ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen iki yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu hamle, siber saldırganların sürekli olarak yeni zafiyetleri hedef aldığını ve kurumların güncelleme takvimlerini hızlandırması gerektiğini bir kez daha gözler önüne seriyor. Eklenen açıklardan ilki, Cisco'nun popüler ağ yönetim platformu Catalyst SD-WAN Manager'da bulunan bir dizin/dosya yolu atlama (path traversal) zafiyeti (CVE-2026-20262). İkincisi ise LiteSpeed cPanel eklentisinde keşfedilen bir UNIX sembolik bağ (symlink) izleme açığı (CVE-2026-54420). Her iki güvenlik açığı da saldırganlara hassas dosyalara erişme veya sistem üzerinde yetki yükseltme imkanı tanıyor.
CVE-2026-20262 koduyla tanımlanan Cisco Catalyst SD-WAN Manager zafiyeti, kötü niyetli aktörlerin hedef sistemdeki dosya ve dizinlere normalden farklı yollardan erişmesine olanak tanıyor. Bu tür bir path traversal açığı, genellikle kullanıcı girdilerinin yetersiz filtrelenmesi sonucu ortaya çıkar ve saldırganların sistem yapılandırma dosyaları, parola hash'leri veya diğer hassas verilere ulaşmasını sağlayabilir. Cisco ürünleri, özellikle büyük ölçekli ağlarda yaygın olarak kullanıldığından, bu açığın etkisi oldukça geniş olabilir. SD-WAN Manager, ağ trafiğini merkezi olarak yöneten kritik bir araç olduğu için, buradaki bir ihlal tüm ağın güvenliğini tehlikeye atabilir.
Diğer açık olan CVE-2026-54420 ise LiteSpeed'in cPanel eklentisinde bulunan bir UNIX sembolik bağ (symlink) izleme zafiyeti. Symlink saldırıları, bir programın dosya izinlerini atlatmak için sembolik bağlantıları kullanması prensibine dayanır. Bu açık sayesinde saldırganlar, normalde erişemeyecekleri dosyalara okuma veya yazma yetkisi kazanabilir. Özellikle paylaşımlı hosting ortamlarında kullanılan cPanel, bu tür bir zafiyet karşısında birden fazla kullanıcıyı ve web sitesini etkileyebilir. LiteSpeed sunucuları, dünya genelinde milyonlarca web sitesini barındırdığı için bu açığın potansiyel etkisi oldukça büyük.
Sonuç ve Değerlendirme
CISA'nın bu eklemeleri, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında yapıldı. BOD 26-04, federal kurumların güvenlik güncellemelerini risk temelli önceliklendirmesini zorunlu kılan yeni bir düzenleme. Bu direktif, özellikle CISA'nın KEV kataloğunda listelenen ve istismar edildiğinde hedef sistem üzerinde tam kontrol sağlayan yüksek riskli açıkların hızla giderilmesini şart koşuyor. Ayrıca, yamalar uygulanmadan önce sistemlerin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri de belirliyor. BOD 26-04, yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları risk temelli bir zafiyet yönetimi yaklaşımı benimsemeye ve KEV kataloğundaki açıkları önceliklendirmeye çağırıyor.
Gelecekte Ne Bekleniyor?
Kuruluşlar için bu gelişmelerin pratik çıkarımları oldukça net: Öncelikle, Cisco Catalyst SD-WAN Manager ve LiteSpeed cPanel eklentisi kullanılıyorsa, ilgili güvenlik yamaları derhal uygulanmalı. Cisco, bu açık için gerekli güncellemeyi yayınlamış olabilir; ancak kullanıcıların resmi Cisco güvenlik duyurularını takip etmesi önemli. LiteSpeed kullanıcıları da benzer şekilde eklenti güncellemelerini kontrol etmeli. Ayrıca, BOD 26-04 kapsamında federal kurumlar, bu açıkların istismar edilip edilmediğini tespit etmek için sistemlerini taramalı. Tüm kuruluşlar, KEV kataloğunu düzenli olarak takip ederek kendi sistemlerinde bulunan açıkları belirleyebilir ve önceliklendirebilir.
CISA, bilinen istismar edilen açıkların KEV kataloğuna eklenmesi için bir başvuru formu da sunuyor. Eğer kuruluşunuz, henüz katalogda yer almayan ancak aktif olarak istismar edilen bir açık tespit ederse, bu formu kullanarak CISA'ya bildirimde bulunabilir. Başvuruların kabul edilmesi için ilgili CVE kimliği, istismar kanıtı ve net bir azaltma rehberi gerekiyor. Bu sayede siber güvenlik topluluğu, tehditler karşısında daha hızlı ve koordineli hareket edebilecek. KEV kataloğu, sürekli güncellenen bir kaynak olduğundan, güvenlik ekiplerinin bu listeyi düzenli olarak kontrol etmesi, proaktif bir savunma stratejisinin olmazsa olmazıdır.
Sonuç olarak, CISA'nın bu hamlesi, siber tehditlerin dinamik doğasını ve güncellemelerin önemini bir kez daha hatırlatıyor. Özellikle kritik altyapı ve kurumsal ağlar için bu tür açıkların hızla kapatılması, potansiyel bir felaketi önleyebilir. Kuruluşlar, yalnızca federal düzenlemelere uymakla kalmamalı, aynı zamanda kendi güvenlik duruşlarını güçlendirmek için bu tür uyarıları ciddiye almalıdır. Unutmayın, bir güvenlik açığının istismar edildiğini öğrendiğinizde, yamanın uygulanması için geçen her saniye, saldırganlara avantaj sağlar.
Kaynak: cisa.gov