Giriş
Cisco Catalyst SD-WAN için CVE-2026-20245 olarak izlenen bir güvenlik açığı, siber saldırganların hedeflenen cihazlarda yasa dışı root hesapları oluşturmasına olanak tanıyan kritik bir zafiyettir. Bu durum, hem kurumsal güvenliği tehdit etmekte hem de önemli veri kayıplarına yol açabilmektedir.
Saldırı Nasıl Çalışıyor?
CVE-2026-20245, Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) ve Validator (vBond) üzerinde bulunan bir komut enjeksiyonu açığıdır. Bu zafiyet, yetkilendirilmiş saldırganların, özel olarak hazırlanmış dosyaları yükleyerek root yetkileriyle rastgele komutlar çalıştırmasına olanak tanır. Cisco, bu açığın yetersiz kullanıcı girişi doğrulamasından kaynaklandığını ve etkileyen cihazlara yerel erişimi olan yetkilendirilmiş saldırganlar tarafından istismar edilebileceğini belirtmiştir.
Mandiant, bu açığın nasıl istismar edildiğini açıklamaktadır. Saldırılar, yetkisiz SD-WAN eşleme bağlantıları oluşturarak başlamış ve bu süreçte yasal erişim sağlanmıştır. Mart 2026 itibarıyla, saldırganlar, vmanage-admin hesabını kullanarak SD-WAN Manager cihazlarına erişim sağlamışlardır.
Mandiant, saldırganların önce varsayılan yönetici hesabının parolasını değiştirdiğini, ardından SD-WAN Manager web arayüzüne giriş yaparak kenar cihazları, kontrolörler ve SD-WAN şablonları için yapılandırma bilgilerini çaldığını belirtmektedir.
Ayrıca saldırganlar, CVE-2026-20245 zafiyetine yönelik bir kötü amaçlı CSV dosyası (“evil_tenant.csv”) yükleyerek kök düzeyinde bir hesap oluşturmuşlardır. Bu süreç, zararlı yükün önce sistem yapılandırma dosyalarının yedeklerini alması ve ardından yeni bir “troot” adlı hesap oluşturması ile devam etmiştir.
Etkilenen Sistemler
Bu güvenlik açığından etkilenen sistemler şunlardır:
- Cisco Catalyst SD-WAN Manager (vManage)
- Cisco Catalyst SD-WAN Controller (vSmart)
- Cisco Catalyst SD-WAN Validator (vBond)
Çözüm ve Korunma
Cisco, bu açığın istismar edildiğini ve bazı vakalarda yetkisiz yapılandırma değişiklikleri yapıldığını bildirmektedir. Şirket, kullanıcıları güncellemeler yapmaya teşvik ederek, aşağıdaki yazılım versiyonlarına geçmelerini önermektedir:
- *Cisco vManage:* Güncellenmiş versiyonları yükleyin.
- *Cisco vSmart ve vBond:* Güvenlik güncellemelerini uygulayın.
Ayrıca, Cisco’nun bu açığı gizleyen herhangi bir geçici çözüm sağlanmadığını belirttiği unutulmamalıdır. Mandiant, kullanıcıların SD-WAN cihazlarındaki teşhis verilerini toplamalarını, yetkisiz peering bağlantılarını kontrol etmelerini ve en son yazılım sürümlerine yükseltme yapmalarını öneriyor.
Son olarak, eğer hâlâ güncellenmemiş yazılım kullanıyorsanız, acilen sistemlerinizi güncelleyin ve gereksiz portları kapatarak risklerinizi azaltın.
