Giriş
Cisco Catalyst SD-WAN Controller ve SD-WAN Manager’da tespit edilen kritik bir güvenlik açığı, kötü niyetli faaliyetlerde etkin bir şekilde kullanılmaktadır. Bu güvenlik açığının önemi, sistemlere uzaktan erişim sağlayabilmesi ve yönetimsel yetkiler elde etmesine olanak tanımasıdır.
Saldırı Nasıl Çalışıyor?
Tespit edilen güvenlik açığı, CVE-2026-20127 (CVSS skoru: 10.0) olarak takip edilmektedir. Bu açık, kimlik doğrulaması olmadan sistemlere erişim sağlayarak, saldırganın yönetici yetkileri elde etmesine izin verir. Cisco, bu açığın, peering kimlik doğrulama mekanizmasındaki bir sorun nedeniyle oluştuğunu belirtmektedir. Başarılı bir istismar, saldırgana sistem üzerinde içsel, yüksek yetkili bir kullanıcı hesabı olarak yükseltilmiş yetkiler kazandırabilir.
Etkilenen Sistemler
Güvenlik açığı, aşağıdaki dağıtım türlerini etkilemektedir:
- On-Prem Dağıtım
- Cisco Hosted SD-WAN Cloud
- Cisco Hosted SD-WAN Cloud – Cisco Managed
- Cisco Hosted SD-WAN Cloud – FedRAMP Ortamı
Çözüm ve Korunma
Cisco, bu güvenlik açığını gidermek için aşağıdaki versiyon güncellemelerini önermektedir:
- 20.91 öncesi sürümler – Güncellenmiş sürüme geçiş yapın.
- Versiyon 20.9 – 20.9.8.2 (Tahmini sürüm 27 Şubat 2026)
- Versiyon 20.111 – 20.12.6.1
- Versiyon 20.12.5 – 20.12.5.3
- Versiyon 20.12.6 – 20.12.6.1
- Versiyon 20.131 – 20.15.4.2
- Versiyon 20.141 – 20.15.4.2
- Versiyon 20.15 – 20.15.4.2
- Versiyon 20.161 – 20.18.2.1
- Versiyon 20.18 – 20.18.2.1
Cisco, internetten erişilebilen ve portları açık durumda bulunan Cisco Catalyst SD-WAN Controller sistemlerinin tehlikeye atıldığını vurgulamaktadır. Kullanıcılara, “/var/log/auth.log” dosyasını kontrol etmeleri ve yetkisiz IP adreslerinden gelen “Accepted publickey for vmanage-admin” kayıtlarına bakmaları önerilmektedir.
Ayrıca, Cisco, sistem IP’leri ile auth.log dosyasındaki IP adreslerinin karşılaştırılmasını tavsiye etmektedir.
Sonuç
Güvenlik açığının istismar edilme olasılığına karşı, kuruluşların aşağıdaki adımları atması gerekmektedir:
- Sistemlerinizi güncellediklerden emin olun.
- Portları kapatın ve internetten erişimi kısıtlayın.
- Kayıt dosyalarını ve erişim günlüklerini inceleyin.
Aksi halde sistemler yüksek risk altına girebilir ve kötü niyetli saldırılara maruz kalabilir. Müdahale edilmeyen bir güvenlik açığı, organizasyonlar için ciddi tehditler oluşturabilir.
