Cisco, onlarca yıldır ağ altyapısında lider konumda. Şirket, işletmelerin ve hükümetlerin güvendiği güvenli ağ ekipmanlarının en büyük tedarikçilerinden biri. Ancak son aylarda bu hakimiyet, şirketin Aşil topuğu haline geliyor. 2026'nın başından beri güvenlik araştırmacıları, Cisco SD-WAN'daki güvenlik açıklarını hedef alan bir dizi saldırıyı izliyor. Bu saldırılar, önemli devlet sitelerini ve kritik altyapı sağlayıcılarını etkilemiş görünüyor ve dünya genelindeki yetkililerin endişe seviyesini yükseltti.
Rapid7'nin güvenlik açığı istihbarat direktörü Douglas McKee, "Uç altyapısı, kurumsal güvenlikteki en yüksek değerli hedeflerden biri olmaya devam ediyor," diyor. "SD-WAN veya güvenlik duvarı yönetimini tehlikeye atarsanız, politika, görünürlük, yönlendirme, segmentasyon ve çoğu durumda ortamın büyük bir kısmı üzerinde yönetici güvenini ele geçirirsiniz." Cisco ortamları, son yıllarda devlet destekli ve diğer üst düzey tehdit aktörleri için giderek daha önemli bir hedef haline geldi. Bunun nedeni kısmen, bu araçların dünyanın en hassas devlet ve kurumsal ağlarında yaygın olarak kullanılması. Sayılarla ifade etmek gerekirse: 39 milyon ağ cihazı Cisco platformuna bağlı, aylık 1 milyar istemci bağlanıyor ve günlük 750 milyar güvenlik olayı gözlemleniyor.
2024'te Çin bağlantılı Salt Typhoon aktörünün kampanyası sırasında, saldırılar büyük telekomünikasyon sağlayıcılarına erişmek için Cisco cihazlarına erişimden yararlandı. Şubat ayında Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir tehdit aktörünün Cisco Catalyst SD-WAN sistemlerinde CVE-2026-20127 olarak izlenen bir kimlik doğrulama atlatma açığını ve CVE-2026-20775 olarak izlenen bir yetki yükseltme kusurunu hedef aldığı konusunda uyarıda bulunan bir acil durum direktifi yayınladı. Mayıs ayında Cisco Talos araştırmacıları, UAT-8616 olarak izlenen sofistike bir tehdit aktörünün CVE-2026-20182 olarak izlenen bir kimlik doğrulama atlatma açığını hedef aldığını söyledi.
Gelecekte Ne Bekleniyor?
Diğer tehdit aktörleri, Cisco Catalyst SD-WAN Manager'da üç güvenlik açığını birleştirerek saldırganların cihaza erişmesine izin verdi. Cisco Talos'a göre, CVE-2026-20133, CVE-2026-20122 ve CVE-2026-20128 olarak izlenen zincirleme açıklar, saldırganların bir cihazda bash komutları yürütmesine izin veren web kabuklarının yayılmasına yol açtı. Gartner'da başkan yardımcısı analist olan Jonathan Forest, "Cisco ürünleri, hükümet ve kurumsal ağlarda yaygın kullanımları nedeniyle sık sık hedef alınıyor," dedi. Yazılım tanımlı geniş alan ağı (SD-WAN), bulut ortamları, veri merkezleri ve şube konumları dahil olmak üzere çeşitli iş yerlerini birbirine bağlamak için kullanılan sanal bir teknolojidir. SD-WAN ortamında kullanıcılar, verimli yönlendirme, güvenlik ve yük dengelemenin bir kombinasyonunu elde eder.
Teknik Analiz
Cisco Catalyst SD-WAN genellikle müşterinin kendi ortamında uygulanır, bu da müşteri güvenlik ekiplerinin büyük ölçüde kendi yazılımlarını yamamaktan sorumlu olduğu anlamına gelir. Forest, "Sonuç, yamalamada gecikmeler ve güvenlik açıklarının uzun süre açıkta kalması olabilir ve bu da saldırganlara fırsat verir," dedi. Cisco ürünleri çok yaygın olarak dağıtıldığı için, dayanıklılıkları ve güvenlikleri büyük önem taşıyor. Siber Güvenlik Merkezi'nde (CIS) tehdit istihbaratı kıdemli direktörü TJ Sayers, "Bu yaygınlık nedeniyle, ürünleri genellikle daha fazla saldırıya maruz kalıyor, çünkü tek bir kusur, çok sayıda üst düzey müşteriye erişim sağlayabilir," dedi.
Hastaneler ve diğer sağlık kuruluşları, SD-WAN tarafından sağlanan teknolojiye büyük ölçüde bağımlı. Genellikle merkezi bir hastanenin uzaktaki bir sağlık kliniğine veya veri merkezine bağlandığı veya bir bulut platformu kullandığı dağıtık ağlara güveniyorlar. Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nin (Health-ISAC) baş güvenlik sorumlusu Errol Weiss, "Geniş alan ağı altyapısında kritik güvenlik açıkları tekrar tekrar ortaya çıktığında, sağlık sektörü BT güvenlik ekipleri üzerinde büyük bir baskı oluşturuyor ve riskler yüksek," dedi. Weiss, "Bir siber saldırı, acil bakımı, laboratuvar sonuçlarını veya ilaç yönetimini kesintiye uğratan uzun süreli bir BT kesintisine neden olmak için bir altyapı kusurundan yararlanırsa, bakım yavaşlar ve hasta sonuçlarını olumsuz etkiler," diye ekledi.
Google Cloud'un olay müdahale kolu Mandiant, Mart ayında bir bilgisayar korsanının bir iletişim hizmet sağlayıcısında Cisco Catalyst SD-WAN'daki bir sıfır gün açığını kullanarak, güvenliği ihlal edilmiş bir yönetici hesabı aracılığıyla kök düzeyinde erişim elde ettiği bir saldırıyı açıkladı. Güvenlik açığı daha sonra CVE-2026-20245 olarak tanımlandı ve bir yama yayınlandı. Mandiant başlangıçta 2025'in sonlarında hizmet sağlayıcının SD-WAN cihazlarına yetkisiz eşleme bağlantıları gözlemledi ve bilgisayar korsanının o sırada ifşa edilmemiş veya yamalanmamış olan CVE-2026-20127 veya CVE-2026-20182'den yararlanmış olabileceğini belirtti. Daha sonra hedeflenen cihazın önceki güvenlik açıklarından hiçbirinden etkilenmediği belirlendi.
Sonuç ve Değerlendirme
Araştırmacılar, Mart ayındaki olayın aynı zamanda, farklı ağ bileşenleri (uç yönlendiriciler, bölgesel merkezler veya merkezi denetleyiciler gibi) arasında güvenilir bir dijital bağlantı kurma süreci olan yetkisiz eşlemeyi de içerdiğini söyledi. Erişim sağladıktan sonra bilgisayar korsanı SD-WAN Manager'da kimlik doğrulaması yaptı ve varsayılan yönetici hesabının şifresini değiştirdi. Mandiant araştırmacıları, bilgisayar korsanının adli izlerini gizlemek için saldırı sırasında oluşturulan tüm dosyaları silme ve değiştirilen sistem yapılandırmasını geri yükleme dahil olmak üzere çok sayıda adım attığını söyledi. 2025 sonundaki olaydaki bilgisayar korsanı ile Mart ayındaki olaydakinin aynı olup olmadığı henüz net değil. Mandiant - Google Cloud kıdemli siber güvenlik danışmanı Pete Boonyakarn, "Mandiant ilk soruşturması sırasında bunun bir sıfır gün olabileceğinden şüphelendi, ancak yeni bir kusurun istismarını doğrulamak için daha derin adli analiz gerekiyordu," dedi.
Kaynak: cybersecuritydive.com