Cisco Güvenlik Açığı: Google Uyardı, Açık Duyurudan Aylar Önce İstismar Edildi Siber Güvenlik

Cisco Güvenlik Açığı: Google Uyardı, Açık Duyurudan Aylar Önce İstismar Edildi

Google Mandiant raporuna göre, Cisco ürünlerindeki kritik bir güvenlik açığı (CVE-2026-20245) ifşasından en az iki ay önce istismar edildi.

Google Cloud bünyesindeki Mandiant güvenlik araştırmacıları, Cisco Catalyst SD-WAN Manager ürününde bulunan ve CVE-2026-20245 olarak izlenen yüksek önem dereceli bir güvenlik açığının, Cisco tarafından ifşa edilmesinden en az iki ay önce aktif olarak istismar edildiğini ortaya çıkardı. CVSS puanı 7.8 olan bu ayrıcalık yükseltme zafiyeti, komut satırı arayüzünde (CLI) kullanıcı girdilerinin yetersiz doğrulanmasından kaynaklanıyor. Saldırganlar, sistemde geçerli bir kullanıcı hesabına sahip olarak, özel hazırlanmış bir CSV dosyası yükleyip root yetkisiyle keyfi komut çalıştırabiliyor.

Cisco, 4 Haziran 2026'da yaptığı resmi duyuruda, bu güvenlik açığının sınırlı sayıda vakada uç cihazlarda yapılandırma değişikliğine yol açacak şekilde istismar edildiğini belirtmişti. Ancak duyuru anında herhangi bir yama mevcut değildi. Şirket, 10 Haziran'dan itibaren Catalyst SD-WAN Manager için güncellemeler yayınlamaya başladı. Bu durum, güvenlik açıklarının keşfedilmesi ile yamalanması arasında geçen sürede saldırganların harekete geçebildiğini bir kez daha gösteriyor.

Mandiant'ın 24 Haziran'da yayınladığı rapora göre, bir tehdit aktörü 2025'in sonlarından 2026 Ocak ayına kadar bir servis sağlayıcının SD-WAN altyapısını hedef aldı. Araştırmacılar, bu dönemde mağdurun SD-WAN Manager cihazlarına yetkisiz eşleme (peering) bağlantıları tespit etti. Bu etkinliğin, o dönemde henüz açıklanmamış ve yaması bulunmayan CVE-2026-20127 veya CVE-2026-20182 gibi kritik güvenlik açıklarının istismarıyla bağlantılı olabileceği düşünülüyor. Bu açıklar, SD-WAN kontrolcülerindeki eşleme kimlik doğrulama mekanizmasını atlayarak yetkisiz erişime izin veriyor.

Sonuç ve Değerlendirme

Mart 2026'da Mandiant araştırmacıları, CVE-2026-20127'den etkilenmeyen bir yazılım sürümü çalıştıran cihazda yeni yetkisiz eşleme bağlantıları fark etti. Cisco ile yapılan görüşmelerde, bu bağlantıların CVE-2026-20182'yi de kullanmadığı, bunun yerine daha önce aynı cihazın ele geçirilmesinden elde edilmiş çalıntı sertifika malzemeleriyle gerçekleştirildiği anlaşıldı. Daha sonra, bir tehdit aktörünün SSH erişimi sağlamak için yetkisiz eşleme bağlantılarıyla ilk erişimi elde ettiği, ardından varsayılan hesap şifrelerini değiştirerek tespit edilmekten kaçındığı belirlendi.

Uzmanların Görüşleri

Aynı tehdit aktörünün, şimdi CVE-2026-20245 olarak bilinen güvenlik açığını kullanarak Cisco Catalyst SD-WAN Manager'a kötü niyetli bir CSV yüklemesi yaptığı ve root düzeyinde erişim elde ettiği tespit edildi. Saldırgan, daha sonra kötü niyetli dosyaları sildi, yapılandırma değişikliklerini geri aldı ve göstergelerin temizlendiğinden emin olmak için bir doğrulama betiği çalıştırdı. Mandiant, 2025 sonu ile 2026 Ocak arasındaki ve Mart 2026'daki bu iki yetkisiz eşleme faaliyetinden aynı tehdit aktörünün sorumlu olup olmadığının net olmadığını belirtti.

Teknik Analiz

Google, bu kampanyanın 'living-off-the-edge' (uçta yaşama) paradigmasını vurguladığını, tehdit aktörlerinin geleneksel güvenlik çevrelerini aşmak için ağ cihazlarının güvenliğini ihlal etmeye öncelik verdiğini belirtti. Mandiant, uç cihazları ve yazılım tanımlı ağ cihazlarını yöneten orkestratörlerin genellikle derin adli analiz için gerekli telemetriden yoksun olduğunu ve merkezi bir kontrol düzlemi görevi görmelerinin, iç kurumsal trafiğe kalıcı ve geniş çaplı erişim için gizli bir platform sağladığını vurguladı. Google'a göre, devlet destekli aktörler için bu platformlardaki sıfır gün açıklarını istismar etme yeteneği, uzun vadeli stratejik istihbarat toplama için önemli bir vektör olmaya devam ediyor.

Pentest-Tools.com baş güvenlik araştırmacısı Matei Badanoiu, bu bulguların tehdit aktörlerinin güvenlik açıklarını genellikle bilinmeden ve düzeltilmeden çok önce istismar ettiği paradigmasını pekiştirdiğini belirtti. Badanoiu, 'Cisco ve yukarıdaki CVE örneğinde, pencere yama ve uyarıdan en az iki ay önce açıktı. Bu güvenlik açığını kullanan herkes bu dönemde çalışma bilgisine sahipken, savunmacılar hiçbir şey bilmiyordu' dedi.

Kaynak: infosecurity-magazine.com

Paylaş: