CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na yeni bir zafiyet ekledi. Bu kez eklenen güvenlik açığı, Oracle PeopleSoft Enterprise PeopleTools yazılımında bulunan ve CVE-2026-35273 olarak tanımlanan kritik bir kimlik doğrulama eksikliğidir. Bu açık, saldırganların sistem üzerinde tam kontrol elde etmesine olanak tanıyan kritik bir işlevde kimlik doğrulaması yapılmamasından kaynaklanmaktadır. Aktif istismar edildiğine dair kanıtlar bulunan bu zafiyet, özellikle federal kurumlar için yüksek risk oluşturmaktadır.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, risk temelli güvenlik güncelleme önceliklendirmesini zorunlu kılmaktadır. Bu direktif, Federal Sivil Yürütme Organı (FCEB) kurumlarını kapsamakta olup, KEV kataloğundaki yüksek riskli güvenlik açıklarının hızla giderilmesini şart koşmaktadır. BOD 26-04, özellikle kamuya açık varlıklarda tam kontrol sağlayan zafiyetlerin öncelikli olarak düzeltilmesini, düşük riskli açıkların ise ertelenebileceğini belirtmektedir. Ayrıca, yama uygulanmadan önce tehdit aktörlerinin sistemi ele geçirip geçirmediğinin kontrol edilmesi gerektiği vurgulanmaktadır.
CVE-2026-35273, Oracle PeopleSoft Enterprise PeopleTools bileşeninde yer alan bir kimlik doğrulama eksikliği zafiyetidir. Bu tür açıklar, siber saldırganlar tarafından sıkça kullanılan saldırı vektörleridir. Oracle PeopleSoft, birçok büyük kuruluş ve devlet kurumu tarafından insan kaynakları, finans ve diğer kritik iş süreçlerinde yaygın olarak kullanıldığından, bu güvenlik açığının istismarı ciddi sonuçlar doğurabilir. Saldırgan, bu açığı kullanarak sistemde yönetici yetkileri elde edebilir, hassas verilere erişebilir veya ağ içinde yanal hareket edebilir.
BOD 26-04, yalnızca FCEB kurumları için bağlayıcı olsa da CISA, tüm kuruluşları risk temelli bir güvenlik açığı yönetimi benimsemeye ve KEV kataloğundaki zafiyetlerin giderilmesine öncelik vermeye çağırmaktadır. Bu, özellikle kritik altyapı ve kamu sektöründe faaliyet gösteren kurumlar için hayati önem taşımaktadır. Kuruluşlar, varlık envanterlerini güncel tutmalı, güvenlik açığı taramalarını düzenli olarak yapmalı ve yama yönetim süreçlerini hızlandırmalıdır.
Nasıl Önlem Alınmalı?
CISA, KEV kataloğuna yeni zafiyetler eklemeye devam edeceğini ve bu kataloğun belirli kriterleri karşılayan güvenlik açıklarını içereceğini belirtmektedir. Eğer kuruluşunuz, katalogda listelenmeyen ancak istismar edildiğini bildiğiniz bir güvenlik açığı fark ederseniz, CISA'nın KEV Aday Gösterme Formu aracılığıyla bu açığı bildirebilirsiniz. Bildirim için gerekli kriterler arasında geçerli bir CVE ID'si, istismar kanıtı ve net bir hafifletme yönergesi bulunmaktadır.
Oracle PeopleSoft kullanıcıları, bu kritik güvenlik açığına karşı derhal harekete geçmelidir. Oracle'ın yayımladığı güvenlik yamalarını uygulamak, sistemlerin güncel olduğundan emin olmak ve ağ segmentasyonu, erişim kontrolleri gibi ek güvenlik önlemlerini devreye almak önemlidir. Ayrıca, sistemlerde herhangi bir istismar belirtisi olup olmadığını kontrol etmek için günlük kayıtları ve izleme araçları kullanılmalıdır. Bu adımlar, potansiyel bir siber saldırının etkisini azaltmada kritik rol oynayacaktır.
Kaynak: cisa.gov