Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen üç yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu adım, siber tehdit aktörlerinin bu açıkları hedef aldığını doğrulayan kanıtların ardından geldi. Kataloğa eklenen açıklar arasında Fortinet FortiSandbox ürününde iki ayrı işletim sistemi komut enjeksiyonu (OS Command Injection) zafiyeti ve Microsoft SharePoint'te güvenilmeyen verilerin serileştirilmesi (Deserialization of Untrusted Data) zafiyeti yer alıyor. Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık kullanılan saldırı vektörleri olup federal kurumlar ve özel sektör için ciddi risk oluşturmaktadır.
Eklenen güvenlik açıkları şunlardır: CVE-2026-25089 (Fortinet FortiSandbox OS Command Injection), CVE-2026-39808 (Fortinet FortiSandbox OS Command Injection) ve CVE-2026-58644 (Microsoft SharePoint Deserialization of Untrusted Data). FortiSandbox açıkları, saldırganların hedef sistemde komut çalıştırmasına olanak tanırken, SharePoint açığı ise uzaktan kod yürütme (RCE) riski taşımaktadır. Özellikle SharePoint zafiyeti, güvenilmeyen verilerin serileştirilmesi yoluyla hedef sistemin tamamen ele geçirilmesine yol açabilir. Bu nedenle CISA, bu açıkların öncelikli olarak giderilmesini tavsiye etmektedir.
CISA'nın bu hamlesi, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında gerçekleşti. BOD 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için risk temelli güvenlik güncellemelerine öncelik verilmesini zorunlu kılar. Bu direktif, KEV Kataloğu'nun önemini vurgulamakta ve federal kurumların, kamuya açık varlıklarda bulunan ve istismar sonrası tam kontrol sağlayan yüksek riskli güvenlik açıklarını hızla düzeltmesini gerektirmektedir. Ayrıca, daha düşük riskli açıklar için güncellemelerin ertelenebileceği belirtilmiştir. BOD 26-04, aynı zamanda kurumların yama uygulanmadan önce tehdit aktörlerinin sistemi tehlikeye atıp atmadığını kontrol etmeleri için temel beklentileri de tanımlamaktadır.
BOD 26-04 sadece FCEB kurumlarını bağlayıcı olsa da CISA, tüm kuruluşları risk temelli güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu'ndaki açıkları öncelikli olarak düzeltmeye teşvik ediyor. Ajans, belirlenen kriterleri karşılayan güvenlik açıklarını kataloğa eklemeye devam edeceğini belirtti. Bu kapsamda, henüz KEV Kataloğu'nda listelenmeyen ancak istismar edildiği bilinen bir güvenlik açığı varsa, CISA'nın KEV Aday Gösterme Formu aracılığıyla bildirilmesi mümkün. Aday gösterme için geçerli bir CVE kimliği, istismar kanıtı ve net bir azaltma yönergesi gerekiyor.
Sistem Güvenliği
Fortinet FortiSandbox'taki komut enjeksiyon açıkları (CVE-2026-25089 ve CVE-2026-39808), özellikle güvenlik duvarı ve sandbox ortamlarını hedef alan saldırganlar için cazip hedeflerdir. Bu zafiyetler, saldırganların işletim sistemi düzeyinde komut çalıştırmasına izin vererek, ağdaki diğer cihazlara yanal hareket etmelerine olanak tanıyabilir. Fortinet ürünleri, özellikle kurumsal ağlarda yaygın olarak kullanıldığından, bu açıkların istismarı büyük çaplı veri ihlallerine yol açabilir. Kullanıcıların, Fortinet'in yayınladığı güvenlik yamalarını acilen uygulaması ve sistemlerini güncel tutması önerilir.
Uzmanların Görüşleri
Microsoft SharePoint'teki güvenilmeyen verilerin serileştirilmesi zafiyeti (CVE-2026-58644) ise özellikle işbirliği platformlarını hedef almaktadır. SharePoint, birçok kuruluşta belge yönetimi ve iş akışı için kritik bir rol oynar. Bu açığın istismarı, saldırganların hedef sunucuda uzaktan kod yürütmesine olanak tanıyarak, hassas verilere erişim, kötü amaçlı yazılım yükleme veya ağda kalıcılık sağlama gibi sonuçlar doğurabilir. Microsoft, bu zafiyet için güvenlik güncellemeleri yayınlamış olup, yöneticilerin bu yamaları acilen test ederek üretim ortamlarına uygulaması kritik önem taşımaktadır.
CISA'nın KEV Kataloğu'na yapılan bu eklemeler, siber güvenlik topluluğu için önemli bir uyarı niteliği taşımaktadır. Kuruluşların, güvenlik açığı yönetimi süreçlerini gözden geçirmeleri ve özellikle kamuya açık varlıklarda bulunan yüksek riskli açıkları önceliklendirmeleri gerekmektedir. Ayrıca, bu açıkların istismar edilip edilmediğini tespit etmek için ağ izleme ve olay müdahale ekiplerinin hazır olması önemlidir. BOD 26-04'ün getirdiği risk temelli yaklaşım, sadece federal kurumlar için değil, tüm sektörler için en iyi uygulama olarak kabul edilmelidir. KEV Kataloğu'na yeni açıklar eklenmeye devam ettikçe, kuruluşların güncel tehdit istihbaratını takip etmeleri ve proaktif bir güvenlik duruşu benimsemeleri hayati önem taşımaktadır.
Kaynak: cisa.gov