Google'a bağlı güvenlik araştırma şirketi Mandiant, Cisco Catalyst SD-WAN Manager ürününde keşfedilen kritik bir güvenlik açığının (CVE-2026-20245) resmi olarak duyurulmasından en az iki ay önce aktif olarak sömürüldüğünü ortaya çıkardı. Yeni yayınlanan raporda, tehdit aktörlerinin bu açığı kullanarak sistemlere root seviyesinde erişim sağladığı ve hedef ağlarda uzun süreli gizli operasyonlar yürüttüğü belirtiliyor.
CVE-2026-20245 koduyla takip edilen güvenlik açığı, Cisco Catalyst SD-WAN Controller (eski adıyla SD-WAN vSmart) ürünlerinde komut satırı arayüzüne (CLI) sağlanan kullanıcı girdilerinin yetersiz doğrulanmasından kaynaklanıyor. CVSS puanı 7,8 olan bu yüksek önem dereceli açık, kimliği doğrulanmış yerel saldırganların sisteme özel hazırlanmış bir CSV dosyası yüklemesiyle root yetkisiyle rastgele komut çalıştırmasına olanak tanıyor. Açık, Catalyst SD-WAN Manager'in hem şirket içi hem de bulut tabanlı tüm sürümlerini etkiliyor.
Cisco, 4 Haziran'da yaptığı resmi açıklamada, bu açığın sınırlı sayıda vakada uç cihazlarda yapılandırma değişikliklerine yol açtığını bildirmiş ancak o tarihte henüz bir yama yayınlamamıştı. Şirket, 10 Haziran itibarıyla Catalyst SD-WAN Manager güncellemelerini dağıtmaya başladı. Ancak Mandiant araştırmacıları, bu açığın Mart 2026'da bir servis sağlayıcıya ait SD-WAN altyapısında aktif olarak kullanıldığını tespit etti.
Sonuç ve Değerlendirme
Raporda ayrıca, 2025 sonlarından Ocak 2026'ya kadar süren bir önceki saldırı dalgasında, CVE-2026-20127 ve CVE-2026-20182 kodlu diğer iki kritik açığın sömürüldüğü belirtiliyor. Bu açıklar, SD-WAN kontrolcülerindeki eşleme (peering) kimlik doğrulama mekanizmasını atlatarak kimliği doğrulanmamış uzaktan saldırganlara yönetici yetkisi veriyor. Mandiant, Mart 2026'da farklı bir tehdit aktörünün, daha önce ele geçirilen bir cihazdan çalınan sertifika materyaliyle yetkisiz eşleme bağlantıları kurduğunu ve ardından SSH erişimi sağlayarak varsayılan hesap şifrelerini değiştirdiğini ortaya çıkardı.
Mandiant, tehdit aktörlerinin sömürü sonrası faaliyetlerini gizlemek için dosyaları sildiğini, yapılandırma değişikliklerini geri aldığını ve bir doğrulama betiği çalıştırdığını tespit etti. Google, bu kampanyanın 'living-off-the-edge' paradigmasını vurguladığını belirterek, tehdit aktörlerinin geleneksel güvenlik çevrelerini aşmak için ağ cihazlarını hedef aldığını ifade etti. Ayrıca, SD-WAN gibi yazılım tanımlı ağ cihazlarının yöneticilerinin genellikle derin adli analiz için gerekli telemetri verilerine sahip olmadığı, bu durumun da saldırganlara kalıcı ve geniş çaplı erişim için gizli bir platform sağladığı vurgulandı.
Güvenlik uzmanları, bu olayın tehdit aktörlerinin güvenlik açıklarını keşfedilip yamalanmadan çok önce sömürdüğü gerçeğini bir kez daha ortaya koyduğunu belirtiyor. Pentest-Tools.com'dan Matei Badanoiu, 'Cisco ve yukarıdaki CVE örneğinde, açık yama ve danışmanlık yayınlanmadan en az iki ay önce kullanılıyordu. Bu süre zarfında saldırganlar açık hakkında çalışma bilgisine sahipken savunmacılar hiçbir şey bilmiyordu' dedi. Kullanıcıların, Cisco Catalyst SD-WAN ürünlerini en son sürüme güncellemeleri ve ağ cihazlarına yönelik yetkisiz erişim girişimlerini dikkatle izlemeleri öneriliyor.
Kaynak: infosecurity-magazine.com