Giriş
Cisco, kritik bir güvenlik açığı olan Catalyst SD-WAN Controller kimlik doğrulama atlama hatasını (CVE-2026-20182) bildirdi. Bu açık, saldırganların etkilenmiş cihazlarda yönetsel ayrıcalıklara erişmesine izin veren sıfırıncı gün saldırılarında aktif olarak kullanıldı.
Saldırı Nasıl Çalışıyor?
CVE-2026-20182, şiddet derecesi 10.0 olan bir açık olarak, Cisco Catalyst SD-WAN Controller ve Cisco Catalyst SD-WAN Manager’ı etkiler. Bu durum, peering kimlik doğrulama mekanizmasının düzgün çalışmamasından kaynaklanmaktadır. Cisco, saldırganların, etkilenmiş sisteme manipüle edilmiş istekler göndererek bu açığı istismar edebileceğini belirtmiştir.
Başarılı bir istismar, saldırganın etkilenmiş Cisco Catalyst SD-WAN Controller’a, dahili, yüksek ayrıcalıklı bir kullanıcı hesabı olarak giriş yapmasını sağlayabilir. Bu hesapla, saldırgan NETCONF’a erişim sağlayabilir ve ardından SD-WAN yapısının ağ yapılandırmasını değiştirebilir.
Etkilenen Sistemler
CVE-2026-20182, aşağıdaki sistemleri etkiler:
- Cisco Catalyst SD-WAN Controller
- Cisco Catalyst SD-WAN Manager
Bu sistemler hem yerel (on-premise) hem de SD-WAN Bulut dağıtımları için geçerlidir. Cisco, bu açığın Mayıs ayında kötü niyetli aktörler tarafından istismar edildiğini tespit etti; ancak açığın nasıl kullanıldığı hakkında detay vermemiştir.
Çözüm ve Korunma
Cisco, açığı gidermek amacıyla güvenlik güncellemeleri yayımladı ve alternatif bir çözüm bulunmadığını bildirdi. Kullanıcılara, SD-WAN yönetim ve kontrol düzlemi arayüzlerine erişimi yalnızca güvenilir dahili ağlarla veya yetkilendirilmiş IP adresleri ile kısıtlamalarını önermektedir. Ayrıca, oturum açma aktiviteleri için kimlik doğrulama günlüğünü incelemenin önemini vurgulamaktadır.
CISA, Cisco CVE-2026-20182 açığını Bilinen İstismar Edilen Açıklar Kataloğu‘na ekledi ve federal ajanslardan etkilenmiş cihazların 17 Mayıs 2026’ya kadar yamanmasını talep etti.
İndikatörler ve Önlemler
Cisco, kuruluşların internet üzerinden erişilebilir Catalyst SD-WAN Controller sistemlerinin günlüklerini incelerken, yetkisiz erişim ya da peering olaylarını kontrol etmeleri gerektiğini belirtiyor. Yöneticiler, şüpheli oturum açma etkinlikleri için /var/log/auth.log dosyasını kontrol etmelidir:
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]Eğer tanınmayan bir IP adresi başarılı bir şekilde kimlik doğruladıysa, yöneticilerin bu cihazı tehlikeye girmiş olarak değerlendirmesi ve Cisco TAC ile iletişime geçmesi önemlidir. Ayrıca, SD-WAN Controller günlüklerinde yetkisiz peering etkinliklerini incelemek, saldırganların SD-WAN yapısına sahte cihazlar kaydetme girişimlerini tespit etmeye yardımcı olabilir.
Sonuç
Cisco, CVE-2026-20182 açığını tam olarak remediye etmek için kullanıcıları güncel yazılım sürümüne geçmeye şiddetle teşvik etmektedir. Ayrıca, hem SD-WAN yönetimini hem de kontrol düzlemi arayüzlerini yalnızca güvenilir IP adresleri ve dahili ağlarla kısıtlama ve şüpheli günlük aktivitelerini düzenli olarak gözden geçirme önlemleri alınmalıdır. Bu önlemler, sistemlerinizi potansiyel tehditlere karşı korumanıza yardımcı olacaktır.
