Google Cloud bünyesindeki Mandiant güvenlik araştırmacıları, Cisco'nun Catalyst SD-WAN ürünlerinde keşfedilen yüksek önem dereceli bir güvenlik açığının (CVE-2026-20245, CVSS 7.8) resmi olarak duyurulmasından en az iki ay önce saldırganlar tarafından kullanılmaya başlandığını tespit etti. Bu durum, kurumsal ağlarda kritik altyapıları hedef alan tehdit aktörlerinin, güvenlik açıklarını keşfedilmeden çok önce nasıl istismar edebildiğini bir kez daha gözler önüne seriyor.
Söz konusu güvenlik açığı (CVE-2026-20245), Cisco Catalyst SD-WAN Controller (eski adıyla SD-WAN vSmart) ve Manager gibi ürünlerin komut satırı arayüzünde (CLI) kullanıcı girdilerinin yetersiz doğrulanmasından kaynaklanıyor. Bu zafiyet, kimliği doğrulanmış yerel bir saldırganın sisteme özel hazırlanmış bir dosya yüklemesine ve ardından root yetkisiyle keyfi komutlar çalıştırmasına olanak tanıyor. Etkilenen sürümler, ister şirket içi (on-premises) ister bulut tabanlı (Cloud-Pro, Cisco Managed, GovFedRAMP) olsun, tüm dağıtım modellerinde risk altında.
Cisco, güvenlik açığını ilk olarak 4 Haziran'da ifşa etti ve sınırlı sayıda vakada bu açığın uç cihazlarda yapılandırma değişikliğine yol açacak şekilde istismar edildiğini doğruladı. Ancak ifşa anında herhangi bir yama bulunmuyordu. Şirket, 10 Haziran'dan itibaren Catalyst SD-WAN Manager için CVE-2026-20245 düzeltmesini içeren güncellemeleri yayınlamaya başladı.
Mandiant'ın 24 Haziran'da yayımladığı rapora göre, tehdit aktörleri 2026'nın başlarında bir servis sağlayıcının SD-WAN altyapısını hedef aldı. 2025 sonlarından Ocak 2026'ya kadar, araştırmacılar kurbanın SD-WAN Manager cihazlarına yetkisiz eşleme (peering) bağlantıları gözlemledi. Bu dönemde henüz ifşa edilmemiş olan CVE-2026-20127 ve CVE-2026-20182 gibi kritik açıkların da aynı kampanyada kullanılmış olabileceği belirtiliyor. Bu iki açık, SD-WAN kontrolcülerindeki eşleme kimlik doğrulama mekanizmasını atlayarak uzaktan ve kimlik doğrulamasız yönetici yetkisi elde edilmesine izin veriyor.
Uzmanların Görüşleri
Mart 2026'da ise araştırmacılar, CVE-2026-20127'den etkilenmeyen bir yazılım sürümü çalıştıran cihazda yeni yetkisiz eşleme bağlantıları tespit etti. Cisco ile yapılan inceleme, bu bağlantıların CVE-2026-20182'yi de kullanmadığını, bunun yerine aynı cihazın önceki bir ihlalinden elde edilen çalıntı sertifika malzemesiyle gerçekleştirildiğini ortaya koydu. Saldırganlar, SSH erişimi elde etmek için yetkisiz eşleme bağlantılarıyla ilk erişimi sağladı, ardından varsayılan hesap şifrelerini değiştirerek tespit edilmekten kaçındı. Son aşamada, CVE-2026-20245 açığını kullanarak kötü amaçlı bir CSV dosyası yükleyip root düzeyinde erişim elde ettiler ve izlerini silmek için dosyaları sildiler, yapılandırma değişikliklerini geri aldılar.
Google, bu kampanyayı 'living-off-the-edge' (uçta yaşama) paradigmasının bir örneği olarak nitelendiriyor. Bu yaklaşımda tehdit aktörleri, geleneksel güvenlik çevrelerini aşmak için ağ cihazlarını (uç cihazlar, SD-WAN kontrolcüleri) hedef alıyor. Mandiant, bu tür cihazların genellikle derin adli analiz için gerekli telemetri verilerinden yoksun olduğunu ve merkezi kontrol düzlemi olarak kurumsal trafiğe kalıcı ve geniş çaplı erişim sağlamak için gizli bir platform sunduğunu vurguluyor. Google, devlet destekli aktörler için sıfırıncı gün açıklarını istismar etmenin uzun vadeli stratejik istihbarat toplamada birincil vektör olduğu sonucuna varıyor.
Pentest-Tools.com'un baş güvenlik araştırmacısı Matei Badanoiu, bu bulguların tehdit aktörlerinin güvenlik açıklarını bilinmeden ve düzeltilmeden çok önce istismar ettiği paradigmasını pekiştirdiğini belirtiyor. Badanoiu, 'Cisco ve yukarıdaki CVE örneğinde, pencere yama ve danışmanlık yayınlanmadan en az iki ay önce açıktı. Bu açığı kullananlar, savunmacılar hiçbir şey bilmezken bu dönemde çalışma bilgisine sahipti' diyor. Bu durum, kurumların güvenlik yamalarını gecikmeksizin uygulamasının ve ağ cihazlarının düzenli olarak izlenmesinin ne kadar kritik olduğunu bir kez daha hatırlatıyor.
Kaynak: infosecurity-magazine.com