SolarWinds, Ivanti ve Workspace One’da 3 Kritik Güvenlik Açığı Aktif Sömürüde

Anasayfa » SolarWinds, Ivanti ve Workspace One’da 3 Kritik Güvenlik Açığı Aktif Sömürüde
APT, Fidye Yazılımı, Zafiyetler
Mart 15, 2026Mart 15, 2026Tarafından Cybernews.TR
0
SolarWinds, Ivanti ve Workspace One’da 3 Kritik Güvenlik Açığı Aktif Sömürüde

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), SolarWinds, Ivanti ve Workspace One ürünlerinde tespit edilen üç kritik güvenlik açığını Bilinen Sömürülen Güvenlik Açıkları (KEV) listesine ekledi. Bu zafiyetlerin aktif olarak kötü niyetli saldırganlar tarafından kullanıldığına dair güçlü kanıtlar bulunuyor.

Hangi Sistemler Risk Altında?

Risk taşıyan açıklardan ilki, CVE-2021-22054, Workspace One UEM (eski adıyla VMware Workspace One UEM) platformunda sunucu tarafı istek sahteciliği (SSRF) açığıdır. Bu zafiyet, ağa erişimi olan saldırganların kimlik doğrulaması olmadan hassas sistem istekleri yapmasına ve kritik bilgilere ulaşmasına olanak tanıyor.

İkinci ve en kritik açılardan biri CVE-2025-26399, SolarWinds Web Help Desk’in AjaxProxy bileşeninde yer alan güvensiz veri serileştirme zafiyetidir. CVSS puanı 9.8 olan bu açıklık, saldırganların hedef sistemde uzaktan komut çalıştırmasına izin veriyor. Yapılan analizlerde, bu açığın Warlock fidye yazılımı grubunun ilk erişim sağlamak için kullandığı tespit edildi.

Üçüncü zafiyet ise CVE-2026-1603, Ivanti Endpoint Manager’da kimlik doğrulama atlatma açığıdır. Alternatif yol veya kanal kullanılarak gerçekleştirilen bu saldırı, uzaktan yetkisiz erişimle belirli saklı kimlik bilgilerinin sızdırılmasına yol açabilir. Henüz bu açığın doğada nasıl kullanıldığına dair detaylar sınırlı olsa da, aktif sömürü girişimlerinin 103.69.224[.]98 IP adresinden kaynaklandığı bildirildi.

Saldırı Zinciri ve Teknik Detaylar

SolarWinds zafiyetinde, saldırganlar AjaxProxy bileşenindeki serileştirme hatasını kullanarak kötü amaçlı payload’lar enjekte ediyor. Bu, hedef sistemde komut çalıştırmaya ve kalıcı erişim sağlamaya olanak tanıyor. Warlock grubunun bu yöntemi kullanması, fidye yazılımı saldırılarında ilk erişim aşamasının bu açıklık üzerinden gerçekleştiğini gösteriyor.

Workspace One’daki SSRF açığı ise, genellikle hedef sistemdeki dahili ağ kaynaklarına erişim sağlamak için kullanılıyor. Bu tür zafiyetler, özellikle bulut güvenliği ve ağ segmentasyonu önlemleri zayıf olan ortamlarda ciddi veri sızıntılarına yol açabilir.

Ivanti Endpoint Manager açığında ise, kimlik doğrulama mekanizmasındaki zayıflık, saldırganların alternatif yollarla sisteme sızmasını mümkün kılıyor. Bu durum, IAM (Identity and Access Management) sistemlerinin güçlendirilmesini ve çok faktörlü kimlik doğrulamanın (MFA) önemini bir kez daha ortaya koyuyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • SolarWinds Web Help Desk için yayımlanan yamaları 12 Mart 2026 tarihine kadar mutlaka uygulayın.
  • Workspace One UEM ve Ivanti Endpoint Manager açıkları için 23 Mart 2026’ya kadar güncellemeleri tamamlayın.
  • EDR ve SIEM sistemlerinde bu CVE’lere yönelik anormal davranışları izlemek için özel kurallar oluşturun.
  • Sunucu tarafı istek sahteciliği (SSRF) ve serileştirme zafiyetlerine karşı ağ segmentasyonu ve erişim kontrollerini sıkılaştırın.
  • Kimlik doğrulama atlatma riskine karşı IAM politikalarını gözden geçirin ve MFA uygulamasını zorunlu kılın.
  • Olay müdahale (incident response) süreçlerinizi bu tür zafiyetlere yönelik senaryolarla güncelleyin.
  • Log yönetimi kapsamında, özellikle AjaxProxy bileşenine yönelik istekleri detaylı kaydedin ve analiz edin.
  • Fidye yazılımı saldırılarına karşı düzenli yedekleme ve test prosedürlerini uygulayın.

Regülasyon ve Uyumluluk Boyutu

Federal Sivil Yürütme Şubesi (FCEB), bu kritik açıklara karşı acil müdahale ve yama uygulama zorunluluğu getirdi. Bu tür düzenlemeler, kamu kurumları ve kritik altyapılar için güvenlik standartlarının yükseltilmesini hedefliyor. Kurumsal ortamlar için de benzer uyumluluk gereksinimlerinin takip edilmesi, risk yönetimi açısından önem taşıyor.

Teknik Özet

  • Kullanılan zafiyetler: CVE-2021-22054 (SSRF), CVE-2025-26399 (güvensiz veri serileştirme), CVE-2026-1603 (kimlik doğrulama atlatma).
  • Hedef sektörler: Kamu kurumları, kurumsal BT altyapıları, bulut yönetim platformları.
  • Saldırı zinciri: İlk erişim (SolarWinds zafiyeti) → Komut çalıştırma → Kalıcı erişim ve veri sızıntısı.
  • Önerilen savunma: Acil yamaların uygulanması, MFA, ağ segmentasyonu, EDR ve SIEM entegrasyonları.

Bu gelişmeler, e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu gibi alanlarda alınacak önlemlerin önemini bir kez daha ortaya koyuyor. Özellikle fidye yazılımı tehditlerine karşı çok katmanlı savunma stratejileri geliştirmek kritik.

, , , , , , , , ,