Cisco, Catalyst SD-WAN Manager üzerinde kritik bir güvenlik açığının aktif olarak istismar edilmekte olduğunu bildirdi. Bu durum, ağ güvenliği açısından ciddi bir tehdit oluşturmakta ve güncellenmesi gereken bir aciliyet taşımaktadır.

Saldırı Nasıl Çalışıyor?

Açıklanan güvenlik açığı, CVE-2026-20245 kodu ile takip edilmektedir ve CVSS puanı 7.8’dir. Bu açık, Cisco Catalyst SD-WAN Manager’ın CLI’sinde bulunmaktadır ve bir yetkili, yerel saldırganın belirli bir dosyayı zarar görmüş sisteme yükleyerek kök olarak rasgele komutlar çalıştırmasına olanak tanır.

Etkilenen Sistemler

Açık, aşağıdaki dağıtım türlerini etkilemektedir:

• On-Prem Dağıtım
• Cisco SD-WAN Cloud-Pro
• Cisco SD-WAN Cloud (Cisco Yönetimli)
• Cisco SD-WAN for Government (FedRAMP)

Teknik Detaylar

Cisco, bu açığın yetersiz kullanıcı girişi doğrulamasından kaynaklandığını belirtiyor. Saldırganlar, sistemde herhangi bir dosya yükleyerek, komut enjeksiyonu gerçekleştirip yetkilerini artırabilirler. Ancak, bu açığı istismar edebilmek için saldırganın etkilenen sistemde  netadmin  ayrıcalıklarına sahip olması gerekmektedir. Bunun için geçerli kimlik bilgilerine sahip olmaları ya da CVE-2026-20182 veya CVE-2026-20127 açıklarının istismar edilmesi gerekmektedir.

Çözüm ve Korunma

Cisco, CVE-2026-20245 için henüz herhangi bir yamanın veya çözümün mevcut olmadığını bildirmiştir. Kullanıcılara,  14 Mayıs 2026  tarihinde yayımlanan CVE-2026-20182 için düzeltmelerin uygulandığından emin olmak üzere SD-WAN yazılımlarını güncellemeleri önerilmektedir.

Ayrıca, internet ile bağlantılı sistemlerin daha yüksek bir risk altında olduğuna dair uyarıda bulunan Cisco, kullanıcıların belirli günlük dosyalarını kontrol etmelerini salık veriyor. Örneğin, “/var/log/scripts.log” dosyasında aşağıdaki gibi girişler aranmalıdır:

Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun  5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun  5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv

Sonuç

Okuyucular, acil olarak sistemlerini güncellemeli ve yukarıda belirtilen günlük dosyalarını kontrol ederek herhangi bir anormallik tespit etmeye çalışmalıdır. Ayrıca, internet üzerinden erişilen sistemlerin güvenliğini artırmak için gerekli önlemleri almalıdırlar.

Son günlerde birçok Dashlane kullanıcısı, uzaktan gerçekleştirilen ve bilinmeyen cihazlardan gelen kaba kuvvet saldırıları sonucunda hesaplarına erişim sağlayamadı. Bu durum, siber güvenlik açısından önemli bir tehdit oluşturmakta ve kullanıcıların hesap güvenliğine dair endişeleri artırmaktadır.

Saldırı Nasıl Çalışıyor?

Dashlane tarafından yapılan açıklamada, kullanıcı hesaplarının dışarıdan gerçekleştirilen bir kaba kuvvet saldırısı sonucunda askıya alındığı belirtildi. Kaba kuvvet saldırıları, bir hesabın şifresini bulmak amacıyla birçok şifreyi ardışık olarak denemeyi içermektedir. Dashlane, bu tür saldırılara karşı hesapları koruma amacıyla otomatik güvenlik yanıtları uyguladığını ifade etti.

Etkilenen Sistemler

Olayın ortaya çıkmasından sonra, bazı Dashlane kullanıcıları aşağıdaki durumları rapor etti:

• Yabancı ülkelerden gelen şüpheli erişim talepleri.
• Legitim hesap sahiplerinin yeni cihazlar kayıt etmek içim gönderilen doğrulama kodları.
• Aşırı şifre denemeleri sonucunda hesapların askıya alınması.

Çözüm ve Korunma

Dashlane, olayın başladığı tarihten itibaren çözüm sürecini hızla yürüttüğünü ve hiçbir sistem tavizinin söz konusu olmadığını belirtmiştir. Kullanıcıların bu süreçte dikkat etmeleri gereken bazı noktalar:

• Şifre yöneticisi şifresinin güçlü ve benzersiz olmasını sağlamak.
• İki faktörlü kimlik doğrulama özelliğini aktif hale getirmek.
• Olayla ilgili herhangi bir şüpheli e-posta veya bildirim geldiğinde, doğrulama yapmadan işlem yapmamak.

Sonuç

Dashlane kullanıcılarının, hesaplarına erişim sağlayamadıkları süre zarfında dikkatli olmaları ve güvenlik önlemlerini artırmaları gerekmektedir. Hesap güvenliği için, şu adımları atmanızı öneriyoruz:

• Hesap şifrenizi mümkün olan en kısa sürede değiştirin.
• Dashlane uygulamasında güncellemeleri kontrol edin ve mevcut olan en son sürümü yükleyin.
• Şüpheli erişim taleplerine karşı uyanık olun ve gerekirse hesabınızı geçici olarak kapatın.

Bu tür saldırıların artış gösterdiği günümüzde, bireysel güvenliğinizi sağlamak için gerekli önlemleri almak önemlidir.

Cisco, Secure Workload ürününde yüksek seviye bir güvenlik açığını düzeltmek için güncellemeler yayınladı. Bu açıklık, saldırganların Site Admin yetkileri edinmesine olanak tanıyor ve büyük bir güvenlik riski oluşturuyor.

Saldırı Nasıl Çalışıyor?

Bu güvenlik açığı, CVE-2026-20223 olarak takip edilmektedir ve Secure Workload’ın dahili REST API’lerinde bulunmuştur. Yetersiz doğrulama ve kimlik doğrulama nedeniyle saldırganlar, etkilenen bir API noktasına özel hazırlanmış bir istek göndererek Site Admin rolündeki kaynaklara erişim sağlayabilirler.

Cisco, bu açığın başarılı bir şekilde exploitation edilmesi durumunda saldırganın hassas bilgilere ulaşabileceğini ve çok kiracılı yapı üzerinde yapılandırma değişiklikleri yapabileceğini belirtmiştir.

Etkilenen Sistemler

Aşağıda etkilenen sürümler ve düzeltme sürümleri listelenmiştir:

• 3.9 ve daha eski sürümler: Düzeltme sürümüne geçiş yapın.
• 3.10: 3.10.8.3 sürümünü kullanın.
• 4.0: 4.0.3.17 sürümünü kullanın.

Çözüm ve Korunma

Cisco, bu güvenlik açığı için geçici bir çözüm sağlamadığını, ancak yerel müşteriler için yazılım güncellemeleri yayınladığını belirtmiştir. Bulut tabanlı Cisco Secure Workload SaaS dağıtımında ise sorun zaten halledilmiştir.

Ayrıca, Cisco’nun Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), bu güvenlik açığının açıklama öncesinde aktif olarak istismar edildiğine dair herhangi bir kanıt bulmamıştır.

Aksiyon

Okuyucuların, öncelikle sistemlerini  güncellemeleri  ve en son düzeltme sürümlerini yüklemeleri önerilmektedir. Ayrıca, gereksiz portları kapatma ve ağlarınızdaki güvenlik önlemlerini gözden geçirme olarak ek adımlar da önemlidir. Bu tür güvenlik açıklarını önlemek için düzenli olarak güvenlik güncellemelerini takip etmek büyük bir önem taşımaktadır.

Son dönemde, Dark Web’deki en büyük pazar yerlerinden biri olan Dream Market’in yöneticisi Owe Martin Andresen, ABD’de para aklama suçlamasıyla yargılandı. Bu olay, siber suçların ve Dark Web’in tehlikelerini bir kez daha gözler önüne seriyor.

Saldırı Nasıl Çalışıyor?

Dream Market, Kasım 2013’te yasal olmayan ürünlerin ve hizmetlerin anonim bir şekilde satışını sağlamak amacıyla kuruldu. Pazar, Hansa ve AlphaBay gibi diğer büyük pazar yerlerinin kapatılmasının ardından en büyük Dark Web pazarı haline geldi ve her zaman neredeyse 100,000 ilanda yer alıyordu.

Andresen, “Speedstepper” takma adıyla pazarın ana yöneticisi olarak çalışıyordu ve daha önce diğer suçlamalarda kimliği belirlenmemişti. Savcılar, Andresen’in yüklü miktarda kripto para içerdiği, Dream Market’in hareketsiz cüzdanlarını Kasım ve Aralık 2022’de erişip yeni cüzdanlara aktardığını iddia ediyor. Bu işlem, yalnızca pazarın orijinal özel anahtarlarına sahip bir kişi tarafından gerçekleştirilebilirdi.

Etkilenen Sistemler

Adalet Bakanlığı, Dream Market’in kapatılmasına kadar 450 kilogram kokain, 90 kilogram eroin, 45 kilogram metamfetamin gibi önemli miktarda yasa dışı madde satışını kolaylaştırdığını bildirdi. Öne çıkan birkaç temel özelliği şunlardır:

• 450 kilogram kokain
• 90 kilogram eroin
• 25 kilogram crack kokain
• 36 kilogram fentanil

Andresen, Ağustos 2023’te Atlanta, Georgia merkezli bir kripto parayı hizmet sağlayıcısını kullanarak, pazarın fonlarını uluslararası şirketlerden altın çubukları satın almak için kullandı.

Çözüm ve Korunma

Almanya’daki güvenlik güçleri, Andresen’in bir yıla kadar 2 milyon dolardan fazla para akladığını tespit etti. 7 Mayıs 2026’da gerçekleştirilen aramalarda, altın çubuklar ve 1.2 milyon dolarlık şüpheli Dream Market gelirlerini içeren kripto cüzdanlarının kanıtları bulundu.

Dark Web pazarlarına yönelik bu tür saldırılardan korunmak için kullanıcıların alacakları önlemler şunlardır:

• Yazılımlarınızı düzenli olarak güncelleyin.
• Güçlü parolalar ve iki faktörlü kimlik doğrulama kullanın.
• Bilgi güvenliği konusunda eğitimlere katılın.

Sonuç olarak, bu tür olayların önüne geçmek için sistemlerimizi sürekli olarak güncel tutmak ve potansiyel tehditlere karşı dikkatli olmak kritik öneme sahiptir. Dark Web ile ilgili herhangi bir satıcı veya hizmetten şüphe duyuyorsanız, derhal o bağlantıyı kapatın ve güvenlik önlemlerinizi artırın.