Giriş
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), son günlerde aktif bir şekilde istismar edilen üç yeni güvenlik açığını CVE kataloguna ekledi. Bu durum, siber güvenlikte proaktif önlemlerin önemini bir kez daha gözler önüne seriyor.
Etkilenen Sistemler
Aşağıda yer alan güvenlik açıkları, belirli sistemleri ve yazılımları etkilemektedir:
- CVE-2026-20245 (CVSS puanı: 7.8) – Cisco Catalyst SD-WAN Manager’daki bir yanlış kodlama veya çıktı kaçırma açığı, kimliği doğrulanmış bir yerel saldırganın, etkilenen sisteme özel bir dosya sunarak kök olarak rastgele komutlar çalıştırmasına olanak tanır.
- CVE-2026-11645 (CVSS puanı: 8.8) – Google Chrome V8’de bulunan bir sınır dışı okuma ve yazma açığı, uzaktan bir saldırganın, özel bir HTML sayfası aracılığıyla bir kumanda kodu çalıştırmasına izin verebilir.
- CVE-2026-7473 (CVSS puanı: 6.9) – Arista Extensible Operating System (EOS) sisteminde, eksik faktörlerle yapılan tam olmayan bir karşılaştırma açığı, yapılandırılmamış tünel trafiğinin işlenebilmesine neden olabilir.
Açığın Teknik Detayları
CVE-2026-7473 açığı, belirli Arista EOS kullanan platformlarda, örneğin VXLAN (Sanal Genleşebilir LAN), decap-groups veya GRE (Generic Routing Encapsulation) tünel arayüzü gibi tünel kapsama yapılandırması varsa, yanlış kapsama yapılmasına ve diğer beklenmedik paketlerin iletilmesine neden olabilir. Arista, bu durumun tünel protokol türünün doğrulanmaması nedeniyle meydana geldiğini belirtmiştir.
Çözüm ve Korunma
Arista, CVE-2026-7473 konusunda herhangi bir yamanın planlanmadığını duyurmuştur. Şirket, mevcut yapılandırmaların bozulma riskini göz önünde bulundurarak aşağıdaki iki genel yaklaşımı önermektedir:
- Yukarıdaki cihazlarda ACL’ler (Erişim Kontrol Listeleri) uygulamak.
- Beklenmeyen kapsama süreçlerinin gerçekleştiği cihazlara ACL’ler uygulamak.
Bu durumlar, yalnızca yasal tünel trafiğine izin vermek veya kötü niyetli tünel trafiğini seçici olarak engellemek amacı taşımaktadır.
Olası Eylemler
Federal Sivil İcra Dairesi (FCEB) ajanslarının, bu üç güvenlik açığının tehditlerine karşı 23 Haziran 2026 tarihine kadar gerekli düzeltmeleri veya önlemleri uygulamaları emredilmiştir. Kullanıcılar ve sistem yöneticileri, etkilenen sistemleri güncelleyerek ve gereken ACL’leri uygulayarak bu tehditlerin üstesinden gelmelidir.
