Ulaşım
- Adres:Batıkent Mh. 8910 Sk. 6. Etap 1H No: 18 Yeni Toki Eyyübiye / Şanlıurfa (Yeni Alım Satım Karşısı)
- Telefon:0 (545) 528 88 93
- eMail: info@alestaweb.com
Oracle, 20 Mart 2026'da rutin yama takviminin dışında acil bir güvenlik uyarısı yayınladı. CVE-2026-21992 kodlu bu açık, CVSS 9.8 skoruyla Oracle Identity Manager ve Oracle Web Services Manager'ı etkiliyor. Kimlik doğrulaması bile gerekmeden uzaktan kod çalıştırmaya (RCE) izin veren bu zafiyet, kurumsal altyapılar için ciddi bir tehdit oluşturuyor. Alesta Web olarak bu rehberde açığın teknik detaylarını, etkilenen sistemleri ve adım adım yama sürecini ele alıyoruz.
Oracle'ın 20 Mart 2026 tarihinde yayınladığı out-of-band security alert, güvenlik camiasında ciddi bir yankı uyandırdı. Normal şartlarda Oracle, güvenlik yamalarını üç ayda bir düzenlediği Critical Patch Update (CPU) döngüsüyle yayınlar. Ancak CVE-2026-21992 o kadar kritik bulundu ki, bir sonraki CPU'yu beklemek yerine acil uyarı yoluna gidildi. Bu durum tek başına açığın ciddiyetini gözler önüne seriyor.
Peki tam olarak ne ile karşı karşıyayız? CVE-2026-21992, Oracle Fusion Middleware ailesinin iki kritik bileşeninde keşfedilen bir Remote Code Execution (uzaktan kod çalıştırma) güvenlik açığı. Etkilenen bileşenler şunlar:
CVSS 3.1 skoru tam 9.8 — yani kritik seviyenin en üst noktasına yakın. Bu skor, açığın hem kolay exploit edilebilir olduğunu hem de etkisinin yıkıcı olabileceğini gösteriyor. Alesta Web ekibi olarak kurumsal müşterilerimize bu yamayı derhal uygulamalarını öneriyoruz.
⚠️ Dikkat: Bu açık, kimlik doğrulaması (authentication) gerektirmeden, yalnızca HTTP üzerinden network erişimiyle exploit edilebilir. Yani saldırganın herhangi bir kullanıcı adı veya parolaya ihtiyacı yok. Eğer Oracle Identity Manager veya OWSM instance'ınız internete açıksa, risk seviyeniz maksimum düzeyde.
Açığın CVSS vektörü şu şekilde: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Bunu biraz açalım:
Kısacası bir saldırgan, hedef sisteme HTTP isteği göndererek sunucu üzerinde istediği komutu çalıştırabilir. Veritabanı erişimi, dosya sistemi manipülasyonu, lateral movement... Hepsi masada. Alesta Web olarak yıllardır kurumsal güvenlik konusunda içerik üretiyoruz ve bu skordaki bir açığın görmezden gelinmesi kabul edilemez.
CVE-2026-21992'nin kök nedenine baktığımızda karşımıza oldukça temel bir hata çıkıyor: kritik bir fonksiyonda authentication check eksikliği. Evet, yanlış okumadınız. Kurumsal dünyada milyonlarca dolarlık sistemlerin güvenliğini sağlaması beklenen bir üründe, belirli REST endpoint'lerinde kimlik doğrulama kontrolü atlanmış.
Oracle Identity Manager'ın REST WebServices katmanında, belirli API endpoint'leri normalde yalnızca yetkili kullanıcıların erişebileceği işlevlere açılıyor. Ancak bu endpoint'lerden bazılarında authentication middleware'i devreye girmiyor. Saldırgan, bu korumasız endpoint'lere özel olarak hazırlanmış HTTP istekleri göndererek sunucu tarafında arbitrary code execution elde edebiliyor.
OWSM tarafında ise durum benzer. Web Services Security bileşeninde, gelen SOAP/REST mesajlarının güvenlik token'larını doğrulayan mekanizmada bir bypass mevcut. Bu bypass sayesinde saldırgan, güvenlik politikalarını atlayarak doğrudan backend servislerine ulaşabiliyor.
? Bilgi: Oracle Identity Manager, kurumsal kimlik yönetiminin (Identity Governance) temel taşıdır. Kullanıcı hesaplarının oluşturulması, yetkilendirilmesi ve yaşam döngüsünün yönetilmesi bu platform üzerinden yapılır. Böyle bir sistemde RCE açığı, tüm kurumsal kimlik altyapısının ele geçirilmesi anlamına gelebilir.
Exploit zincirini basitleştirirsek şöyle bir senaryo ortaya çıkıyor:
Bu noktada şunu vurgulamak gerekiyor: şu ana kadar aktif exploitation (in-the-wild exploit) raporu bulunmuyor. Ancak CVSS 9.8 skorlu, düşük karmaşıklıkta, authentication gerektirmeyen bir açığın exploit kit'lerine eklenmesi an meselesi. Alesta Web güvenlik ekibinin deneyimine göre, bu tür açıklar genellikle birkaç hafta içinde silahlandırılıyor (weaponized). Dolayısıyla vakit kaybetmeden harekete geçmek şart.
Bir de şöyle düşünün: Oracle Fusion Middleware, bankalardan telekomünikasyon şirketlerine, kamu kurumlarından sağlık sektörüne kadar geniş bir yelpazede kullanılıyor. Bu açığın potansiyel etki alanı devasa. Tek bir başarılı exploit, domino etkisiyle tüm kurumsal ağın ele geçirilmesine yol açabilir.
Oracle'ın resmi güvenlik bültenine göre etkilenen sürümler net olarak belirlenmiş durumda. Eğer aşağıdaki sürümlerden birini kullanıyorsanız, sisteminiz doğrudan risk altında:
| Ürün | Etkilenen Bileşen | Etkilenen Sürümler | CVSS Skoru |
|---|---|---|---|
| Oracle Identity Manager | REST WebServices | 12.2.1.4.0, 14.1.2.1.0 | 9.8 |
| Oracle Web Services Manager | Web Services Security | 12.2.1.4.0, 14.1.2.1.0 | 9.8 |
Bu iki sürüm, Oracle Fusion Middleware'in en yaygın kullanılan versiyonları. 12.2.1.4.0 uzun süredir production ortamlarında tercih edilen kararlı sürüm, 14.1.2.1.0 ise nispeten yeni. Yani hem eski hem yeni kurulumlar etkileniyor.
⚠️ Önemli: Oracle Fusion Middleware kullanan tüm kurumlar potansiyel olarak etkilenmektedir. OIM veya OWSM doğrudan kullanılmasa bile, Fusion Middleware stack'inin parçası olarak bu bileşenler yüklü olabilir. Alesta Web olarak, Fusion Middleware kurulumunuzun tam envanterini çıkarmanızı kesinlikle öneriyoruz.
Hangi ortamlar özellikle risk altında?
Alesta Web'in kurumsal güvenlik raporlarında sıkça vurguladığı bir nokta var: birçok kurum, hangi Oracle bileşenlerinin yüklü olduğunu tam olarak bilmiyor. Bu yüzden bir sonraki bölümde sisteminizin etkilenip etkilenmediğini kontrol etme yöntemlerini detaylı şekilde anlatacağız.
Öncelikle, Oracle Fusion Middleware kurulumunuzda hangi bileşenlerin mevcut olduğunu ve sürümlerini tespit etmeniz gerekiyor. İşte adım adım kontrol yöntemleri:
WebLogic Server ve Fusion Middleware sürümünüzü öğrenmek için aşağıdaki komutu çalıştırın:
# Linux/Unix ortamında Oracle Middleware sürüm kontrolü
cd $ORACLE_HOME
cat inventory/registry.xml | grep -i "identity\|owsm\|webservices"
# Veya opatch ile detaylı bilgi alın
$ORACLE_HOME/OPatch/opatch lsinventory | grep -i "identity manager\|web services"OIM REST endpoint'lerinin dışarıya açık olup olmadığını test edin:
# OIM REST endpoint erişilebilirlik testi
curl -s -o /dev/null -w "%{http_code}" http://OIM_HOST:14000/iam/governance/selfservice/api/v1/
# OWSM endpoint kontrolü
curl -s -o /dev/null -w "%{http_code}" http://OWSM_HOST:7001/wsm-pm/
# Sonuç 200 veya 401 dönüyorsa servis aktif demektir
# 000 veya connection refused dönüyorsa servis erişilebilir değilWebLogic Admin Console'a giriş yaparak yüklü uygulamaları kontrol edebilirsiniz:
# WebLogic Admin Console'a tarayıcıdan erişin:
# http://ADMIN_HOST:7001/console
# Deployments bölümünde şu uygulamaları arayın:
# - oracle.iam.console.identity.self-service.ear
# - oracle.iam.ui.ear
# - wsm-pm (Oracle Web Services Manager Policy Manager)
# - OWSM Agent uygulamaları# Uygulanan yamaları listeleyin
$ORACLE_HOME/OPatch/opatch lsinventory -detail | grep -i "36"
# Veya spesifik yama numarasını kontrol edin (Oracle'ın bültenindeki patch ID)
$ORACLE_HOME/OPatch/opatch lsinventory | grep "36XXX"✅ İyi Haber: Eğer yukarıdaki kontrollerde OIM veya OWSM bileşenleri kurulumunuzda yoksa, bu spesifik açıktan etkilenmiyorsunuz demektir. Ancak yine de Oracle'ın düzenli CPU yamalarını uygulamayı ihmal etmeyin.
Firewall ve load balancer loglarınızı kontrol ederek, OIM/OWSM portlarına dışarıdan gelen istekleri inceleyin:
# Firewall loglarında OIM/OWSM portlarına gelen trafiği kontrol edin
# Tipik OIM portları: 14000, 14001 (SSL)
# Tipik OWSM/WebLogic portları: 7001, 7002 (SSL)
# Linux iptables log kontrolü
grep -E "DPT=(14000|14001|7001|7002)" /var/log/messages
# Netstat ile dinlenen portları kontrol edin
netstat -tlnp | grep -E "14000|14001|7001|7002"Alesta Web güvenlik rehberlerinde her zaman söylediğimiz gibi: kontrol etmek, varsaymaktan her zaman iyidir. "Biz etkilenmiyoruzdur" demek yerine beş dakikanızı ayırıp yukarıdaki komutları çalıştırın.
Oracle, CVE-2026-21992 için out-of-band yama yayınladı. Bu yamayı uygulamak standart Oracle patching sürecini takip ediyor ama birkaç önemli farklılık var. Alesta Web olarak bu süreci deneyimlerimiz ışığında detaylı şekilde anlatıyoruz.
Yama uygulamaya başlamadan önce mutlaka şu adımları tamamlayın:
# 1. Mevcut ortamın yedeğini alın
# Oracle Home dizinini yedekleyin
tar -czf /backup/oracle_home_backup_$(date +%Y%m%d).tar.gz $ORACLE_HOME
# 2. Veritabanı yedeği (OIM schema)
expdp system/password schemas=OIM_SCHEMA directory=BACKUP_DIR dumpfile=oim_pre_patch_$(date +%Y%m%d).dmp
# 3. WebLogic domain konfigürasyonunu yedekleyin
tar -czf /backup/domain_backup_$(date +%Y%m%d).tar.gz $DOMAIN_HOME
# 4. OPatch'in güncel olduğundan emin olun (minimum 13.9.4.2.14)
$ORACLE_HOME/OPatch/opatch version⚠️ Kritik: Yama uygulamadan önce mutlaka yedek alın. OPatch'in güncel sürümünü kullandığınızdan emin olun. Eski OPatch sürümleri yeni yamaları uygulayamayabilir. OPatch güncellemesini Oracle Support'tan (My Oracle Support - MOS) indirebilirsiniz.
# My Oracle Support (MOS) üzerinden yamayı indirin
# 1. https://support.oracle.com adresine gidin
# 2. "Patches & Updates" sekmesine tıklayın
# 3. Patch arama alanına Oracle'ın bültenindeki patch numarasını girin
# 4. Platformunuza uygun yamayı indirin (Linux x86-64, Windows vb.)
# İndirilen yamayı sunucuya taşıyın
scp p36XXXXXX_122140_Generic.zip oracle@server:/tmp/patches/# Node Manager'ı durdurun
$DOMAIN_HOME/bin/stopNodeManager.sh
# Managed Server'ları durdurun (OIM, SOA vb.)
$DOMAIN_HOME/bin/stopManagedWebLogic.sh oim_server1 t3://admin_host:7001
$DOMAIN_HOME/bin/stopManagedWebLogic.sh soa_server1 t3://admin_host:7001
# Admin Server'ı durdurun
$DOMAIN_HOME/bin/stopWebLogic.sh
# Tüm Java process'lerin durduğunu doğrulayın
ps -ef | grep java | grep -i weblogic# Yama dosyasını açın
cd /tmp/patches
unzip p36XXXXXX_122140_Generic.zip
# OPatch ile yamayı uygulayın
cd $ORACLE_HOME
$ORACLE_HOME/OPatch/opatch apply /tmp/patches/36XXXXXX
# OPatch çakışma kontrolü yapacaktır
# Conflict varsa çözüm için Oracle Support ile iletişime geçin
# Conflict yoksa "y" ile onaylayın# OIM için post-patch script'ini çalıştırın (varsa)
cd $ORACLE_HOME/idm/server/setup
java -jar patchoim.jar
# Domain'i güncelleyin
cd $ORACLE_HOME/oracle_common/common/bin
./wlst.sh
# WLST içinde:
# connect('weblogic','password','t3://admin_host:7001')
# exit()# Admin Server'ı başlatın
$DOMAIN_HOME/bin/startWebLogic.sh &
# Node Manager'ı başlatın
$DOMAIN_HOME/bin/startNodeManager.sh &
# Managed Server'ları başlatın
$DOMAIN_HOME/bin/startManagedWebLogic.sh oim_server1 http://admin_host:7001
$DOMAIN_HOME/bin/startManagedWebLogic.sh soa_server1 http://admin_host:7001
# Yamanın başarıyla uygulandığını doğrulayın
$ORACLE_HOME/OPatch/opatch lsinventory | grep "36"
# OIM health check
curl -s http://OIM_HOST:14000/iam/governance/selfservice/api/v1/health✅ Başarılı: Eğer opatch lsinventory çıktısında yama numarasını görüyorsanız ve servisler sorunsuz başladıysa, yama başarıyla uygulanmış demektir. OIM ve OWSM fonksiyonlarını test ederek her şeyin düzgün çalıştığından emin olun.
Alesta Web olarak özellikle vurgulamak istediğimiz bir nokta: yama uyguladıktan sonra mutlaka fonksiyonel testlerinizi çalıştırın. Kullanıcı oluşturma, yetkilendirme, parola sıfırlama gibi temel OIM operasyonlarını test edin. OWSM tarafında ise web servis politikalarının düzgün çalıştığını doğrulayın.
Bazı durumlarda yamayı hemen uygulamak mümkün olmayabilir. Değişiklik yönetimi süreçleri, test gereksinimleri veya bakım penceresi kısıtlamaları nedeniyle birkaç gün beklemeniz gerekebilir. Bu süre zarfında riski minimize etmek için aşağıdaki geçici önlemleri uygulayabilirsiniz.
Ama önce şunu net olarak belirtelim: bu önlemler yamayı uygulamanın yerini tutmaz. Bunlar sadece zaman kazanmak içindir.
# OIM REST endpoint'lerine erişimi sadece güvenilir IP'lerle sınırlayın
# iptables örneği:
iptables -A INPUT -p tcp --dport 14000 -s TRUSTED_IP_RANGE -j ACCEPT
iptables -A INPUT -p tcp --dport 14000 -j DROP
# OWSM portlarını kısıtlayın
iptables -A INPUT -p tcp --dport 7001 -s TRUSTED_IP_RANGE -j ACCEPT
iptables -A INPUT -p tcp --dport 7001 -j DROP
# Kuralları kaydedin
iptables-save > /etc/iptables/rules.v4# Eğer bir WAF kullanıyorsanız (F5, Cloudflare, AWS WAF vb.)
# OIM REST API path'lerine gelen şüpheli istekleri engelleyin
# Örnek: ModSecurity kuralı
SecRule REQUEST_URI "@contains /iam/governance/selfservice/api" \
"id:900001,phase:1,deny,status:403,\
msg:'CVE-2026-21992 mitigation - OIM REST API blocked'"
# OWSM policy manager erişimini kısıtlayın
SecRule REQUEST_URI "@contains /wsm-pm/" \
"id:900002,phase:1,deny,status:403,\
msg:'CVE-2026-21992 mitigation - OWSM PM blocked'"Oracle HTTP Server (OHS) veya Apache/Nginx reverse proxy kullanıyorsanız, etkilenen endpoint'leri geçici olarak kapatabilirsiniz:
# Apache/OHS konfigürasyonu
<Location /iam/governance/selfservice/api>
Require ip 10.0.0.0/8
Require ip 172.16.0.0/12
</Location>
<Location /wsm-pm>
Require ip 10.0.0.0/8
Require ip 172.16.0.0/12
</Location># Access loglarında şüpheli istekleri izleyin
# OIM access log monitoring
tail -f $DOMAIN_HOME/servers/oim_server1/logs/access.log | \
grep -i "selfservice/api\|wsm-pm" --color=always
# Başarısız authentication denemelerini izleyin
grep -c "401\|403" $DOMAIN_HOME/servers/oim_server1/logs/access.log? İpucu: SIEM sisteminize (Splunk, QRadar, ELK vb.) özel bir kural ekleyerek OIM/OWSM endpoint'lerine gelen anormal trafik için alarm oluşturun. Özellikle bilinmeyen IP adreslerinden gelen ve yüksek frekanslı isteklere dikkat edin. Alesta Web kurumsal güvenlik yazılarında SIEM entegrasyonunu her zaman öneriyoruz.
Tekrar hatırlatıyoruz: bu geçici önlemler yamayı uygulayana kadar sizi koruması için tasarlanmıştır. Mümkün olan en kısa sürede resmi yamayı uygulayın. Out-of-band alert yayınlanmış bir açık için "bekle gör" yaklaşımı son derece tehlikelidir.
S: Bu açık şu anda aktif olarak exploit ediliyor mu?
C: Oracle'ın resmi açıklamasına göre şu ana kadar in-the-wild exploitation raporu bulunmuyor. Ancak açığın düşük karmaşıklığı ve yüksek CVSS skoru göz önüne alındığında, exploit geliştirme süresi çok kısa olabilir. Alesta Web güvenlik analistleri, bu tür açıkların genellikle bülten yayınlandıktan sonra 1-2 hafta içinde silahlandırıldığını gözlemliyor.
S: Sadece iç ağda kullanıyorsak yine de risk var mı?
C: Evet, ancak risk seviyesi daha düşük. Bir saldırganın önce iç ağınıza erişim sağlaması gerekir. Bununla birlikte, iç tehditler (insider threats) ve lateral movement senaryolarında bu açık hala kullanılabilir. Yama uygulamanızı öneririz.
S: Oracle Cloud Infrastructure (OCI) üzerindeki yönetilen servisleri (managed services) etkiliyor mu?
C: Oracle'ın yönetilen bulut servisleri (Oracle Identity Cloud Service gibi) için Oracle kendi altyapısına yamayı uygular. Ancak OCI üzerinde kendinizin yönettiği (self-managed) VM'lerde çalışan OIM/OWSM kurulumları etkilenir ve yamayı siz uygulamalısınız.
S: OPatch conflict hatası alıyorum, ne yapmalıyım?
C: OPatch conflict genellikle daha önce uygulanmış bir yamayla çakışma olduğunu gösterir. opatch lsinventory ile mevcut yamaları listeleyin ve Oracle Support'a (MOS) SR açarak conflict çözümü için yardım isteyin. Merge patch gerekebilir.
S: Sürüm 12.2.1.3.0 veya daha eski sürümler etkileniyor mu?
C: Oracle'ın bülteninde sadece 12.2.1.4.0 ve 14.1.2.1.0 sürümleri listelenmiş. Ancak eski sürümler zaten end-of-life olduğu için güvenlik yaması almıyor. Eski sürüm kullanıyorsanız, hem bu açıktan hem de diğer bilinen açıklardan korunmak için sürüm yükseltmesi yapmanız gerekiyor.
S: Yama uygulama süresi ne kadar?
C: Ortam büyüklüğüne bağlı olarak değişir, ama genel olarak tek node'lu bir kurulumda backup dahil 2-4 saat arasında tamamlanabilir. Cluster ortamlarda rolling patch mümkünse downtime minimumda tutulabilir. Alesta Web olarak production ortamlarında her zaman önce staging/test ortamında denemenizi öneriyoruz.
CVE-2026-21992, 2026 yılının en kritik Oracle güvenlik açıklarından biri olarak tarihe geçecek gibi görünüyor. CVSS 9.8 skoru, unauthenticated RCE imkanı ve düşük exploit karmaşıklığı — bu üçlü bir araya geldiğinde ortaya çıkan tablo hiç iç açıcı değil.
Oracle'ın normal CPU döngüsü dışında out-of-band alert yayınlaması, bu açığın ne kadar ciddiye alındığının en somut göstergesi. Alesta Web olarak tüm Oracle Fusion Middleware kullanan kurumlara şu önerilerde bulunuyoruz:
Güvenlik konusunda proaktif olmak, reaktif olmaktan her zaman daha ucuz ve daha az acılıdır. Bir breach yaşandıktan sonra toparlanma maliyeti, yama uygulamanın maliyetiyle kıyaslanamaz bile. Alesta Web ekibi olarak kurumsal güvenliğinizi ciddiye almanızı ve bu yamayı en kısa sürede uygulamanızı bir kez daha hatırlatıyoruz.
Başka güvenlik konularında da güncel kalmak istiyorsanız, alestaweb.com üzerinden bizi takip edebilirsiniz. Güvenli kalın!
© 2025 AlestaWeb - Tüm hakları saklıdır.
