CISA'dan Kritik Uyarı: Windchill ve Cisco Unified Communications Manager'da Aktif Olarak Kullanılan İki Güvenlik Açığı KEV Kataloğu'na Eklendi Siber Güvenlik

CISA'dan Kritik Uyarı: Windchill ve Cisco Unified Communications Manager'da Aktif Olarak Kullanılan İki Güvenlik Açığı KEV Kataloğu'na Eklendi

CISA, aktif olarak istismar edilen iki kritik güvenlik açığını KEV Kataloğu'na ekledi. PTC Windchill ve Cisco Unified Communications Manager'ı etkiley

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar edildiği tespit edilen iki yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu hamle, federal kurumlar ve özel sektör için risk bazlı güvenlik yönetiminin ne kadar kritik olduğunu bir kez daha gözler önüne seriyor. Eklenen açıklar, endüstriyel ürün yaşam döngüsü yönetimi (PLM) yazılımı PTC Windchill ve FlexPLM ile kurumsal iletişim altyapısında yaygın olarak kullanılan Cisco Unified Communications Manager'ı hedef alıyor.

İlk güvenlik açığı CVE-2026-12569, PTC Windchill ve FlexPLM ürünlerinde bulunan hatalı girdi doğrulama (Improper Input Validation) zafiyetidir. Bu tür bir açık, saldırganların sisteme özel hazırlanmış girdiler göndererek yetkisiz işlemler gerçekleştirmesine olanak tanır. PTC'nin PLM çözümleri, özellikle üretim, otomotiv ve havacılık gibi sektörlerde kritik tasarım ve üretim verilerini yönettiği için bu açığın istismarı, fikri mülkiyet hırsızlığından tedarik zinciri saldırılarına kadar geniş bir yelpazede ciddi sonuçlar doğurabilir.

İkinci güvenlik açığı CVE-2026-20230 ise Cisco Unified Communications Manager (CUCM) ürününde Sunucu Tarafı İstek Sahteciliği (Server-Side Request Forgery - SSRF) zafiyetidir. SSRF, saldırganların bir sunucuyu kendi adına istek göndermeye zorlayarak iç ağdaki kaynaklara erişmesine veya hassas verileri sızdırmasına yol açar. CUCM, kurumsal telefon, video konferans ve anlık mesajlaşma gibi kritik iletişim hizmetlerini sağladığından, bu açığın başarılı bir şekilde istismarı, tüm kurumsal iletişim altyapısının ele geçirilmesine kadar gidebilir.

CISA, bu eklemeyi Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında gerçekleştirdi. BOD 26-04, Federal Sivil Yürütme Organı (FCEB) kurumlarının güvenlik güncellemelerini riske göre önceliklendirmesini zorunlu kılıyor. Bu direktif, özellikle kamuya açık varlıklarda bulunan ve istismar sonrası tam kontrol sağlayan KEV Kataloğu'ndaki açıkların hızlı bir şekilde giderilmesini şart koşarken, daha düşük riskli açıklar için ertelemeye izin veriyor. Ayrıca, yama uygulanmadan önce sistemin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri belirliyor.

Sonuç ve Değerlendirme

BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm organizasyonları risk bazlı güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu'ndaki açıkları öncelikli olarak düzeltmeye teşvik ediyor. Özellikle bu iki açık, aktif istismar edildiği için, işletmelerin vakit kaybetmeden ilgili satıcıların yayınladığı yamaları uygulaması kritik önem taşıyor. PTC müşterileri Windchill ve FlexPLM için en son güvenlik güncellemelerini, Cisco müşterileri ise CUCM için önerilen yamaları kontrol etmeli.

CISA ayrıca, KEV Kataloğu'nda henüz listelenmemiş ancak istismar edildiği bilinen güvenlik açıkları varsa, bunların KEV Aday Gösterme Formu aracılığıyla bildirilmesini istiyor. Aday gösterilen açıkların bir CVE kimliğine, istismar kanıtına ve net bir azaltma rehberliğine sahip olması gerekiyor. Bu sayede, siber güvenlik topluluğu tehditlere karşı daha hızlı ve etkili bir şekilde yanıt verebilecek. Unutmayın, proaktif güvenlik yönetimi, reaktif müdahaleden her zaman daha etkilidir.

Kaynak: cisa.gov

Paylaş: