Giriş
Son dönemde, Cisco Unified Communications Manager (Unified CM) ve Unified Communications Manager Session Management Edition (Unified CM SME) üzerinde kritik bir güvenlik açığı bulundu. Bu açığın varlığı, siber saldırganların sistemlere uzaktan erişim sağlaması açısından büyük bir tehlike arz ediyor.
Saldırı Nasıl Çalışıyor?
Bu açık, CVE-2026-20230 olarak takip edilmektedir ve CVSS puanı 8.6’dır. Açığın temel nedeni, belirli HTTP istekleri için yetersiz giriş doğrulamasıdır. Bu durum, kimliği doğrulanmamış bir uzak saldırganın, etkilenen bir cihaz üzerinden sunucu tarafı istek sahteciliği (SSRF) saldırıları gerçekleştirmesine olanak tanır.
Cisco’nun yayınladığı bilgilendirmeye göre, “Bir saldırgan, etkilenen bir cihaza özel bir HTTP isteği göndererek bu açığı kullanabilir. Başarılı bir exploit, saldırganın altındaki işletim sistemine dosyalar yazmasına imkan tanıyabilir ve bu dosyalar daha sonra root yetkisi kazanmak için kullanılabilir.”
Defused Cyber, yaptığı bir açıklamada, açığın aktif olarak kullanıldığını belirtti. “Bu açıktan aktif olarak yararlanılıyor ve tek bir kaynaktan, onaylanmamış bir PoC ile yapılan saldırılar gerçekleşiyor,” şeklinde not düştü.
Etkilenen Sistemler
Cisco’nun WebDialer servisi açıktan etkilenmektedir. Bu servisin, güvenlik açığının başarılı bir şekilde kullanılabilmesi için etkin olması gerekmektedir; ancak bu servis varsayılan olarak devre dışıdır. WebDialer’ın etkin olup olmadığını kontrol etmek için şu adımları izleyebilirsiniz:
- Cisco Unified CM Yönetim arayüzüne giriş yapın.
- Gezinme menüsünden Cisco Unified Serviceability’yi seçin ve “Go”ya tıklayın.
- Araçlar menüsünden Kontrol Merkezi – Özellik Hizmetleri’ni seçin.
- CTI Hizmetleri bölümünde, Cisco WebDialer Web Servisi’nin mevcut durumunun “Started” veya “Not Running” olup olmadığını kontrol edin.
- Eğer durum “Started” ise, WebDialer etkin durumda demektir.
Çözüm ve Korunma
Bu güvenlik açığı, Unified CM ve Unified CM SME’nin 14SU6 ve 15SU5 sürümlerinde yamalanmıştır. Eğer acil güncelleme yapma imkânınız yoksa, yamanın uygulanacağı zamana kadar WebDialer hizmetini devre dışı bırakmanız önerilmektedir.
SSD Secure Disclosure, CVE-2026-20230 ile ilgili daha fazla teknik detay paylaşmış ve bu açığın, kimliği doğrulanmamış saldırganların sunucuya rasgele dosya yazmasına olanak tanıdığı bilgisini vermiştir. Açık, WebDialer bileşeni aracılığıyla hedefin gerçek ana bilgisayar adını elde ederek, sonuçta kod yürütme sağlamak için kullanılmaktadır.
Cisco henüz exploit durumu ile ilgili olarak güncelleme yapmamıştır. Yakın zamanda, ağ güvenliği şirketi, aktif olarak kullanılmakta olan orta seviye bir güvenlik açığı olan Catalyst SD-WAN Manager’da (CVE-2026-20262, CVSS puanı: 6.5) güvenlik güncellemeleri yayınlamıştır.
Sonuç
Okuyuculara, Cisco sistemlerini korumak adına en kısa sürede gerekli güncellemeleri yapmalarını veya WebDialer hizmetini devre dışı bırakmalarını tavsiye ederiz. Bu açıkların siber saldırganlar tarafından istismar edilmeden önce gerekli önlemleri almak, sistem güvenliğini sağlamak açısından kritik öneme sahiptir.
