Google, Cisco Güvenlik Açığı Açıklanmadan Aylar Önce Kullanıldı, Uyarıyor Yazılım

Google, Cisco Güvenlik Açığı Açıklanmadan Aylar Önce Kullanıldı, Uyarıyor

Yeni bir Google raporu, bir tehdit aktörünün Cisco ürünlerindeki ciddi bir güvenlik açığından en az iki ay önce bu güvenlik açığından yararlanmaya baş...

Yeni bir Google raporu, bir tehdit aktörünün Cisco ürünlerindeki ciddi bir güvenlik açığından en az iki ay önce bu güvenlik açığından yararlanmaya başladığı konusunda uyardı.

CVE-2026-20245 olarak izlenen bu yüksek önem derecesine sahip (CVSS 7.8) ayrıcalık yükseltme güvenlik açığı, daha önce SD-WAN vSmart olarak bilinen Cisco Catalyst SD-WAN Denetleyicisinin komut satırı arayüzünde (CLI) kullanıcı tarafından sağlanan girişin yetersiz doğrulanmasından kaynaklanmaktadır.

Cisco Catalyst SD-WAN Manager'ın çeşitli sürümlerinin yanı sıra Cisco Catalyst SD-WAN Validator gibi ilgili ürünleri de etkiler.

Önemli Gelişmeler

Bu ürünlerin etkilenen sürümleri, kurulum (şirket içi, Cloud-Pro, Cloud (Cisco Managed) ve Devlet (FedRAMP)) ne olursa olsun güvenlik açığına sahiptir.

Kimliği doğrulanmış yerel saldırganlar, etkilenen sisteme hazırlanmış bir dosya yükleyerek bu durumdan yararlanabilir ve bunun sonucunda kök kullanıcı olarak isteğe bağlı komutlar yürütebilir.

Detaylar ve Etkileri

Sıfır gün güvenlik açığı Cisco tarafından 4 Haziran'da "bu hatanın istismar edilmesinin uç cihazlara yönelik bir yapılandırma değişikliğine yol açtığı sınırlı durumlar" gözlemlendikten sonra açıklandı.

Ancak açıklama sırasında herhangi bir yama mevcut değildi. Teknoloji devi, 10 Haziran'da CVE-2026-20245 düzeltmesiyle Catalyst SD-WAN Manager güncellemelerini yayınlamaya başladı.

Sonuç ve Değerlendirme

Haziran'da Güvenlik Açığı Açıklaması, Mart'ta Sömürü

Google Cloud'un bir parçası olan Mandiant'taki güvenlik araştırmacıları, 24 Haziran'da yayınlanan yeni bir raporda, 2026'nın başlarında bir hizmet sağlayıcının SD-WAN altyapısını hedef alan bir tehdit aktörü tespit ettiklerini söyledi.

Mandiant, 2025'in sonlarından Ocak 2026'ya kadar kurbanın SD-WAN Yöneticisi cihazlarına birden fazla yetkisiz eşleme bağlantısı gözlemledi.

Nasıl Önlem Alınmalı?

Araştırmacılar, güvenlik açıklarının açıklanmaması ve bu dönemde yamaların mevcut olmaması nedeniyle bu kötü niyetli etkinliğin CVE-2026-20127 veya CVE-2026-20182'nin kötüye kullanılmasıyla bağlantılı olabileceğini belirtti.

Gelecekte Ne Bekleniyor?

CVE-2026-20127 ve CVE-2026-20182, Cisco tarafından yakın zamanda açıklanan ve Cisco Catalyst SD-WAN denetleyicileri için eşleme kimlik doğrulama mekanizmasını etkileyen kritik güvenlik açıklarıdır. Her ikisi de kimliği doğrulanmamış uzaktaki bir saldırganın kimlik doğrulamayı atlamasına ve yönetici ayrıcalıkları elde etmesine olanak tanıyabilir.

Mandiant araştırmacıları, Mart ayında CVE-2026-20127'den etkilenmeyen bir yazılım sürümünü çalıştıran bir cihazda başka yetkisiz eşleme bağlantılarının olduğunu fark etti.

Uzmanların Görüşleri

Bu bağlantıların CVE-2026-20182'den faydalanmadığını ve bunun yerine aynı cihazın daha önceki bir ihlalinden çalınan sertifika materyalini kullanıyor olabileceğini doğrulayan Cisco ile görüştüler.

Daha sonra, bir tehdit aktörünün Secure Shell (SSH) erişimini kolaylaştırmak için yetkisiz eşleme bağlantıları aracılığıyla ilk erişimi sağladığını ve ardından bu erişimi, tespit edilmekten kaçınmak için varsayılan hesap şifrelerini değiştirmek için kullandığını keşfettiler.

Ayrıca bir tehdit aktörünün, kötü amaçlı bir CSV yüklemesi yoluyla kök düzeyinde erişim elde etmek için Cisco Catalyst SD-WAN Manager'da artık CVE-2026-20245 olarak bilinen şeyden yararlandığını da belirlediler.

Teknik Analiz

Bu ikinci aktör daha sonra kötü amaçlı dosyaları sildi, yapılandırma değişikliklerini geri aldı ve göstergelerin temizlendiğinden emin olmak için bir doğrulama komut dosyası yürüttü.

Mandiant, "2025'in sonundan Ocak 2026'ya ve Mart 2026'ya kadar olan haydut eşleme faaliyetlerinden aynı tehdit aktörünün sorumlu olup olmadığı belli değil" dedi.

Tehdit Aktörleri için Yeni Modern Yaşam Paradigması

Sistem Güvenliği

Bununla birlikte Google, bu kampanyanın "tehdit aktörlerinin geleneksel güvenlik çevrelerini atlatmak için ağ cihazlarının güvenliğinin ihlal edilmesine öncelik verdiği, uçtan uca yaşama paradigmasının altını çizdiğini" vurguladı.

Mandiant ayrıca, uç cihazları ve yazılım tanımlı ağ oluşturma cihazlarını yöneten orkestratörlerin "derin adli analiz için gereken telemetriden genellikle yoksun olduğunu ve merkezi kontrol düzlemi rollerinin, dahili kurumsal trafiğe kalıcı, geniş ölçekli erişim için gizli bir platform sağladığını" vurguladı.

Google, "Devlet destekli aktörler için, bu platformlardaki sıfır gün güvenlik açıklarından yararlanma yeteneği, uzun vadeli stratejik istihbarat toplama açısından önde gelen bir vektör olmaya devam ediyor" dedi.

Ayrıca Pentest-Tools.com'un baş güvenlik araştırmacısı Matei Badanoiu, bu bulguların başka bir paradigmayı güçlendirdiğinin altını çizdi: Tehdit aktörleri genellikle güvenlik açıklarından, bilinmeden ve düzeltilmeden çok önce yararlanıyor.

Badanoiu, "Cisco ve yukarıdaki CVE durumunda, pencere yamadan ve tavsiye niteliğinden önce en az iki ay boyunca açıktı. Bu güvenlik açığını kullanan kişi bu dönemde bu konuda çalışma bilgisine sahipti, ancak savunucuların bilgisi yoktu" dedi.

Görsel katkıları: PJ McDonnell / Bangla basını / Shutterstock.com

Şimdi okuyun: ABD Ajanslarına Hurdaya Çıkarılması Söylendi Destek Sonu Uç Cihazları

Paylaş: