Ivanti, Fortinet, n8n, SAP ve VMware, kötü niyetli aktörler tarafından kimlik doğrulamasının aşılabileceği ve zararlı kodların çalıştırılabileceği bir dizi güvenlik açığı için yamanın yayınlandığını duyurdu. Bu açıkların acilen giderilmesi, sistem güvenliği açısından büyük önem taşımaktadır.

Vulnerabiliteler ve Etkilenen Sistemler

Aşağıda, çeşitli şirketler tarafından bildirilen kritik güvenlik açıkları ve etkilenen sistemler yer almaktadır:

• CVE-2026-8043 (CVSS puanı: 9.6) – Ivanti Xtraction’da, uzaktan kimlik doğrulaması yapılmış bir saldırganın hassas dosyaları okuyup, web dizinine rastgele HTML dosyaları yazmasına olanak tanıyan bir açık.
• CVE-2026-44277 (CVSS puanı: 9.1) – FortiAuthenticator’daki uygunsuz erişim kontrolü sorunu, kimlik doğrulaması yapılmamış bir saldırgana yetkisiz kod çalıştırma imkanı tanıyor. (Düzeltildi: FortiAuthenticator versiyonları 6.5.7, 6.6.9 ve 8.0.3)
• CVE-2026-26083 (CVSS puanı: 9.1) – FortiSandbox, FortiSandbox Cloud ve FortiSandbox PaaS WEB UI’de bulunan yetki eksikliği nedeniyle kimlik doğrulaması yapılmamış bir saldırganın yetkisiz kod çalıştırması mümkün. (Düzeltildi: FortiSandbox versiyonları 4.4.9 ve 5.0.2)
• CVE-2026-34260 (CVSS puanı: 9.6) – SAP S/4HANA’da bulunan bir SQL enjeksiyon açığı.
• CVE-2026-34263 (CVSS puanı: 9.6) – SAP Commerce cloud yapılandırmasında eksik kimlik doğrulama kontrolü.
• CVE-2026-41702 (CVSS puanı: 7.8) – VMware Fusion’deki yerel yetki yükseltme açığı.

Saldırı Nasıl Çalışıyor?

Bu güvenlik açıkları, kimlik doğrulaması yapılmamış kullanıcılar tarafından veya mevcut kullanıcılar tarafından kötüye kullanılabileceği durumlar yaratmaktadır. Örneğin, Ivanti Xtraction için bildirilen bir açık, uzaktan bir saldırganın hassas verilere erişim sağlamasına ve zararlı kod yürütmesine olanak vermektedir. Benzer şekilde, Fortinet ürünlerindeki açıklar, yetkisiz erişime kapı aralayarak sistemin tamamen ele geçirilmesine yol açabilir.

Çözüm ve Korunma

Kullandığınız yazılımlar için güncellemeleri hemen uygulamak son derece önemlidir. Aşağıdaki adımları izleyerek sisteminizi koruyabilirsiniz:

• Ivanti Xtraction’ı sürüm 2026.2 veya üstü ile güncelleyin.
• FortiAuthenticator’ı 6.5.7, 6.6.9 veya 8.0.3 sürümlerine güncelleyin.
• FortiSandbox’ı 4.4.9 veya 5.0.2 sürümlerine güncelleyin.
• SAP S/4HANA ve SAP Commerce için yayımlanacak yamaları takip edin.
• VMware Fusion için 26H1 sürümüne geçin.

Sonuç

Güvenlik açıklarını mümkün olan en kısa sürede kapatmak için sistemlerinizi güncellemeyi ihmal etmeyin. Ayrıca, gereksiz portları kapatmak ve güvenlik duvarı kurallarınızı gözden geçirmek de önemlidir. Yazılım güncellemelerini düzenli olarak kontrol ederek, sistem güvenliğinizi artırabilirsiniz.

Güvenlik açıkları, işletmelerin siber güvenliğini tehdit eden önemli bir risk kaynağıdır. Son olarak, Broadcom’un VMware Aria Operations ürünündeki yüksek riskli bir zafiyet, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından bilinen istismar edilen zafiyetler kataloguna eklenmiştir.

Saldırı Nasıl Çalışıyor?

Açıklanan zafiyet, CVE-2026-22719 (CVSS skoru: 8.1) olarak adlandırılmaktadır. Bu zafiyet, kimlik doğrulaması yapılmamış bir saldırganın sistemde rastgele komutlar çalıştırmasına izin veren bir komut enjeksiyonu açığıdır. Broadcom, bu durumun, destekli ürün göçü sırasında VMware Aria Operations’ta uzaktan kod çalıştırmaya yol açabileceğini belirtmiştir.

Etkilenen Sistemler

Bu zafiyetin etkileyeceği sistemler şunlardır:

• VMware Cloud Foundation ve VMware vSphere Foundation 9.x.x.x – 9.0.2.0 sürümünde düzeltildi
• VMware Aria Operations 8.x – 8.18.6 sürümünde düzeltildi

Ayrıca, CISA, bu zafiyetle birlikte diğer bazı zafiyetleri de listesine dahil etmiştir: CVE-2026-22720 (depolanmış XSS) ve CVE-2026-22721 (yetki yükseltme).

Çözüm ve Korunma

Müşterilerin, bu zafiyetleri gidermek için hemen yamayı uygulayabilmeleri önemlidir. Güncellemeyi zamanında yapamayan kullanıcılar için, her Aria Operations Sanal Aygıt düğümünden root olarak bir kabuk betiği indirip çalıştırmaları önerilmektedir. Bu betik, “aria-ops-rce-workaround.sh” adını taşımaktadır. Aksi takdirde, sistemlerini kullanmaya devam eden kullanıcıların bu tür zafiyetlere karşı savunmasız kalacakları önemli bir riski taşımaktadır.

Aksiyon: Ne Yapmalısınız?

Bu güvenlik açığı nedeniyle, mühendislik ekiplerinin hızlıca harekete geçmesi ve aşağıdaki adımları atması önerilmektedir:

• VMware Aria Operations ve ilgili ürünlerdeki güncellemeleri uygulayın.
• Güncelleme yapılamıyorsa, önerilen geçici çözümleri uygulayın.
• Sistem ve ağ güvenlik önlemlerini gözden geçirin.

Yalnızca güncellemeleri uygulamak, siber güvenlik konusunda alınacak tedbirlerden biridir; ayrıca sürekli izleme ve analiz de gereklidir.

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), VMware Aria Operations’ta bulunan ve CVE-2026-22719 koduyla takip edilen bir açığı, bilinen istismarlar kataloguna ekledi. Bu açık, siber saldırılarda kullanılmakta olduğu belirtilerek acil önlem alınması gerektiğine dikkat çekmektedir.

Saldırı Nasıl Çalışıyor?

CVE-2026-22719, kimlik doğrulaması yapılmamış bir saldırganın, etkilenen sistemler üzerinde keyfi komutlar çalıştırmasına olanak tanıyan bir komut enjeksiyonu açığıdır. Aşağıdaki durumlar bu açığın ortaya çıkmasına neden olabilmektedir:

• Geçersiz bir kullanıcı tarafından gerçekleştirilen işlemler.
• Uzaktan kod yürütmeye yol açabilecek kötü niyetli eylemler.
• VMware Aria Operations ürününün destekli göç işlemi sırasında istismar edilmesi.

Broadcom, bu açığın 24 Şubat 2026 tarihinde düzeltildiğini ve VMSA-2026-0001 danışmanlığı kapsamında önemli bir CVSS puanına (8.1) sahip olduğunu açıklamıştır.

Etkilenen Sistemler

CVE-2026-22719 açığı, özellikle şu sistemleri etkileyebilir:

• VMware Aria Operations sürümleri.
• Kritik altyapı ve uygulama sunucuları.
• Ağ izleme ve performans yönetimi platformları.

CISA, federal sivil kuruluşların bu açığı 24 Mart 2026 tarihine kadar gidermelerini talep etmiştir.

Çözüm ve Korunma

Broadcom, bu açığı gidermek için güvenlik düzeltmeleri sağlamıştır. Ayrıca, geçici bir çözüm olarak kullanılabilecek bir araç sunmuştur. Bu çözüm, “aria-ops-rce-workaround.sh” adlı bir shell betiğidir ve her Aria Operations aygıtında root olarak çalıştırılmalıdır.

Aşağıda betiğin işlevi belirtilmiştir:

• Göç sürecinde istismar edilebilecek bileşenleri devre dışı bırakır.
• Şu komutu içerir: NOPASSWD: /usr/lib/vmware-casa/bin/vmware-casa-workflow.sh

Yöneticilerin, VMware Aria Operations için mevcut güvenlik yamasını uygulamaları veya geçici çözümleri aceleyle hayata geçirmeleri önerilmektedir.

Sonuç ve Öneriler

VMware Aria Operations üzerindeki CVE-2026-22719 açıkları, potansiyel riskler taşıdığı için derhal ele alınmalıdır. Güvenlik yamalarını uygulamak veya geçici çözümleri hayata geçirmek, bu açığın istismar edilmesini önlemek için kritik öneme sahiptir. Organizasyonlar, bu belgeyi dikkate alarak önlemler almalı ve sistemlerini koruma altına almalıdır.

CISA, ransomware çetelerinin yüksek öneme sahip VMware ESXi “sandbox” kaçış açıklarını istismar etmeye başladığını doğruladı. Bu açıklar, daha önce sıfır-gün saldırılarında kullanılmıştı ve kritik riskler barındırıyor.

Saldırı Nasıl Çalışıyor?

Broadcom, CVE-2025-22225 koduyla bilinen bu ESXi “arbitrary-write” açığını Mart 2025’te yamanmıştı. Ayrıca şu açıklar da çözüme kavuşturuldu:

• CVE-2025-22226 – Bellek sızıntısı
• CVE-2025-22224 – TOCTOU hatası

Açıklamalara göre, VMX sürecinde yetkilere sahip bir kötü niyetli aktör, “arbitrary kernel write” tetikleyerek sandbox’tan kaçabilir. Bu üç zafiyet, VMware ESX ürünlerini etkilemektedir; bunlar arasında VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation ve Telco Cloud Platform yer alır.

Etkilenen Sistemler

Bu güvenlik açıklarının, özellikle aşağıdaki ürünleri etkilediği belirtildi:

• VMware ESXi
• VMware Fusion
• VMware Cloud Foundation
• VMware vSphere
• VMware Workstation
• VMware Telco Cloud Platform

Sonuç olarak, yetkili kullanıcılar bu açıkları kullanarak sanal makinenin sandbox’ından kaçış gerçekleştirme potansiyeline sahiptir.

Ransomware Saldırılarında Kullanımı

CISA, yaptığı güncellemelerle CVE-2025-22225 açıklarının ransomware kampanyalarında aktif olarak kullanıldığını bildirdi. Bu durum, saldırganların açıktan yararlanma konusunda ne kadar fırsat bulduklarına dair ciddi bir endişe yaratmaktadır. CISA, bu açığı Mart 2025’te “Bilinen İstismar Edilen Açıklar” (KEV) kataloguna ekledi ve federal ajansların sistemlerini 25 Mart 2025 tarihine kadar güvence altına almasını zorunlu kıldı.

Cybersecurity ajansı, “Satıcı talimatlarına göre önlemler uygulayın, bulut hizmetleri için geçerli BOD 22-01 yönergelerini takip edin veya önlemler mevcut değilse ürün kullanımını durdurun” önerisinde bulunmaktadır.

Çözüm ve Korunma

Ransomware çeteleri ve devlet destekli siber saldırı grupları, VMware açıklarını hedef almakta, zira VMware ürünleri, genellikle hassas kurumsal verilerin saklandığı sistemlerde yaygın olarak kullanılmaktadır. Önlem olarak aşağıdaki adımları izlemeniz önemlidir:

• Sistemlerinizi en son güncellemelerle yamalayın.
• Güvenlik duvarınızı ve ağ erişim kontrol ayarlarınızı gözden geçirin.
• Risk altındaki VMware ürünlerini izleyin ve gereksiz olanları devre dışı bırakmayı değerlendirin.

Sonuç olarak, bu tür güvenlik açıklarıyla karşılaşmamak için aşağıdaki adımları uygulamak kritik öneme sahiptir.

Aksiyon

Hemen aşağıdaki işlemleri gerçekleştirin:

•  CVE-2025-22225  ve diğer ilgili CVE’lere ilişkin güncellemeleri yükleyin.
• Güvenlik protokollerini gözden geçirip güncelleyin.
• İhtiyaç dışı portları kapatın ve kimlik doğrulama kontrollerini güçlendirin.

Bu adımları atarak sistemlerinizi koruma altına alabilirsiniz. Unutmayın, proaktif bir yaklaşım, siber güvenlik risklerinizi minimize etmenin en etkili yoludur.