Kurumsal güvenlikte bazen olaylar yavaş yavaş tırmanmaz. Bir anda patlak verir. CISA’nın Ivanti Endpoint Manager Mobile (EPMM) için verdiği son uyarı da tam olarak öyle bir tablo çiziyor — ABD federal kurumlarına, saldırılarda aktif olarak sömürülen hayati açığı pazar gününe kadar kapatmaları söylendi. Kulağa sert geliyor, evet. Ama işin aslı şu ki, bu tip açıklamalar genelde “artık oyalanacak vakit yok” demenin bürokratik hali oluyor, başka bir şey değil.
Geçen yıl Nisan ayında Ankara’da bir kurumsal güvenlik ekibiyle yaptığım görüşmede benzer bir telaşa bizzat tanık olmuştum: sıfır gün değil belki ama yaygın kullanılan bir yönetim aracında açık çıkınca herkes aynı soruyu sormaya başlamıştı, “Önce neyi durduracağız?” Tam o andaki o his — bir şeylerin kayıyor olduğu ama neyin kaydığını tam bilememek — bu yazıda anlatmaya çalışacağım şeyin özünde zaten yatıyor. Ivanti EPMM açığı neden bu kadar ciddiye alındı, kimler risk altında ve ekipler hafta sonuna kalmadan gerçekten ne yapmalı?
Neden bu açık herkesi gerdi?
Bi saniye — Ivanti EPMM, mobil cihaz yönetimi tarafında kurumların çok başvurduğu bir ürün. Hani telefonları, tabletleri, politikaları tek yerden yönetmek için kullandığınız şey işte. O merkezî yapı hedef olunca mesele büyüyor. Ciddi biçimde büyüyor. Açığın hayati sayılmasının sebebi sadece teknik bir detay meselesi değil; saldırganın buradan içeri sızması halinde elde edebileceği yetki ve hareket alanı başlı başına bir problem.
Şimdi gelelim işin can alıcı noktasına.
CISA’nın bu kadar kısa bir takvim vermesi de boşuna değil tabi. Normalde yamalar için “makul süre” konuşulur, müzakere edilir, onay zinciri döner fakat burada saldırının ocaktan beri sürdüğü söyleniyor — yani açık yeni çıkmış gibi davranmak biraz safdillik olurdu açıkçası (ki bu çoğu kişinin gözünden kaçıyor). Saldırganlar epey süredir bunu deniyor olabilir. Federal kurumlar gibi büyük yapılarda geciken her saat, ekiplerin işini üstel bir hızla zorlaştırıyor.
Ben 2023 sonbaharında İstanbul’daki küçük bir SaaS şirketinde buna çok benzeyen bir senaryo görmüştüm. Üretim ortamındaki tek bir yönetim paneli güncellenmeyince ekip iki gün boyunca log kovalamıştı; sorun çözüldü mü, evet çözüldü, ama o iki gün boyunca herkesin yüzü asıktı çünkü küçük görünen bir kontrol paneli bazen koca sistemin arka kapısı oluyor. Bunu ancak iş işten geçince fark ediyorsunuz.
CISA ne dedi, neden bu kadar acele etti?
İnanın, CISA’nın yaklaşımı aslında net. “Bu açık aktif sömürülüyor ve federaller bekleyemez.” Burada kritik nokta şu: yalnızca teorik riskten söz etmiyoruz. Saldırıların sahada görülmesi, yamanın ertelenmesini lüks olmaktan çıkarıyor — bu kadar basit.
Size bir şey söyleyeyim, İşin pratik tarafında kurumlara verilen mesaj da gayet basit: sürümü kontrol et, etkilenen bileşeni bul, yamayı uygula, dışarıya açık yüzeyleri daralt. Bakın şimdi… bu dört adım kulağa sıradan geliyor. Sıradan. Ama büyük yapılarda sıradan olan şeylerin uygulanması tam da en zor şeydir çünkü onay zinciri uzar, test ortamı eksik kalır, değişiklik penceresi beklenir ve zaman akar gider — kimse kötü niyet etmeden, sistem kendiliğinden felç olur.
Kurumlar şimdi ne yapmalı?
Sihirli değnek yok. Yok işte. Önce hangi cihazların Ivanti EPMM kullandığını netleştirmek gerekiyor; sonra etkilenen sürümler belirlenmeli, yama planı çıkarılmalı. Eğer sisteminiz internetten erişilebiliyorsa risk daha da katlanıyor — bunu söylemek bile biraz acı aslında. 2025’te hâlâ doğrudan internete açık yönetim panelleri görüyoruz. Bir de şu var: sadece yamayı yüklemek yetmez, log incelemesi de şart. Daha fazla bilgi için CarPlay’deki Apple Music Sürprizi: iOS 26’da Neler Değişti? yazımıza bakabilirsiniz.
Peki neden?
Kendi test laboratuvarımda benzer ürünleri denerken hep aynı noktada takılıyorum: kullanıcı arayüzünde her şey yolunda görünürken arkada servisler eski sürümde kalabiliyor (buna dikkat edin). Görünürde “güncellendi” yazıyor, gerçekte eski binary çalışıyor. Bu yüzden ekiplerin sadece “update geçti mi?” diye bakması yetmez; servislerin gerçekten yeni binary ile ayağa kalktığını da doğrulaması gerekiyor, yoksa güncelleme yapmamışsınızdan farkı olmaz.
| Adım | Ne yapılacak? | Neden önemli? |
|---|---|---|
| Envanter | EPMM kullanan sunucuları bulun | Etkilenen yüzeyi bilmeden ilerleyemezsiniz |
| Sürüm kontrolü | Paket/sürüm numarasını doğrulayın | Açığın sizde olup olmadığını netleştirir |
| Yama uygulama | Üretim öncesi test edip planlı geçiş yapın | Acele geçişler yeni sorun doğurabilir |
| Sömürü analizi | Loglarda anomali arayın | Sessiz sızıntıları yakalamaya yardım eder |
| Tavsiyem: Değişiklik kaydı açmadan önce geri dönüş planını hazırlayın; gece yarısı yama atıp sabah sorun yaşarsanız herkes birbirine bakar… gördüm bunu. | ||
Açık konuşayım: en büyük hayal kırıklığı çoğu zaman teknolojinin kendisi değil, operasyonel rehavet oluyor. Güvenlik ekibi alarm veriyor ama sistem sahibi “sonra bakarız” diyorsa işler sarpa sarıyor. Kurumsal tarafta bunun bedeli yüksek; küçük startup’ta kesinti belki birkaç müşteriyi etkilerken enterprise seviyede domino etkisi yaratabilir —. O domino bir kez devrilince durdurmak giderek imkânsızlaşır.
Küçük şirket ile büyük kurum arasında fark ne?
Küçük bir startup’ta genelde karar hızlı alınır. Eksik varsa gece bile patch geçilir. Insan sayısı azdır, herkes birbirini tanır, “ben söyledim sen duymadın” diye sürüncemede kalan toplantılar olmaz. Ama bütçe sınırlıdır, — itiraz edebilirsiniz tabi — test ortamı zayıftır ve bazen üretim ile staging neredeyse aynı makinedir… işte tam orası tehlikeli bölge. Memento-Skills: Yapay Zekâ Kendi Becerisini Yazarsa Ne Olur? yazımızda bu konuya da değinmiştik. Los Angeles’ta Sürücüsüz Mikrobuslar: Volkswagen’in Sessiz Hamlesi yazımızda bu konuya da değinmiştik. Xiaomi 18 Pro Sızdı: Leica Kamerada Oyun Değişiyor yazımızda da bu konuya değinmiştik. Day One’ın Yeni Gold Planı: Yapay Zekâ Günlük Tutmayı Değiştiriyor yazımızda da bu konuya değinmiştik.
Küçük ekipler için gerçekçi tablo
Eğer üç-beş kişilik bir IT ekibiniz varsa önce görünürlük kurun derim (ciddiyim). Kaba olacak ama gerçek bu: envanter yoksa güvenlik de yok sayılır. Loglama etkin mi? Yedek alınıyor mu? Geri dönüş planı var mı? Bunlar tamamlanmadan yama atmak bazen kör uçuş oluyor — nereye indiğinizi göremezsiniz.
Büyük kurumlarda durum neden daha ağır?
İlginç olan şu ki, Büyük yapılarda problem teknikten çok koordinasyon oluyor çoğu kez. Her departman ayrı konuşur, change board ayrı düşünür, güvenlik ekibi aciliyet isterken operasyon ekibi pencere bekler. Tam burada CISA’nın kısa süre vermesi anlam kazanıyor çünkü dış baskı olmadan süreç uzayıveriyor. Maalesef.
“Patch Tuesday” alışkanlığı güzel şeydir ama aktif sömürü varsa takvimin romantizmi biter; önce sistemi korursunuz, sonra prosedürü tartışırsınız.
Daha geniş ders ne?
Bu olay bana hep aynı şeyi hatırlatıyor. Güvenlik ürünlerini bile güvenli tutmak zorundasınız. Yönetim araçları çoğu zaman ağın ortasında oturur, erişimleri geniştir; elma kutusunun içindeki anahtar gibidirler diyelim — yanlış kişinin eline geçerse tüm kasa açılır, tek tek anahtarların önemi kalmaz (ilk duyduğumda inanamadım)
Ha bu arada, linke tıklayan son kullanıcıyı suçlamak kolaydır. Çok kolaydır. Ama kurumsal dünyada asıl mesele görünmez altyapıdır; insanlar VPN’i konuşur, firewall’ı konuşur fakat MDM/MAM/endpoint yönetim katmanlarını çoğu zaman gözden kaçırır. Oysa saldırgan için en tatlı lokma tam da buralardır — kimsenin bakmadığı yer, kimsenin sormadığı soru.
Sıkça Sorulan Sorular
CISA neden Ivanti EPMM için kısa süre verdi?Eh, Açığın aktif olarak sömürüldüğü görüldüğü için CISA beklemeyi uygun bulmadı. Böyle durumlarda klasik bakım takvimi ikinci plana düşer.
Ivanti EPMM açığı kimleri etkiliyor?Mobil cihaz yönetimi için Ivanti EPMM kullanan kurumlar risk altında olabilir. Bilhassa internete açık kurulumlarda risk daha yüksektir.
Sadece yamayı yüklemek yeterli mi?Genelde hayır. Yamanın ardından log incelemek, şüpheli erişimleri kontrol etmek servislerin doğru sürümde çalıştığını doğrulamak gerekir.
Küçük şirketler de bu açıktan etkilenir mi?Evet, hatta bazen daha fazla etkilenebilirler çünkü kaynakları sınırlıdır. Envanter ve izleme zayıfsa saldırıyı fark etmek gecikebilir.
Kaynaklar ve İleri OkumaCISA Resmi Sitesi
Sadece yamayı yüklemek yeterli mi?Genelde hayır. Yamanın ardından log incelemek, şüpheli erişimleri kontrol etmek servislerin doğru sürümde çalıştığını doğrulamak gerekir.
Küçük şirketler de bu açıktan etkilenir mi?Evet, hatta bazen daha fazla etkilenebilirler çünkü kaynakları sınırlıdır. Envanter ve izleme zayıfsa saldırıyı fark etmek gecikebilir.
Kaynaklar ve İleri OkumaCISA Resmi Sitesi
Kaynaklar ve İleri OkumaCISA Resmi Sitesi
Hani, Ivanti Resmi Sitesi ve Güvenlik Duyuruları
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
