Giriş
CISA, ABD hükümetine ait ajansların, Ocak ayından bu yana siber saldırılarda kullanılan kritik bir zafiyet için sistemlerini dört gün içinde güvence altına almalarını istedi. İzleme kodu CVE-2026-1340 olan bu zafiyet, yetkisiz kötü niyetli aktörlerin, internet üzerinden erişilebilen ve yamanmamış Ivanti Endpoint Manager Mobile (EPMM) cihazlarına uzaktan kod yürütmesine olanak tanıyor.
Saldırı Nasıl Çalışıyor?
Bu kod enjektiyonu zafiyeti, saldırganların yetki olmadan uzaktan sistemleri ele geçirmesine imkan sunmakta. Ivanti, bu zafiyetin yanı sıra başka bir güvenlik açığı olan CVE-2026-1281 için de güncellemeler yayımlamış ve bu zafiyetlerin sıfırıncı gün saldırılarında kötüye kullanıldığını bildirmiştir.
Etkilenen Sistemler
Ivanti, dünya genelinde 40,000’den fazla müşteriye IT varlık yönetimi ürünleri sunmakta ve bu sistemlerin zorunlu güncellemelerle korunmasını önermektedir. CVE-2026-1340 zafiyeti için şu an yaklaşık 950 IP adresinin çevrimiçi olduğu, çoğunluğunun Avrupa (569) ve Kuzey Amerika (206) kökenli olduğu belirtiliyor. Ancak, bu adreslerden hangilerinin güncellendiği hakkında bir bilgi bulunmamaktadır.
Çözüm ve Korunma
CISA, Federal Sivil İdare Daireleri (FCEB) ajanslarına, CVE-2026-1340 zafiyetini 11 Nisan saat 12:00’ye kadar yamanmalarını emretmiştir. CISA, bu tür zafiyetlerin kötü niyetli siber aktörler için sıkça bir saldırı vektörü olduğunu vurgulayarak, işletmelerin en kısa sürede zafiyetleri gidermesini tavsiye etmektedir:
- Ivanti’nin sağladığı güncellemeleri uygulayın.
- Güncellemeler uygulanamazsa, ürünü kullanmayı durdurun.
- Ivanti’nin talimatlarına göre ek önlemleri uygulayın.
Aksiyon
Bu tür zafiyetler, federal kurumlar için büyük tehditler oluşturmakla birlikte, özel sektördeki kuruluşların da acil olarak sistemlerini koruma altına alması gerekmektedir. Bu nedenle, sistem yöneticilerine önerilen en önemli adım, CVE-2026-1340 için mevcut yamaları hemen uygulamalarıdır. Özellikle, bu zafiyetin olası istismarı karşısında cihazların güncellemelerini geciktirmemeleri büyük önem taşımaktadır.
