Giriş
Cisco, Catalyst SD-WAN Manager’da yer alan ve kök ayrıcalıklara yükseltme yapılmasına neden olan bir güvenlik açığına yönelik güncellemeler yayınladı. CVE-2026-20262 koduyla takip edilen bu açık, siber saldırılarda istismar edilmiştir ve kritik öneme sahiptir.
Saldırı Nasıl Çalışıyor?
Cisco’nun açıkladığına göre, bu güvenlik açığı, kullanıcıdan alınan girdilerin dosya yükleme işlemleri sırasında yetersiz doğrulaması nedeniyle meydana gelmektedir. Bu durum, düşük ayrıcalıklara sahip uzaktan saldırganların, etkilenen bir API uç noktasına özelleştirilmiş HTTP istekleri göndererek kök ayrıcalıklarıyla rastgele komutlar çalıştırmasına izin vermektedir. Aşağıdaki açıklamaları dikkate almak önemlidir:
- Açık, etkilenen sistemin dosya sisteminde herhangi bir dosyayı oluşturma ya da mevcut bir dosyayı üzerine yazma imkanı tanır.
- Saldırganlar, etkilenen sistemi hedef alarak HTTP isteği gönderebilir.
- Başarılı bir istismar, saldırganın kök ayrıcalıkları elde etmesini sağlamak için temel işletim sisteminde dosya oluşturmasına veya mevcut dosyayı değiştirmesine neden olabilir.
Etkilenen Sistemler
Bu güvenlik açığı, tüm dağıtım türlerini etkilemektedir ve aşağıdaki sürüm numaraları üzerinde gözlemlenmiştir:
| Cisco Catalyst SD-WAN Sürümü | İlk Düzeltme Sürümü |
|---|---|
| 20.9.9.1 ve önceki sürümler | 20.9.9.2 |
| 20.12.7.1 ve önceki sürümler | 20.12.7.2 |
| 20.15.4.4 ve önceki sürümler | 20.15.4.5 |
| 20.15.5.2 ve önceki sürümler | 20.15.5.3 |
| 20.18.3 | 20.18.3.1 |
| 26.1.1.1 ve önceki sürümler | 26.1.1.2 |
Çözüm ve Korunma
Cisco, güvenlik açığıyla ilgili olarak sistem yöneticilerine aşağıdaki noktalara dikkat etmelerini önermektedir:
- Etkinliklerini kontrol etmek için vmanage-server, vmanage-appserver ve serviceproxy-access log’larını kontrol edin.
- İndex.jsp ve .war dosyalarını yüklemeye yönelik herhangi bir girişim var mı diye inceleyin.
- Sistemlerinizi en kısa sürede güncelleyin. Gerekli güncellemeleri yapmak için CVE-2026-20262 açığıyla ilgili [Cisco güvenlik danışmanlığı](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-arbfw-c2rZvQ) kaynak bulunabilir.
Aksiyon
Kullanıcıların, yukarıda belirtilen güncellemeleri bir an önce uygulamaları ve sistemlerini korumak için gerekli önlemleri almaları büyük önem taşımaktadır. Port kapama gibi ilave önlemler de göz önünde bulundurulmalıdır. Kimliği doğrulanmış bir saldırganın sisteme erişimini engellemek için gerekli önlemleri almak, olası saldırılara karşı hazırlıklı olmak için kritik bir adımdır.
