Cisco SD-WAN Hedefte: Gelişmiş Tehdit Kampanyası Kritik Altyapıyı Tehdit Ediyor Linux

Cisco SD-WAN Hedefte: Gelişmiş Tehdit Kampanyası Kritik Altyapıyı Tehdit Ediyor

Cisco SD-WAN cihazlarına yönelik sofistike saldırılar, devlet kurumları ve kritik altyapıyı hedef alıyor. Sıfır gün açıkları ve zincirleme istismarlar

Cisco, on yıllardır ağ altyapısında lider konumunu koruyor. Şirket, işletmelerin ve hükümetlerin güvendiği güvenli ağ ekipmanlarının en önemli sağlayıcılarından biri. Ancak son aylarda bu hakimiyet, şirketin Aşil topuğu haline geliyor. 2026'nın başından bu yana güvenlik araştırmacıları, Cisco SD-WAN'daki güvenlik açıklarını hedef alan devam eden bir dizi saldırıyı izliyor. Bu saldırılar, önemli devlet sitelerini ve kritik altyapı sağlayıcılarını etkilemiş durumda ve küresel çapta yetkililerin kaygı seviyesini yükseltiyor.

Rapid7'nin güvenlik açığı istihbarat direktörü Douglas McKee, "Uç altyapı, kurumsal güvenlikte en yüksek değere sahip hedeflerden biri olmaya devam ediyor. SD-WAN veya güvenlik duvarı yönetimini tehlikeye atarsanız, politika, görünürlük, yönlendirme, segmentasyon ve çoğu durumda ortamın büyük bir kısmı üzerinde yönetici güvenine erişmiş olursunuz," dedi. Cisco ortamları, son yıllarda devlet bağlantılı ve diğer üst düzey tehdit aktörleri tarafından giderek daha önemli bir hedef haline geldi. Bunun nedeni, kısmen bu araçların dünyadaki en hassas devlet ve kurumsal ağlarda yaygın olarak kullanılması. 39 milyon ağ cihazı Cisco platformuna bağlı, 1 milyar istemci aylık olarak bağlanıyor ve 750 milyar güvenlik olayı günlük olarak gözlemleniyor.

2024'teki Çin bağlantılı Salt Typhoon aktörünün kampanyası sırasında saldırılar, büyük telekomünikasyon sağlayıcılarına ulaşmak için Cisco cihazlarına erişimden yararlandı. Şubat ayında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir tehdit aktörünün Cisco Catalyst SD-WAN sistemlerinde CVE-2026-20127 (kimlik doğrulama atlatma) ve CVE-2026-20775 (ayrıcalık yükseltme) açıklarını hedeflediği konusunda acil bir direktif yayınladı. Mayıs ayında Cisco Talos araştırmacıları, CVE-2026-20182 olarak izlenen bir kimlik doğrulama atlatma açığının UAT-8616 kod adlı sofistike bir tehdit aktörü tarafından hedef alındığını bildirdi.

Diğer tehdit aktörleri, Cisco Catalyst SD-WAN Manager'da üç güvenlik açığını birleştirerek cihaza erişim sağladı. Cisco Talos'a göre, CVE-2026-20133, CVE-2026-20122 ve CVE-2026-20128 olarak izlenen bu zincirleme açıklar, saldırganların cihazda bash komutları çalıştırmasına olanak tanıyan web shell'lerinin yayılmasına yol açtı. Gartner'da başkan yardımcısı analisti Jonathan Forest, "Cisco ürünleri, devlet ve kurumsal ağlarda yaygın kullanımları nedeniyle sık sık hedef alınıyor," dedi.

Sistem Güvenliği

Yazılım tanımlı geniş alan ağı (SD-WAN), bulut ortamları, veri merkezleri ve şube ofisleri dahil olmak üzere farklı iş konumlarını birbirine bağlamak için kullanılan bir sanal teknolojidir. Bir SD-WAN ortamında kullanıcılar, verimli yönlendirme, güvenlik ve yük dengelemenin bir kombinasyonunu elde eder. Cisco Catalyst SD-WAN genellikle müşterinin kendi ortamında uygulanır, bu da müşteri güvenlik ekiplerinin büyük ölçüde kendi yazılımlarını yamamaktan sorumlu olduğu anlamına gelir. Forest, "Bunun sonucu, yamalamada gecikmeler ve güvenlik açıklarının uzun süre açık kalması olabilir ve bu da saldırganlara fırsat verir," dedi.

Teknik Analiz

Hastaneler ve diğer sağlık tesisleri, SD-WAN tarafından sağlanan teknolojiye büyük ölçüde bağımlıdır. Genellikle merkezi bir hastanenin uzaktaki bir sağlık kliniğine veya veri merkezine bağlandığı dağıtık ağlara veya bir bulut platformuna güvenirler. Sağlık Bilgi Paylaşımı ve Analiz Merkezi baş güvenlik sorumlusu Errol Weiss, "Geniş alan ağ altyapısında kritik güvenlik açıkları tekrar tekrar ortaya çıktığında, sağlık sektörü BT güvenlik ekipleri üzerinde büyük bir baskı oluşur ve riskler yüksektir. Bir siber saldırı, acil bakımı, laboratuvar sonuçlarını veya ilaç yönetimini kesintiye uğratan uzun süreli bir BT kesintisine neden olmak için bir altyapı kusurundan yararlanırsa, bakım yavaşlar ve hasta sonuçlarını olumsuz etkiler," dedi.

Google Cloud'un olay müdahale birimi Mandiant, Mart ayında bir iletişim hizmet sağlayıcısında bir bilgisayar korsanının Cisco Catalyst SD-WAN'daki bir sıfır gün açığını kullanarak, ele geçirilmiş bir yönetici hesabı aracılığıyla root düzeyinde erişim elde ettiği bir saldırıyı açıkladı. Güvenlik açığı daha sonra CVE-2026-20245 olarak tanımlandı ve bir yama yayınlandı. Mandiant başlangıçta 2025'in sonlarında hizmet sağlayıcının SD-WAN cihazlarına yetkisiz eşleme bağlantıları gözlemledi ve bilgisayar korsanının o sırada açıklanmamış veya yamalanmamış olan CVE-2026-20127 veya CVE-2026-20182'yi kullanmış olabileceğini belirtti. Daha sonra hedeflenen cihazın önceki güvenlik açıklarından hiçbirinden etkilenmediği belirlendi.

Gelecekte Ne Bekleniyor?

Araştırmacılar, Mart olayının aynı zamanda yetkisiz eşleme içerdiğini söyledi. Eşleme, uç yönlendiriciler, bölgesel merkezler veya merkezi denetleyiciler gibi farklı ağ bileşenleri arasında güvenilir bir dijital bağlantı kurma sürecidir. Erişim sağladıktan sonra bilgisayar korsanı SD-WAN Manager'da kimlik doğrulaması yaptı ve varsayılan yönetici hesabının şifresini değiştirdi. Mandiant araştırmacıları, bilgisayar korsanının adli izlerini gizlemek için saldırı sırasında oluşturulan tüm dosyaları silmek ve değiştirilen sistem yapılandırmasını geri yüklemek dahil olmak üzere çok sayıda adım attığını söyledi. 2025 sonundaki olay ile Mart olayındaki bilgisayar korsanının aynı olup olmadığı henüz net değil.

Kaynak: cybersecuritydive.com

Paylaş: