Google Cloud bünyesindeki Mandiant güvenlik araştırmacıları, Cisco'nun SD-WAN ürünlerinde kritik bir güvenlik açığının (CVE-2026-20245) resmi olarak duyurulmasından en az iki ay önce tehdit aktörleri tarafından aktif olarak istismar edildiğini tespit etti. Açık, Cisco Catalyst SD-WAN Manager (eski adıyla SD-WAN vSmart) ürününün komut satırı arayüzünde (CLI) kullanıcı girdisinin yetersiz doğrulanmasından kaynaklanıyor ve yüksek önem derecesine (CVSS 7.8) sahip bir yetki yükseltme zafiyeti olarak tanımlanıyor.
Cisco, 4 Haziran'da yayınladığı güvenlik bülteninde, sınırlı sayıda vakada bu açığın istismar edilerek uç cihazlarda yapılandırma değişikliği yapıldığını bildirmişti. Ancak o tarihte herhangi bir yama bulunmuyordu. Cisco, 10 Haziran itibarıyla Catalyst SD-WAN Manager için güncellemeler yayınlamaya başladı. Açıktan etkilenen sürümler arasında şirket içi, Cloud-Pro, Cloud (Cisco yönetimli) ve Government (FedRAMP) kurulumları yer alıyor. Kimliği doğrulanmış yerel saldırganlar, sisteme özel hazırlanmış bir CSV dosyası yükleyerek root yetkisiyle keyfi komut çalıştırabiliyor.
Mandiant'ın 24 Haziran'da yayınladığı raporda, 2026'nın başlarında bir servis sağlayıcının SD-WAN altyapısını hedef alan bir tehdit aktörü tespit edildi. 2025 sonu ile Ocak 2026 arasında, kurbanın SD-WAN Manager cihazlarına yetkisiz eşleme bağlantıları gözlemlendi. Araştırmacılar, bu kötü amaçlı etkinliğin, daha önce duyurulmayan ve yaması bulunmayan CVE-2026-20127 veya CVE-2026-20182 açıklarının istismarıyla bağlantılı olabileceğini belirtti. Bu iki kritik açık, SD-WAN denetleyicilerinin eşleme kimlik doğrulama mekanizmasını etkileyerek kimliği doğrulanmamış uzaktaki saldırganın yönetici ayrıcalıkları elde etmesine izin veriyor.
Sistem Güvenliği
Mart ayında, CVE-2026-20127'den etkilenmeyen bir yazılım sürümü çalıştıran cihazda yeni yetkisiz eşleme bağlantıları keşfedildi. Cisco ile yapılan görüşmede bu bağlantıların CVE-2026-20182'yi de kullanmadığı, bunun yerine daha önceki bir ihlalden elde edilmiş çalıntı sertifika malzemelerini kullanmış olabileceği belirtildi. Araştırmacılar, tehdit aktörünün SSH erişimi sağlamak için yetkisiz eşleme bağlantılarıyla ilk erişimi elde ettiğini, ardından varsayılan hesap şifrelerini değiştirerek tespit edilmekten kaçındığını tespit etti.
Daha sonra aynı tehdit aktörünün, CVE-2026-20245 açığını kullanarak kötü amaçlı CSV yüklemesiyle root seviyesinde erişim elde ettiği belirlendi. Saldırgan, bu erişimle kötü amaçlı dosyaları sildi, yapılandırma değişikliklerini geri aldı ve göstergelerin temizlendiğinden emin olmak için bir doğrulama betiği çalıştırdı. Mandiant, 2025 sonu ile Mart 2026 arasındaki yetkisiz eşleme etkinliklerinin aynı tehdit aktörü tarafından gerçekleştirilip gerçekleştirilmediğinin net olmadığını vurguladı.
Google, bu kampanyayı 'living-off-the-edge' (uçta yaşama) paradigmasının bir örneği olarak nitelendirdi: tehdit aktörleri, geleneksel güvenlik çevrelerini aşmak için ağ cihazlarının güvenliğini ihlal etmeye öncelik veriyor. Mandiant, uç cihazları ve yazılım tanımlı ağ cihazlarını yöneten orkestratörlerin derin adli analiz için gereken telemetri verilerinden yoksun olduğunu ve merkezi kontrol düzlemi olarak iç kurumsal trafiğe kalıcı, geniş çaplı erişim için gizli bir platform sağladığını belirtti. Google, devlet destekli aktörler için bu tür platformlardaki sıfırıncı gün açıklarını kullanmanın uzun vadeli stratejik istihbarat toplamada birincil vektör olduğu sonucuna vardı.
Pentest-Tools.com kıdemli güvenlik araştırmacısı Matei Badanoiu, bu bulguların tehdit aktörlerinin güvenlik açıklarını bilinmeden ve düzeltilmeden çok önce istismar ettiğini gösterdiğini belirtti. 'Cisco ve yukarıdaki CVE örneğinde, pencere yama ve danışmanlık yayınlanmadan en az iki ay önce açıktı. Bu güvenlik açığını kullanan kişi bu dönemde çalışma bilgisine sahipti, savunmacılar ise hiçbir şey bilmiyordu' dedi.
Kaynak: infosecurity-magazine.com