ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. CVE-2026-10520 koduyla tanımlanan bu güvenlik açığı, Ivanti Sentry ürününde bir OS Command Injection zafiyetidir. Bu tür açıklar, siber saldırganlar tarafından sıklıkla kullanılan bir saldırı vektörü olup, federal kurumlar ve diğer organizasyonlar için ciddi riskler oluşturmaktadır.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, federal sivil yürütme organı (FCEB) kurumları için güvenlik güncellemelerinin risk bazlı önceliklendirilmesini zorunlu kılmaktadır. Bu direktif, BOD 22-01'i güncelleyerek KEV kataloğunun önemini vurgulamakta ve federal kurumların yüksek riskli güvenlik açıklarını hızlı bir şekilde gidermesini şart koşmaktadır. Özellikle, kamuya açık varlıklarda bulunan ve istismar edildiğinde tam kontrol sağlayan güvenlik açıklarına öncelik verilmesi gerektiği belirtilmektedir.
BOD 26-04 yalnızca FCEB kurumlarını bağlasa da, CISA tüm organizasyonları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV kataloğundaki güvenlik açıklarını öncelikli olarak gidermeye teşvik etmektedir. Ajans, belirlenen kriterleri karşılayan güvenlik açıklarını kataloğa eklemeye devam edeceğini duyurmuştur. Bu kapsamda, halihazırda katalogda yer almayan ancak istismar edildiği bilinen güvenlik açıklarının, KEV Aday Gösterme Formu aracılığıyla CISA'ya bildirilmesi mümkündür.
Güvenlik uzmanları, Ivanti Sentry kullanıcılarının bu kritik güvenlik açığına karşı derhal önlem alması gerektiğini vurgulamaktadır. OS Command Injection zafiyeti, saldırganların sistemde keyfi komutlar çalıştırmasına olanak tanıyarak tam sistem kontrolü ele geçirmesine yol açabilir. Organizasyonların, güvenlik açığı yönetim süreçlerini risk bazlı bir yaklaşımla güncellemeleri ve KEV kataloğunu düzenli olarak takip etmeleri, siber saldırılara karşı korunmada kritik öneme sahiptir.