SolarWinds Web Help Desk’te Kritik RCE Açığı ve KEV Kataloğuna Eklenen 4 Önemli Zafiyet

Anasayfa » SolarWinds Web Help Desk’te Kritik RCE Açığı ve KEV Kataloğuna Eklenen 4 Önemli Zafiyet
Kamu Güvenliği, Siber Tehditler, Zafiyetler
Şubat 4, 2026Şubat 4, 2026Tarafından Cybernews.TR
0
SolarWinds Web Help Desk’te Kritik RCE Açığı ve KEV Kataloğuna Eklenen 4 Önemli Zafiyet

SolarWinds Web Help Desk (WHD) uygulamasında bulunan ve CVE-2025-40551 olarak tanımlanan kritik bir güvenlik açığı, CISA tarafından Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna dahil edildi. Bu zafiyet, güvenilmeyen veri serileştirme yoluyla kimlik doğrulama gerektirmeden uzaktan kod yürütülmesine (RCE) olanak tanıyor. Böylece saldırganlar, hedef sistemlerde komut çalıştırarak geniş çaplı erişim elde edebilir.

Saldırının Genel Çerçevesi

Bu RCE açığı, özellikle SolarWinds Web Help Desk 2026.1 sürümünden önceki versiyonlarda mevcut. SolarWinds, aynı zamanda CVE-2025-40536, CVE-2025-40537, CVE-2025-40552, CVE-2025-40553 ve CVE-2025-40554 gibi yüksek şiddette zafiyetler için de yamalar yayınladı. Bu zafiyetlerin çoğu, kritik BT yönetim sistemlerinde yetkisiz erişim ve kod yürütme risklerini artırıyor.

KEV Kataloğuna Eklenen Diğer Zafiyetler

KEV listesine eklenen diğer üç önemli zafiyet ise şunlar:

  • CVE-2019-19006: Sangoma FreePBX’te yetkisiz kullanıcıların parola doğrulamasını atlayarak yönetici hizmetlerine erişmesini sağlayan kimlik doğrulama açığı (CVSS: 9.8).
  • CVE-2025-64328: Aynı platformda, kimlik doğrulaması yapılmış kullanıcıların işletim sistemi komut enjeksiyonu ile asterisk kullanıcısı olarak uzaktan erişim elde etmesine olanak veren zafiyet (CVSS: 8.6).
  • CVE-2021-39935: GitLab Community ve Enterprise sürümlerinde, yetkisiz dış kullanıcıların CI Lint API üzerinden Sunucu Tarafı İstek Sahteciliği (SSRF) gerçekleştirmesine imkan veren zafiyet (CVSS: 7.5/6.8).

Saldırı Zinciri ve Teknik Detaylar

SolarWinds WHD RCE açığının istismarı genellikle şu adımları içerir:

  1. Hedef sistemde, kimlik doğrulaması gerektirmeyen veri serileştirme mekanizmasına kötü amaçlı veri gönderimi.
  2. Uzaktan kod yürütme ile sistem üzerinde komutların çalıştırılması ve kalıcı erişim sağlanması.
  3. İleri aşamalarda, ağ içi hareketlilik, veri sızıntısı veya diğer sistemlere yayılma faaliyetleri.

Bu saldırılar, özellikle kurumsal BT destek altyapılarını hedef alıyor ve saldırganların iç ağa sızmasını kolaylaştırıyor. Ayrıca, CVE-2021-39935 gibi SSRF zafiyetleri, farklı platformlarda koordineli saldırı kampanyalarında kullanılıyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • SolarWinds Web Help Desk ve Sangoma FreePBX sistemlerini en güncel yamalarla güncelleyin.
  • Kimlik doğrulama gerektirmeyen servislerin erişimlerini kısıtlayarak ağ segmentasyonu uygulayın.
  • EDR çözümlerinde CVE-2025-40551 ve ilgili zafiyetler için özel tespit kuralları oluşturun.
  • SIEM sistemlerinde anormal veri serileştirme ve şüpheli API çağrılarını izleyin.
  • Olay müdahale süreçlerinde RCE ve SSRF saldırılarına karşı tetikte olun.
  • IAM politikalarını gözden geçirerek gereksiz yetkileri kaldırın ve MFA uygulayın.
  • Güvenlik duvarı kurallarını, özellikle dışarıdan gelen kimlik doğrulamasız istekleri engelleyecek şekilde yapılandırın.
  • Loglarda, özellikle API erişim ve komut çalıştırma kayıtlarını düzenli olarak analiz edin.

Regülasyon ve Uyumluluk Boyutu

Federal Sivil Yürütme Dalları (FCEB) için Binding Operational Directive (BOD) 22-01 kapsamında, CVE-2025-40551 açığının 6 Şubat 2026’ya kadar, diğer zafiyetlerin ise 24 Şubat 2026’ya kadar kapatılması zorunlu tutuluyor. Bu tür düzenlemeler, kamu kurumlarının ve kritik altyapıların güvenlik seviyesini artırmayı hedefliyor.

Sonuç olarak, SolarWinds ve benzeri BT yönetim araçlarında ortaya çıkan bu yüksek riskli zafiyetler, kurumların siber güvenlik stratejilerini gözden geçirmeleri için önemli bir uyarı niteliğinde. Özellikle e-posta güvenliği, ağ segmentasyonu ve olay müdahale mekanizmalarının güçlendirilmesi, bu tür saldırıların etkilerini azaltmada kritik rol oynuyor.

, , , , , , ,