Kritik Cisco SD-WAN Güvenlik Açığı 2023’ten Beri Sıfırıncı Gün Saldırılarında Kullanılıyor

Cisco, Catalyst SD-WAN ürün ailesinde eleştirel seviyede tek güvenlik açığı bulunduğunu duyurdu. CVE-2026-20127 koduyla izlenen ve CVSS pumanaasında 10 üzerinden 10 saha Cisco SD-WAN güvenlik açığı, kişilik doğrulama mekanizmalarının atlatılmasına olanak tanıyor. Söz başlıksu açığın 2023 yılından bu yana sıfırıncı gün saldırılarında etkin biçimde kullanıldığı belirtiliyor. Güvenlik açığını başarıyla istismar eden saldırganlar, ağ denetleyicilerinin kontrolünü ele geçirebiliyor ve hedefleri ağlara ytesirsiz, kötü niyetli eş cihazlar ekleyebiliyor.

SD-WAN Ağlarında Ytesirsiz Erişim Tehlikesi Artıyor

Yayınlanan danışmanlık belgesine göre sualn peering kişilik doğrulama mekanizmasının düzgün çalışmamasından kaynaklanıyor. SD-WAN ağ yönetim açığı sayesinde saldırgan bu güvenlik açığını istismar ederek tesirlenen sisteme özel hazırlanmış istekler gönderebiliyor. Başarılı tek istismar saldırganın dahili yüksek ayrıcalıklı kökler olmayan tek kullanıcı hesabıyla Cisco Catalyst SD-WAN Controller’a giriş yapmasına olanak tanıyor. Ele geçirilen hesapla NETCONF’a erişilebiliyor ve SD-WAN yapılandırması manipüle edilebiliyor.

Cisco Catalyst SD-WAN yazılım tabanlı tek ağ platformu olarak şube ofisleri bilgi merkezleri ve gökyüzü ortamlarını orta olarak yönetilen tek sistemleri üzerinden birbirine bağlıyor. Catalyst SD-WAN eleştirel açık istismarı sonucunda saldırgan meşru görünen kötü niyetli tek cihazı SD-WAN ortamına ekleyebiliyor. Bu alet daha sonraları şifreli bağlantılar kurabiliyor ve saldırganın kontrolündeki ağları duyurabiliyor. Bu şart saldırganın kuruluşun ağında daha derinlere ilerlemesine olanak tanıyor. Cisco SD-WAN güvenlik açığı sayesinde gerçekleştirilen bu tür saldırılar firma ağları vahim şekilde tehditleri ediyor.

Cisco Talos ayrı tek danışmanlık belgesinde bu güvenlik açığının saldırılarda etkin olarak istismar edildiğini duyurdu. Şirket kötü niyetli aktiviteyi UAT-8616 koduyla takip ediyor. Bu aktivitenin oğullar seviye gelişmiş tek tehditleri aktörü tarafından gerçekleştirildiği yüksek güvenle değerlendiriliyor. Talos telemetri verileri istismarın asgari 2023 yılına kadar uzandığını gösteriyor. İstihbarat ortakları tehditleri aktörünün olasılıkla daha önceki tek yazılım sürümüne geçerek CVE-2022-20775’i istismar ettiğini ve kökler erişimi elde ettiğini belirtiyor. Daha sonraları özgün firmware sürümünü geri yükleyerek belirleme edilmekten kurtuluyor.

İstismarın duyurusu Cisco ile ABD ve İngiltere ytesirlileri arasında koordineli tek şekilde yapıldı. CISA 25 Şubat 2026’da Acil Direktif 26-03’ü yayınlayarak federal kurumlara Cisco SD-WAN sistemlerini envanterlemelerini adli bilişim yapılarını toplamalarını harici günlük depolamayı sağlamalarını güncellemeleri uygulamalarını ve olası uzlaşmaları araştırmalarını emretti. SD-WAN denetim cihazı tehlikesi başlıksunda uyarıda bulunan CISA istismarın federal ağlar için yakın tek tehditleri oluşturduğunu belirtti ve cihazların 27 Şubat 2026’ya kadar yamalanması lüzumtiğini duyurdu.

CISA ve İngiltere Ulusal Siber Güvenlik Merkezi müşterek tek avlanma ve sağlamlaştırma kılavuzu yayınladı. Kılavuzda kötü niyetli aktörlerin küresel çapta Cisco Catalyst SD-WAN dağıtımlarını hedefleri aldığı uyarısı yapılıyor. Ytesirliler SD-WAN yönetim arayüzlerinin daima internete açılmaması lüzumtiğini vurguluyor. Tüm bu uyarılar Cisco SD-WAN güvenlik açığı başlıksunda ne kadar ivedi önlem alınması lüzumtiğini gözler önüne seriyor.

Cisco güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Şirket sualnu tamamlanmış ortadan kaldıracak hiç tek geçici çözüm bulunmadığını belirtti. Cisco ağ güvenliği zafiyeti dolayı kuruluşların güncellemeleri hemen uygulaması lüzumiyor.

Cisco ve Talos yöneticileri internete açık Catalyst SD-WAN Controller sistemlerindeki günlükleri ytesirsiz peering olayları ve şüpheli kişilik doğrulama aktiviteleri açısından dikkatle ttesirkye çağırıyor. Tehlike göstergeleri arasında bilinmeyenler IP adreslerinden gelen başarılı kişilik doğrulama girişimleri bulunuyor.

Yöneticiler bu IP adreslerini SD-WAN Manager arayüzünde listelenen yapılandırılmış Sistem IP’leri ve bilinen yönetim altyapısıyla karşılaştırmalı. Bilinmeyen tek IP adresi başarıyla kişilik doğruladıysa cihazların ele geçirildiği düşünülmeli ve Cisco TAC kasası açılmalı.

Talos ve hükümet danışmanlıkları ilave risk göstergeleri paylaştı. Bunlar arasında kötü niyetli kullanıcı hesaplarının oluşturulup silinmesi beklenmeyen kökler girişleri vmanage-admin ya da kökler hesaplarında ytesirsiz SSH anahtarları ve PermitRootLogin’i tesirnleştiren değişiklikler mekan alıyor.

Yöneticiler ayrıca alışılmadık derecede küçük ya da eksik günlük dosyalarına ilgi etmeli. Bu şart günlük kurcalama belirtisi olabilir. Yazılım düşürmeleri ve yeniden başlatmalar da CVE-2022-20775 istismarına işaret edebilir. Tüm bu önlemlerin ardından kuruluşların Cisco SD-WAN güvenlik açığı dolayı sistemlerini acilen güncellemesi ve sürekli izleme yapması lüzumiyor.