Cisco Güvenlik Açığı, İfşadan Aylar Önce Aktif Olarak Sömürülüyor Siber Güvenlik

Cisco Güvenlik Açığı, İfşadan Aylar Önce Aktif Olarak Sömürülüyor

Google Mandiant raporu, Cisco Catalyst SD-WAN Manager'daki kritik bir güvenlik açığının ifşadan en az iki ay önce aktif olarak sömürüldüğünü ortaya ko

Google'ın yayınladığı yeni bir rapora göre, bir tehdit aktörü, Cisco ürünlerindeki ciddi bir güvenlik açığını, açığın duyurulmasından en az iki ay önce sömürmeye başladı. CVE-2026-20245 olarak izlenen bu yüksek önem dereceli (CVSS 7.8) ayrıcalık yükseltme güvenlik açığı, Cisco Catalyst SD-WAN Controller (eski adıyla SD-WAN vSmart) komut satırı arayüzünde (CLI) kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanıyor. Bu açık, Cisco Catalyst SD-WAN Manager'ın çeşitli sürümlerini ve ilgili ürünler olan Cisco Catalyst SD-WAN Validator'ı etkiliyor. Etkilenen ürünlerin sürümleri, şirket içi, Cloud-Pro, Cloud (Cisco Yönetimli) ve Government (FedRAMP) gibi tüm kurulum türlerinde savunmasız durumda.

Kimliği doğrulanmış yerel saldırganlar, bu güvenlik açığını etkilenen sisteme özel hazırlanmış bir dosya yükleyerek sömürebilir ve böylece root olarak rastgele komutlar çalıştırabilir. Sıfır gün açığı, Cisco tarafından 4 Haziran'da, 'bu açığın sömürülmesinin uç cihazlara itilen bir yapılandırma değişikliğiyle sonuçlandığı sınırlı sayıda vaka' gözlemledikten sonra duyuruldu. Ancak, ifşa anında herhangi bir yama mevcut değildi. Teknoloji devi, CVE-2026-20245 düzeltmesini içeren Catalyst SD-WAN Manager güncellemelerini 10 Haziran'da yayınlamaya başladı. Google Cloud bünyesindeki Mandiant'tan güvenlik araştırmacıları, 24 Haziran'da yayınlanan bir raporda, 2026'nın başlarında bir servis sağlayıcıdaki SD-WAN altyapısını hedef alan bir tehdit aktörü tespit ettiklerini belirtti.

Araştırmacılar, 2025'in sonlarından 2026 Ocak'ına kadar, mağdurun SD-WAN Manager cihazlarına birden fazla yetkisiz eşleme bağlantısı gözlemledi. Bu kötü niyetli faaliyetin, CVE-2026-20127 veya CVE-2026-20182'nin sömürülmesiyle bağlantılı olabileceği belirtildi. Mart ayında ise, CVE-2026-20127'den etkilenmeyen bir yazılım sürümü çalıştıran bir cihazda daha fazla yetkisiz eşleme bağlantısı fark edildi. Mandiant araştırmacıları, bir tehdit aktörünün şu anda CVE-2026-20245 olarak bilinen güvenlik açığını, kötü amaçlı bir CSV yüklemesi yoluyla root seviyesinde erişim elde etmek için sömürdüğünü tespit etti. Bu aktör daha sonra kötü amaçlı dosyaları sildi, yapılandırma değişikliklerini geri aldı ve göstergelerin temizlendiğinden emin olmak için bir doğrulama betiği çalıştırdı.

Nasıl Önlem Alınmalı?

Google, bu kampanyanın 'ağ cihazlarının güvenliğini aşmak için tehdit aktörlerinin öncelik verdiği living-off-the-edge paradigmasının altını çizdiğini' vurguladı. Mandiant ayrıca, uç cihazları ve yazılım tanımlı ağ cihazlarını yöneten orkestratörlerin 'genellikle derin adli analiz için gereken telemetriden yoksun olduğunu ve merkezi bir kontrol düzlemi rolünün, dahili kurumsal trafiğe kalıcı, geniş çaplı erişim için gizli bir platform sağladığını' belirtti. Pentest-Tools.com'dan baş güvenlik araştırmacısı Matei Badanoiu, bu bulguların, tehdit aktörlerinin genellikle güvenlik açıklarını bilinmeden ve düzeltilmeden çok önce sömürdüğü bir başka paradigmayı pekiştirdiğini vurguladı: 'Cisco ve yukarıdaki CVE örneğinde, pencere yama ve danışma belgesinden en az iki ay önce açıktı. Bu güvenlik açığını kullanan herkes, bu süre zarfında onun hakkında çalışma bilgisine sahipken, savunmacıların hiçbir bilgisi yoktu.'

Paylaş: