Önemli Güvenlik Açığı: Cisco Catalyst SD-WAN
Cisco, CVE-2026-20127 olarak takip edilen kritik bir kimlik doğrulama atlatma açığı ile ilgili uyarıda bulundu. Bu zafiyet, uzaktan saldırganların kontrol cihazlarını ele geçirip hedef ağlara kötü niyetli gizli cihazlar eklemelerine izin veren sıfır gün saldırılarında aktif olarak istismar edilmektedir.
Saldırı Nasıl Çalışıyor?
CVE-2026-20127, maksimum 10.0 şiddet derecesine sahip olan ve hem yerel hem de bulut tabanlı Cisco Catalyst SD-WAN Controller (eski adıyla vSmart) ve Cisco Catalyst SD-WAN Manager (eski adıyla vManage) sistemlerini etkileyen bir zafiyettir. Cisco’nun yayınladığı bir danışmanda, sorunun, etkilenen sistemlerdeki peering kimlik doğrulama mekanizmasının düzgün çalışmamasından kaynaklandığı belirtildi. Saldırganlar, özelleştirilmiş istekler göndererek bu zafiyeti istismar edebilir.
Başarılı bir istismar, saldırganın etkilenen Cisco Catalyst SD-WAN Controller’ına içeri, yüksek ayrıcalıklı, kök olmayan bir kullanıcı hesabı olarak giriş yapmasına olanak tanır. Bu hesapla NETCONF’a erişim sağlanabilir ve böylece saldırgan, SD-WAN altyapısındaki ağ yapılandırmasını değiştirme yeteneğine sahip olabilir.
Etkilenen Sistemler
Cisco Catalyst SD-WAN, şube ofislerini, veri merkezlerini ve bulut ortamlarını merkezi olarak yönetilen bir sistem üzerinden bağlayan yazılım tabanlı bir ağ platformudur. Aşağıdaki sistemler etkilidir:
- Cisco Catalyst SD-WAN Controller (eski vSmart)
- Cisco Catalyst SD-WAN Manager (eski vManage)
Saldırganlar, sahte bir akran ekleme işlemi gerçekleştirerek SD-WAN ortamına kötü niyetli bir aygıt yerleştirebilir. Bu aygıt, şifreli bağlantılar kurarak saldırganın kontrolü altındaki ağları duyurabilir ve böylece kuruluşun ağına yönelmesini sağlayabilir.
Çözüm ve Korunma
Cisco, zafiyeti gidermek için yazılım güncellemeleri sunmuştur ve bu sorunu tam olarak önleyecek geçici çözümler bulunmamaktadır. Aşağıdaki adımlar atılmalıdır:
- Yazılım güncellemelerini derhal uygulayın.
- Etki alanında port kapatın veya kapatın .
- SD-WAN yönetim arayüzlerini asla internete açmayın.
CISA, 25 Şubat 2026 tarihinde Acil Yönerge 26-03 yayınladı ve Federal Sivil Yürütme Daireleri’nden etkilenen Cisco SD-WAN sistemlerinin envanterini çıkarmalarını, adli delil toplamalarını ve dış log depolaması yapmalarını istedi. 5:00 PM ET’ye kadar güncellemeler uygulanmalıdır.
Tehdit Aktiviteleri ve Haritalama
Cisco ve Talos, işletmelerin internetten açık olan Catalyst SD-WAN Controller sistemlerindeki yetkisiz bağlantı olayları ve şüpheli kimlik doğrulama aktivitelerini dikkatlice incelemesi gerektiğini vurgulamaktadır. Şu logları kontrol edin:
/var/log/auth.log için "Accepted publickey for vmanage-admin" ile başlayan girdileri kontrol edin.
Ayrıca, beklenmeyen peering olayları veya açıklanamayan kontrol cihazı aktiviteleri, potansiyel bir ihlal göstergesi olarak hemen incelenmelidir. CISA ve UK NCSC, ağ görünümünü kısıtlama, SD-WAN kontrol bileşenlerini güvenlik duvarlarının arkasında yerleştirme ve Cisco’nun sertleştirme kılavuzunu uygulama önerilerini vurgulamaktadır.
Sonuç
Kuruluşların derhal yazılım güncellemelerini uygulamaları, ağlarını güvence altına almaları ve tüm olası tehditleri araştırmaları gerekmektedir. Beklenmeyen aktiviteleri gözlemleyin ve güncellemeleri aksatmadan gerçekleştirin. Zafiyete maruz kalan sistemleri dikkate alarak, hızlı hareket etmek kritik öneme sahiptir.
