldırganların güvenlik duvarı arkasındaki iç sistemlere erişmek için savunmasız sunucuyu bir atlama taşı olarak kullanmasına izin verir. CUCM gibi merkezi iletişim platformlarında bu tür bir açık, tüm kurumsal telefon ve mesajlaşma sistemlerinin ele geçirilmesine neden olabilir.
Detaylar ve Etkileri
CISA, bu tür güvenlik açıklarının sıkça kullanılan saldırı vektörleri olduğunu ve federal kurumlar için önemli riskler oluşturduğunu vurguluyor. Bu doğrultuda, Federal Sivil Yürütme Organı (FCEB) kurumlarını kapsayan Bağlayıcı Operasyonel Direktif (BOD) 26-04 yayımlandı. Bu direktif, risk bazlı güvenlik güncellemelerine öncelik verilmesini zorunlu kılıyor. Özellikle KEV Kataloğu’nda listelenen ve sömürü sonrası tam kontrol sağlayan açıkların hızla giderilmesi gerekiyor. Ayrıca direktif, yama uygulanmadan önce sistemin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri belirliyor.
Sistem Güvenliği
BOD 26-04 yalnızca FCEB kurumlarını bağlasa da, CISA tüm organizasyonları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu’ndaki açıkları öncelikli olarak düzeltmeye teşvik ediyor. Kataloğa eklenen her bir açık, belirli kriterleri karşıladığı için eklenmektedir: bir CVE ID’si, sömürü kanıtı ve net bir hafifletme rehberi. Kurumlar, KEV Kataloğu’nu düzenli olarak takip ederek kendi sistemlerindeki riskleri azaltabilir.
Önemli Gelişmeler
Eğer halihazırda KEV Kataloğu’nda listelenmeyen ancak sömürüldüğünü bildiğiniz bir güvenlik açığı varsa, CISA’nın Açık Adaylık Formu aracılığıyla başvuru yapabilirsiniz. Bu süreç, topluluk tabanlı bir yaklaşımla siber güvenlik tehditlerinin daha hızlı tespit edilmesini ve yaygınlaştırılmasını sağlıyor. Her kurumun kendi ağında aktif sömürü tespit etmesi durumunda, bu bilgiyi CISA ile paylaşması teşvik ediliyor.
Kaynak: cisa.gov