Cisco, onlarca yıldır ağ altyapısında lider konumda. Şirket, işletmelerin ve hükümetlerin güvendiği güvenli ağ ekipmanlarının en büyük sağlayıcılarından biri. Ancak son aylarda bu hakimiyet, şirketin Aşil topuğu haline geliyor. 2026'nın başından bu yana güvenlik araştırmacıları, Cisco SD-WAN'daki güvenlik açıklarını hedef alan devam eden bir dizi saldırıyı izliyor. Bu saldırılar, önemli hükümet sitelerini ve kritik altyapı sağlayıcılarını etkilemiş görünüyor ve dünya genelindeki yetkililerin endişe seviyesini yükseltiyor.
Rapid7'nin güvenlik açığı istihbarat direktörü Douglas McKee, 'Uç altyapı, kurumsal güvenlikteki en yüksek değerli hedeflerden biri olmaya devam ediyor. SD-WAN veya güvenlik duvarı yönetimini tehlikeye atarsanız, ortamın büyük bir kısmı üzerinde politika, görünürlük, yönlendirme, segmentasyon ve çoğu durumda yönetici güvenine erişmiş olursunuz' dedi. Cisco ortamları, dünyanın en hassas hükümet ve kurumsal ağlarında bu araçların yaygın kullanımı nedeniyle son yıllarda devlet bağlantılı ve diğer üst düzey tehdit aktörleri için giderek daha önemli bir hedef haline geldi.
Rakamlarla: Cisco platformuna bağlı 39 milyon ağ cihazı, aylık 1 milyar bağlı istemci, günlük 750 milyar güvenlik olayı gözlemleniyor. 2024'te Çin bağlantılı aktör Salt Typhoon tarafından düzenlenen kampanya sırasında, saldırılar büyük telekomünikasyon sağlayıcılarına ulaşmak için Cisco cihazlarına erişimden yararlandı.
Sonuç ve Değerlendirme
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Şubat ayında acil bir direktif yayınlayarak bir tehdit aktörünün Cisco Catalyst SD-WAN sistemlerinde CVE-2026-20127 (kimlik doğrulama atlatma) ve CVE-2026-20775 (ayrıcalık yükseltme) açıklarını hedef aldığı konusunda uyardı. Cisco Talos araştırmacıları Mayıs ayında, UAT-8616 olarak izlenen gelişmiş bir tehdit aktörünün CVE-2026-20182 kimlik doğrulama atlatma açığını hedef aldığını söyledi. Diğer tehdit aktörleri, Cisco Catalyst SD-WAN Manager'da üç güvenlik açığını birbirine bağlayarak cihaza erişim sağladı; bu açıklar (CVE-2026-20133, CVE-2026-20122 ve CVE-2026-20128), saldırganların cihazda bash komutları yürütmesine izin veren web shell'lerinin yayılmasına yol açtı.
Önemli Gelişmeler
Gartner analisti Jonathan Forest, Cisco ürünlerinin hükümet ve kurumsal ağlarda yaygın kullanımı nedeniyle sık sık hedef alındığını belirtti. SD-WAN, çeşitli iş konumlarını (bulut ortamları, veri merkezleri ve şubeler) bağlamak için kullanılan sanal bir teknolojidir. Cisco Catalyst SD-WAN genellikle müşterinin kendi ortamında uygulanır, bu da müşteri güvenlik ekiplerinin büyük ölçüde kendi yazılımlarını yamamaktan sorumlu olduğu anlamına gelir.
Detaylar ve Etkileri
Cisco ürünleri çok yaygın olarak dağıtıldığından, dayanıklılıkları ve güvenlikleri büyük önem taşıyor. Siber Güvenlik Merkezi'nden TJ Sayers, 'Bu yaygınlık nedeniyle, ürünleri genellikle artan saldırılara maruz kalıyor, çünkü tek bir kusur çok sayıda üst düzey müşteriye erişim sağlayabilir' dedi. Hastaneler ve diğer sağlık tesisleri SD-WAN tarafından sağlanan teknolojiye büyük ölçüde bağımlı. Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nden Errol Weiss, 'Geniş alan ağı altyapısında kritik güvenlik açıkları tekrar tekrar ortaya çıktığında, sağlık sektörü BT güvenlik ekipleri üzerinde büyük bir baskı oluşturuyor ve riskler yüksek' dedi.
Google Cloud'un olay müdahale birimi Mandiant, Mart ayında bir bilgisayar korsanının bir iletişim hizmet sağlayıcısında Cisco Catalyst SD-WAN'daki bir sıfırıncı gün açığını (CVE-2026-20245) kullanarak güvenliği ihlal edilmiş bir yönetici hesabı aracılığıyla root düzeyinde erişim elde ettiği bir saldırıyı açıkladı. Mandiant başlangıçta 2025 sonlarında SD-WAN cihazlarına yetkisiz eşleme bağlantıları gözlemledi ve bilgisayar korsanının o sırada açıklanmamış veya yamalanmamış olan CVE-2026-20127 veya CVE-2026-20182'den yararlanmış olabileceğini belirtti. Daha sonra hedef cihazın bu açıkların hiçbirinden etkilenmediği belirlendi.
Gelecekte Ne Bekleniyor?
Araştırmacılar, Mart olayının aynı zamanda yetkisiz eşleme (farklı ağ bileşenleri arasında güvenilir bir dijital bağlantı kurma süreci) içerdiğini söyledi. Erişim sağladıktan sonra bilgisayar korsanı SD-WAN Manager'da kimlik doğrulaması yaptı ve varsayılan yönetici hesabının şifresini değiştirdi. Mandiant araştırmacıları, bilgisayar korsanının adli izlerini gizlemek için saldırı sırasında oluşturulan tüm dosyaları silmek ve değiştirilen sistem yapılandırmasını geri yüklemek dahil çok sayıda adım attığını söyledi. 2025 sonu ve Mart olaylarındaki bilgisayar korsanının aynı olup olmadığı henüz net değil.
Kaynak: cybersecuritydive.com