Google Cloud bünyesindeki güvenlik araştırma şirketi Mandiant, yayımladığı yeni bir raporda Cisco ürünlerini etkileyen ciddi bir güvenlik açığının (CVE-2026-20245) ifşa edilmesinden en az iki ay önce aktif olarak istismar edildiğini ortaya koydu. Söz konusu açık, Cisco Catalyst SD-WAN Controller (eski adıyla SD-WAN vSmart) ürününün komut satırı arayüzünde (CLI) yetersiz girdi doğrulamasından kaynaklanan ve CVSS puanı 7.8 olan yüksek seviyeli bir yetki yükseltme zafiyeti olarak tanımlanıyor. Bu açık, Cisco Catalyst SD-WAN Manager ve ilgili Validator ürünlerinin birçok sürümünü etkiliyor.
Etkilenen ürünler, şirket içi (on-premises), Cloud-Pro, Cloud (Cisco yönetimli) ve Government (FedRAMP) gibi tüm kurulum modellerinde güvenlik açığına sahip. Yerel ağa erişimi olan kimliği doğrulanmış bir saldırgan, sisteme özel hazırlanmış bir dosya yükleyerek bu açığı sömürebiliyor ve ardından root yetkisiyle rastgele komutlar çalıştırabiliyor. Cisco, 4 Haziran'da yaptığı açıklamada, bu açığın sınırlı sayıda vakada uç cihazlara yapılan yapılandırma değişiklikleriyle sonuçlandığını belirtti. Ancak o tarihte henüz bir yama mevcut değildi; düzeltme 10 Haziran'da yayımlanan güncellemelerle sunulmaya başlandı.
Mandiant araştırmacıları, 2026 yılının başlarında bir servis sağlayıcının SD-WAN altyapısını hedef alan bir tehdit aktörü tespit etti. 2025 sonlarından Ocak 2026'ya kadar, mağdurun SD-WAN Manager cihazlarına yetkisiz eşleme (peering) bağlantıları gözlemlendi. Araştırmacılar, bu kötü niyetli aktivitenin daha önce ifşa edilmiş olan CVE-2026-20127 veya CVE-2026-20182 açıklarının sömürülmesiyle bağlantılı olabileceğini belirtti. Bu iki kritik açık, Cisco Catalyst SD-WAN kontrolcülerindeki eşleme kimlik doğrulama mekanizmasını etkiliyor ve kimliği doğrulanmamış uzaktaki saldırganların kimlik doğrulamayı atlayarak yönetici ayrıcalıkları elde etmesine olanak tanıyor.
Gelecekte Ne Bekleniyor?
Mart 2026'da Mandiant, CVE-2026-20127'den etkilenmeyen bir yazılım sürümü çalıştıran bir cihazda yeni yetkisiz eşleme bağlantıları fark etti. Cisco ile yapılan görüşmelerde, bu bağlantıların CVE-2026-20182'yi de kullanmadığı, bunun yerine aynı cihazın önceki bir ihlalinden çalınan sertifika malzemelerini kullanabileceği belirlendi. Daha sonra, bir tehdit aktörünün SSH erişimi sağlamak için yetkisiz eşleme bağlantıları aracılığıyla ilk erişimi elde ettiği ve ardından varsayılan hesap şifrelerini manipüle ederek tespit edilmekten kaçındığı görüldü. Ayrıca, başka bir tehdit aktörünün CVE-2026-20245'i kullanarak kötü amaçlı bir CSV yüklemesi yoluyla kök düzeyinde erişim sağladığı belirlendi.
Teknik Analiz
İkinci aktör, yetkisiz erişim sağladıktan sonra kötü amaçlı dosyaları sildi, yapılandırma değişikliklerini geri aldı ve ihlal göstergelerinin temizlendiğinden emin olmak için bir doğrulama betiği çalıştırdı. Mandiant, 2025 sonu-Ocak 2026 ve Mart 2026 dönemlerindeki yetkisiz eşleme faaliyetlerinden aynı tehdit aktörünün sorumlu olup olmadığının net olmadığını belirtti. Google, bu kampanyanın 'living-off-the-edge' paradigmasını vurguladığını, yani tehdit aktörlerinin geleneksel güvenlik çevrelerini aşmak için ağ cihazlarının güvenliğini ihlal etmeye öncelik verdiğini ifade etti.
Mandiant, uç cihazları ve yazılım tanımlı ağ cihazlarını yöneten orkestratörlerin genellikle derin adli analiz için gerekli telemetriden yoksun olduğunu ve merkezi bir kontrol düzlemi olarak rollerinin, iç kurumsal trafiğe kalıcı ve geniş çaplı erişim için gizli bir platform sağladığını vurguladı. Google, devlet destekli aktörler için bu platformlardaki sıfır gün açıklarını istismar etme yeteneğinin uzun vadeli stratejik istihbarat toplama için birinci sınıf bir vektör olmaya devam ettiği sonucuna vardı. Pentest-Tools.com Baş Güvenlik Araştırmacısı Matei Badanoiu ise bu bulguların, tehdit aktörlerinin genellikle açıklar bilinmeden ve düzeltilmeden çok önce istismar ettiği gerçeğini pekiştirdiğini belirtti.
Kaynak: infosecurity-magazine.com