Cisco Kritik SD-WAN Yöneticisi Açığını Giderdi, Sıfırıncı Gün Saldırılarında Yetki Yükseltme Tespit Edildi
Cisco, Catalyst SD-WAN Manager platformunda bulunan ve saldırganların sistemlerde kök (root) yetkileri elde etmesine olanak tanıyabilen CVE-2026-20262 numaralı kritik güvenlik açığını kapattığını duyurdu. Şirket, açığın gerçek saldırılarda kullanıldığını doğrularken, müşterilere sistemlerini acilen güncellemeleri çağrısında bulundu.
Cisco, daha önce SD-WAN vManage adıyla bilinen Catalyst SD-WAN Manager yazılımında tespit edilen CVE-2026-20262 numaralı güvenlik açığı için güncellemeler yayımladı. Şirket, söz konusu açığın saldırganlar tarafından aktif olarak kullanıldığını belirterek kullanıcıları ve kurumları yamaları uygulamaya davet etti.
Catalyst SD-WAN Manager, yöneticilerin tek bir kontrol paneli üzerinden 6 bine kadar SD-WAN cihazını yönetmesine olanak tanıyor. Cisco tarafından yapılan açıklamaya göre güvenlik açığı, şirket içi kurulumlar, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) ve kamu kurumlarına yönelik Cisco SD-WAN for Government (FedRAMP) dahil tüm dağıtım türlerini etkiliyor.
“Dosya Yüklemelerinde Yetersiz Doğrulama Tespit Edildi”
Cisco, açığın web arayüzündeki dosya yükleme işlemleri sırasında kullanıcı tarafından sağlanan verilerin yeterince doğrulanmamasından kaynaklandığını bildirdi.
Şirket açıklamasında, “Cisco Catalyst SD-WAN Manager web arayüzündeki bir güvenlik açığı, kimliği doğrulanmış uzak bir saldırganın etkilenen sistemin dosya sisteminde dosya oluşturmasına veya mevcut dosyaların üzerine yazmasına olanak tanıyabilir.” ifadelerini kullandı.
Cisco ayrıca, “Saldırgan, etkilenen API uç noktasına özel olarak hazırlanmış bir HTTP isteği göndererek bu güvenlik açığından yararlanabilir. Başarılı bir saldırı sonucunda işletim sistemi üzerindeki herhangi bir dosya oluşturulabilir veya üzerine yazılabilir. Bu dosya daha sonra kök yetkilerine yükselmek amacıyla kullanılabilir.” açıklamasında bulundu.
Aktif Saldırılar Doğrulandı
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), CVE-2026-20262 açığının bu ayın başlarında gerçek saldırılarda kullanıldığını tespit ettiğini açıkladı. Şirket, saldırıların kapsamı veya hedef alınan kuruluşlar hakkında ayrıntı paylaşmadı.
Bununla birlikte Cisco, sistem yöneticilerine SD-WAN günlüklerinde olağan dışı faaliyetleri incelemeleri çağrısında bulundu. Şirket, özellikle “index.jsp” ve “.war” dosyalarının yüklenmesine yönelik girişimlerin kontrol edilmesini tavsiye etti.
Cisco tarafından paylaşılan göstergelere göre yöneticilerin “vmanage-server”, “vmanage-appserver” ve “serviceproxy-access” günlüklerini incelemesi önerildi.
Birden Fazla SD-WAN Açığı Son Dönemde İstismar Edildi
Cisco, son aylarda Catalyst SD-WAN ürün ailesini etkileyen çok sayıda kritik güvenlik açığına ilişkin uyarılar yayımladı.
Şubat ayında şirket, CVE-2026-20133 numaralı bilgi ifşası açığını giderdi. Nisan ayı sonunda bu açığın aktif olarak istismar edildiği bildirildi. Ardından CVE-2026-20128 ve CVE-2026-20122 numaralı iki ek güvenlik açığının da saldırılarda kullanıldığı açıklandı.
Mayıs ayında ise CVE-2026-20182 numaralı, en yüksek önem derecesine sahip kimlik doğrulama atlatma açığının sıfırıncı gün saldırılarında kullanıldığı ve yamalanmamış cihazlarda yönetici yetkileri elde edilmesine olanak sağladığı duyuruldu.
Cisco ayrıca Haziran ayının başında CVE-2026-20245 numaralı başka bir Catalyst SD-WAN Manager sıfırıncı gün açığının da saldırganlar tarafından kullanıldığını açıklamıştı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) verilerine göre son yıllarda gerçek saldırılarda kullanılan 91 Cisco güvenlik açığı kayda geçti. Bunların beşi Catalyst SD-WAN Manager ürününü etkilerken, altı açığın fidye yazılımı saldırılarında kullanıldığı belirtildi.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
