Giriş
Cisco, Catalyst SD-WAN Manager’da tespit edilen orta seviyeli bir güvenlik açığı için acil güncellemeler yayınladı. Bu zafiyet, aktif olarak kötü niyetli saldırılara maruz kalması ile dikkat çekiyor.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-20262 kodu ile takip edilmektedir ve CVSS skoru 6.5 üzerinden değerlendirilmiştir. Cisco, bu zafiyetin web arayüzünde kullanıcı tarafından sağlanan verilerin yetersiz doğrulama süreçlerinden kaynaklandığını belirtiyor. Saldırgan, sahte HTTP istekleri göndererek hedef API uç noktasında dosya oluşturma veya mevcut bir dosyayı değiştirme yeteneğine sahip olabilir. Bu durum, saldırganın kök yetkisini artırma potansiyeli taşımaktadır; ancak, başarılı bir saldırı için saldırganın geçerli kimlik bilgilerine sahip olması ve en azından yazma izni bulunması gerekiyor.
Etkilenen Sistemler
Bu güvenlik açığı, aşağıdaki ürünleri etkilemektedir:
- Cisco Catalyst SD-WAN Manager On-Prem
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (Cisco Managed)
- Cisco SD-WAN for Government (FedRAMP)
Çözüm ve Korunma
Cisco, bu sorunu çözmek amacıyla aşağıdaki yamaları yayınlamıştır:
- Cisco Catalyst SD-WAN Release 20.9.9.1 ve önceki sürümler – 20.9.9.2’de düzeltildi
- Cisco Catalyst SD-WAN Release 20.12.7.1 ve önceki sürümler – 20.12.7.2’de düzeltildi
- Cisco Catalyst SD-WAN Release 20.15.4.4 ve önceki sürümler – 20.15.4.5’te düzeltildi
- Cisco Catalyst SD-WAN Release 20.15.5.2 ve önceki sürümler – 20.15.5.3’te düzeltildi
- Cisco Catalyst SD-WAN Release 20.18.3 – 20.18.3.1’de düzeltildi
- Cisco Catalyst SD-WAN Release 26.1.1.1 ve önceki sürümler – 26.1.1.2’de düzeltildi
Cisco, bu güvenlik açığının Haziran 2026’da sınırlı bir şekilde istismar edildiğini belirtmekte ve olayı iç güvenlik testleri sırasında keşfetmiştir. Müşterilerine, aşağıdaki şüpheli WAR dosyası yüklemelerini kontrol etmelerini öneriyor:
11-June-2026 03:53:37,310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
Ayrıca, kötü amaçlı kod dağıtımı ve bu kodla etkileşim kurma girişimleri gibi başka göstergeler de bulunmaktadır, ancak Cisco bu bilgilerin her olay kaydında her zaman görünmeyebileceği konusunda uyarıda bulunmaktadır.
Sonuç
Okuyucuların, yukarıda belirtilen güncellemeleri ve yamaları derhal uygulamaları, sistemlerinin güvenliğini sağlamak için son derece önemlidir. Ayrıca, /var/log/nms/vmanage-server.log dosyasını inceleyerek şüpheli aktiviteleri kontrol etmeleri önerilir. Sistem güvenliğinizi tehlikeye atmamak adına tüm önlemleri almanız gerekmektedir.
