Giriş
Son zamanlarda, Cisco Catalyst SD-WAN’da tespit edilen CVE-2026-20245 kodlu yüksek öncelikli güvenlik açığı, siber tehdit aktörleri tarafından istismar edilmeye başlandı. Bu durum, kritik ağ bileşenlerinin savunmasızlığını ortaya koymakta ve potansiyel veri ihlallerine zemin hazırlamaktadır.
Saldırı Nasıl Çalışıyor?
CVE-2026-20245 (CVSS puanı: 7.8) olarak izlenen bu güvenlik açığı, doğrulanmış bir yerel saldırganın, sistemin yetersiz kullanıcı girişi doğrulama mekanizmasını kullanarak yükseltilmiş ayrıcalıklarla rastgele komutlar çalıştırmasına olanak tanımaktadır. Cisco, bu açığın istismarının, saldırganın etkilenen sistemde yönetici (netadmin) ayrıcalıklarına sahip olmasını gerektirdiğini belirtmiştir.
Mandiant araştırmacıları, saldırganların operasyonel güvenliği sağlamak ve tespit edilmekten kaçınmak için sürekli olarak anti-forensik teknikler kullandığını ve sistem yapılandırma dosyalarını seçici bir şekilde silip geri yüklediğini bildirmiştir.
Etkilenen Sistemler
İncelemelere göre, saldırganların, Cisco Catalyst SD-WAN kontrolörlerinde, aşağıdaki iki yetkilendirme atlama açığını istismar ettiği düşünülmektedir:
- CVE-2026-20127
- CVE-2026-20182
Yine de, saldırganlar, etkilenen cihazda daha önceki bir ihlalle çalınan sertifikaları kullanarak gerekli gizli bilgileri edinebilmiş olabilirler. March 2026’da gerçekleşen bir ikinci saldırı dalgasının, daha yeni bir yazılım versiyonundaki güvenlik açığını hedef almadığı Cisco tarafından doğrulanmıştır.
Çözüm ve Korunma
Açığın kullanılması sonucu, saldırgan yeni bir kullanıcı hesabı oluşturarak (isim: ‘troot’) tüm kök seviyesinde kontrol elde etmiştir. Saldırganın izlerini silmek için dosyaları silmesi, yapılandırma değişikliklerini geri alması ve yaptıkları her şeyi gizlemek için diğer script’leri çalıştırması, savunucuların durumu değerlendirmesini oldukça zorlaştırmaktadır.
Kullanıcıların, bu tür saldırılardan korunmak için aşağıdaki önlemleri alması kritik önem arz ediyor:
- Etkinliğinizde kullanılan cihazların yazılımlarını hemen güncelleyin.
- Varsayılan yönetici şifrelerini değiştirin ve güçlü parolalar kullanın.
- Ağ cihazlarına erişimi sıkı bir şekilde kontrol edin ve yalnızca gerekli izinleri verin.
- Sistem yapılandırmalarını düzenli olarak gözden geçirin ve anormallikleri kontrol edin.
Sonuç
Okuyucular, CVE-2026-20245 açığına karşı derhal güncelleme yapmalı, varsayılan portları kapatmalı ve güvenlik önlemlerini titizlikle uygulamalıdır. Siber güvenlik her zaman öncelikli olmalı ve sistemlerinizi korumak için sürekli tetikte olmalısınız.
