ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif saldırılarda kullanılan Cisco güvenlik açığı nedeniyle federal kurumlara acil yama çağrısı yaptı. Kurum, CVE-2026-20230 kimliğiyle izlenen kritik zafiyet için son tarihi 28 Haziran olarak belirlerken aynı takvimi PTC yazılımlarını etkileyen ikinci kritik açık için de uygulamaya aldı. Güvenlik güncellemelerini zamanında yüklemeyen kurumların ürünleri devre dışı bırakması ya da üreticilerin önerdiği önlemleri uygulaması isteniyor.

İki Kritik Güvenlik Açığı KEV Listesine Eklendi

CISA, Cisco Unified Communications Manager Server platformunu etkileyen CVE-2026-20230 güvenlik açığını Bilinen İstismar Edilen Zafiyetler (Known Exploited Vulnerabilities – KEV) kataloğuna ekledi. Sunucu taraflı istek sahteciliği (SSRF) türündeki açık, özel olarak hazırlanan HTTP istekleriyle uzaktan sömürülebiliyor. Cisco, 3 Haziran’da yayımladığı güvenlik güncellemesi sırasında açığın kimlik doğrulaması gerektirmeden istismar edilebildiğini açıklamış, o tarihte yalnızca kavram kanıtı (Proof of Concept) kodunun bulunduğunu belirtmişti.

Geçen hafta güvenlik şirketi Defused, söz konusu açığın gerçek saldırılarda kullanılmaya başlandığını tespit etti. Araştırmacılar, saldırganların zafiyetten yararlanarak etkilenen sistemlere rastgele metin dosyaları yazabildiğini belirledi. Saldırıların arkasındaki tehdit aktörünün kimliği ise henüz doğrulanmadı.

CISA aynı süreçte CVE-2026-12569 numaralı ikinci güvenlik açığını da KEV kataloğuna ekledi. PTC tarafından geliştirilen Windchill ile FlexPLM ürünlerini etkileyen bu zafiyet, güvenilmeyen verilerin serileştirilmesinin çözülmesi sırasında ortaya çıkan kritik bir uzaktan kod çalıştırma (RCE) açığı olarak tanımlanıyor. Üretim, mühendislik, perakende, ayakkabı, hazır giyim ile tüketici ürünleri sektörlerinde yaygın kullanılan ürün yaşam döngüsü yönetimi (PLM) platformlarını hedefleyen açık için PTC, 18 Haziran’da güvenlik bülteni yayımlayarak etkilenen sürümleri paylaştı.

PTC’nin yayımladığı bilgilere göre güvenlik açığı, 11.0 sürümüne kadar tüm Windchill sürümlerini etkilerken 11.1, 11.2, 12.0, 12.1 ile 13.0 sürüm kollarındaki birçok versiyonda da bulunuyor. CISA, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında federal kurumların her iki güvenlik açığını da en geç 28 Haziran’a kadar gidermesini zorunlu tuttu.

Karar yalnızca ABD kamu kurumlarını bağlasa da Cisco altyapısını veya PTC PLM çözümlerini kullanan özel sektör kuruluşları için de önemli bir uyarı niteliği taşıyor. Aktif olarak istismar edilen zafiyetler, saldırganlar tarafından genellikle kısa sürede daha geniş hedeflere yöneltildiği için güvenlik güncellemelerinin geciktirilmeden uygulanması kritik önem taşıyor. Türkiye’de bu ürünleri kullanan kurumların da üreticilerin yayımladığı yamaları ve ek güvenlik önlemlerini vakit kaybetmeden değerlendirmesi olası siber riskleri azaltacaktır.