CISA, Aktif Olarak Sömürülen 4 Kritik Açığı KEV Listesine Ekledi: Kurumlara 8 Mayıs 2026’ya Kadar Süre Verildi
CISA (U.S. Cybersecurity and Infrastructure Security Agency), aktif olarak istismar edildiği doğrulanan dört kritik güvenlik açığını Known Exploited Vulnerabilities (KEV) kataloğuna eklediğini duyurdu. Güncelleme; uzaktan erişim araçları, medya yönetim sunucuları ve ağ cihazlarını hedef alan saldırılara karşı federal kurumlara 8 Mayıs 2026 tarihine kadar süre tanıyor.
Etkilenen Sistemler ve Kritik Açıklar
CISA tarafından açıklanan dört zafiyet, farklı üreticilere ait sistemleri hedef alıyor ve saldırganlara yetki yükseltme, uzaktan komut çalıştırma ve sistem ele geçirme gibi kritik kabiliyetler sunuyor.
1. CVE-2024-57726 – SimpleHelp Yetkilendirme Açığı
CVSS: 9.9SimpleHelp uzaktan destek yazılımında bulunan bu eksik yetkilendirme açığı ile düşük yetkili bir teknisyen admin yetkisine yükselebilir. Bu durum, MSP altyapılarında tam sistem ele geçirilmesine yol açabilir.
2. CVE-2024-57728 – SimpleHelp Path Traversal
CVSS: 7.2Path traversal (dizin atlama) zafiyeti, kötü niyetli bir yöneticinin özel hazırlanmış ZIP dosyalarıyla (Zip Slip) rastgele kod çalıştırmasına olanak tanır.
3. CVE-2024-7399 – Samsung MagicINFO 9 Server
CVSS: 8.8Sistem yetkisiyle dosya yazılmasına izin veren bu açık; fidye yazılımı dağıtımı, IoT ele geçirme ve botnet altyapısı oluşturma amacıyla kullanılmaktadır.
4. CVE-2025-29635 – D-Link Router Command Injection
CVSS: 7.5DIR-823X serisi yönlendiricilerde command injection riskidir. Cihazlar "end-of-life" olduğu için güncelleme almayacaktır; kullanımının bırakılması önerilir.
Ransomware ve Botnet Bağlantısı
Raporlar, SimpleHelp açıklarının LockBit operasyonuna atfedilen fidye yazılımı saldırılarında kullanıldığını göstermektedir. Ayrıca CVE-2024-7399 Mirai botnet yayılımında, CVE-2025-29635 ise "tuxnokill" varyantı ile ilişkilendirilmiştir.