Google'ın siber güvenlik birimi Mandiant, Cisco'nun SD-WAN yönetim platformunda keşfettiği yüksek önemdeki bir güvenlik açığının (CVE-2026-20245) resmi duyurudan en az iki ay önce aktif olarak istismar edildiğini tespit etti. 24 Haziran'da yayımlanan raporda, saldırganların bu açığı kullanarak sistemlere root yetkisiyle eriştiği ve çeşitli kötü amaçlı işlemler gerçekleştirdiği belirtildi.
CVE-2026-20245 olarak izlenen güvenlik açığı, Cisco Catalyst SD-WAN Controller (eski adıyla SD-WAN vSmart) ürününün komut satırı arayüzünde (CLI) yetersiz girdi doğrulamasından kaynaklanıyor. CVSS puanı 7.8 olan bu ayrıcalık yükseltme açığı, kimliği doğrulanmış yerel saldırganların sisteme özel hazırlanmış bir dosya yüklemesiyle root seviyesinde komut çalıştırmasına olanak tanıyor. Açık, Catalyst SD-WAN Manager, Validator ve ilgili tüm dağıtım modellerini (yerinde, Cloud-Pro, Cloud-Cisco Managed, Government-FedRAMP) etkiliyor.
Cisco, açığı 4 Haziran'da kamuoyuna duyurdu ancak o tarihte henüz bir yama mevcut değildi. Şirket, 10 Haziran'dan itibaren Catalyst SD-WAN Manager için güncellemeler yayınlamaya başladı. Duyuru sırasında Cisco, bu açığın sınırlı sayıda vakada uç cihazlarda yapılandırma değişikliğine yol açtığını belirtmişti. Ancak Mandiant'ın bulguları, istismarın çok daha erken başladığını gösteriyor.
Mandiant raporuna göre, 2025 sonlarından Ocak 2026'ya kadar bir hizmet sağlayıcının SD-WAN altyapısını hedef alan bir tehdit aktörü tespit edildi. Bu dönemde, CVE-2026-20127 ve CVE-2026-20182 gibi kritik açıkların da henüz yamalanmamış olması, saldırganların bu açıkları kullanmış olabileceğini düşündürüyor. Mart 2026'da ise farklı bir olayda, saldırganların CVE-2026-20245'i kullanarak root erişimi elde ettiği ve ardından izlerini silmek için kötü amaçlı dosyaları temizlediği, yapılandırma değişikliklerini geri aldığı ve bir doğrulama betiği çalıştırdığı belirtiliyor.
Uzmanların Görüşleri
Google, bu kampanyayı 'living-off-the-edge' (ağ uç cihazlarını hedef alma) paradigmasının bir örneği olarak nitelendiriyor. Saldırganlar, geleneksel güvenlik duvarlarını aşmak için ağ yönetim cihazlarını hedef alıyor. Mandiant, SD-WAN gibi yazılım tanımlı ağ cihazlarının yeterli telemetriye sahip olmadığını ve bu durumun saldırganlara kalıcı erişim sağlama fırsatı verdiğini vurguluyor.
Nasıl Önlem Alınmalı?
Pentest-Tools.com Baş Güvenlik Araştırmacısı Matei Badanoiu, bu bulguların tehdit aktörlerinin güvenlik açıklarını keşfedilmeden ve yamalanmadan çok önce istismar ettiğini bir kez daha gösterdiğini belirtiyor. Badanoiu'ya göre, bu açık için savunma ekiplerinin hiçbir bilgisi yokken saldırganlar en az iki ay boyunca açıktan faydalandı. Bu durum, kurumların yama yönetimi süreçlerini hızlandırması ve ağ cihazlarını sürekli izlemesi gerektiğini ortaya koyuyor.
Kaynak: infosecurity-magazine.com