Cisco CVE-2026-20127 Uyarısı: “Kritik SD-WAN Açığı 2023’ten Bu Yana Sıfır Gün Saldırılarında Kullanıldı”

Cisco, CVE-2026-20127 koduyla izlenen kritik bir güvenlik açığının sıfır gün saldırılarında aktif olarak kullanıldığını açıkladı. Maksimum 10.0 önem derecesine sahip açık, Cisco Catalyst SD-WAN Controller (eski adıyla vSmart) ve Cisco Catalyst SD-WAN Manager (eski adıyla vManage) sistemlerini hem kurum içi hem de SD-WAN Cloud kurulumlarında etkiliyor.

Cisco, güvenlik açığının Avustralya Sinyal Müdürlüğü’ne bağlı Australian Cyber Security Centre (ACSC) tarafından bildirildiğini duyurdu. Şirket tarafından yayımlanan güvenlik bülteninde, sorunun eşler arası kimlik doğrulama mekanizmasının düzgün çalışmamasından kaynaklandığı belirtildi.

Cisco açıklamasında, “Bu güvenlik açığı, etkilenen sistemdeki eşleme kimlik doğrulama mekanizmasının düzgün çalışmaması nedeniyle ortaya çıkmaktadır. Bir saldırgan, özel olarak hazırlanmış istekler göndererek bu açığı istismar edebilir.” ifadelerine yer verildi.

Açıklamada ayrıca, başarılı bir istismarın saldırgana etkilenen SD-WAN Controller üzerinde yüksek ayrıcalıklı ancak root olmayan bir dahili kullanıcı hesabıyla oturum açma imkânı verebileceği belirtildi. Cisco, “Bu hesap kullanılarak NETCONF erişimi sağlanabilir ve SD-WAN yapısının ağ yapılandırması değiştirilebilir.” bilgisini paylaştı.

Sahte Eş Ekleyerek Ağa Sızma

Cisco Catalyst SD-WAN, şubeler, veri merkezleri ve bulut ortamlarını merkezi olarak yönetilen bir sistem üzerinden birbirine bağlayan yazılım tabanlı bir ağ platformu olarak kullanılıyor. Saldırganın sisteme kötü amaçlı bir sahte eş (rogue peer) eklemesi halinde, bu cihazın meşru gibi davranarak şifreli bağlantılar kurabileceği ve kendi kontrolündeki ağları duyurabileceği kaydedildi.

Bu yöntemin, saldırganların kurum ağında daha derine ilerlemesine ve kalıcı erişim sağlamasına imkân tanıyabileceği vurgulandı.

2023’ten Bu Yana Aktif İstismar

Cisco Talos tarafından yayımlanan ayrı bir güvenlik bülteninde, açığın “UAT-8616” adı altında izlenen faaliyetler kapsamında aktif olarak kullanıldığı belirtildi. Talos, yüksek güvenle değerlendirmesinde bu operasyonun “son derece sofistike bir tehdit aktörü” tarafından yürütüldüğünü bildirdi.

Talos telemetrilerine göre istismar faaliyetleri en az 2023 yılına kadar uzanıyor. İstihbarat ortaklarının değerlendirmesine göre saldırganın, önce yazılımı eski bir sürüme düşürerek CVE-2022-20775 açığını kullandığı, bu sayede root erişimi elde ettiği ve ardından sistem yazılımını tekrar güncel sürüme yükselttiği aktarıldı.

Bu yöntemle saldırganın hem kök erişim kazandığı hem de tespit edilmekten kaçınmayı hedeflediği ifade edildi.

CISA’dan Acil Direktif

Açığın istismarı, Cisco ile ABD ve İngiltere makamları arasında koordineli olarak kamuoyuna duyuruldu. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 25 Şubat 2026 tarihinde Acil Direktif 26-03 yayımladı.

CISA, Federal Sivil Yürütme Kurulu kurumlarına Cisco SD-WAN sistemlerinin envanterinin çıkarılması, adli bilişim verilerinin toplanması, günlüklerin harici ortamlarda saklanması, güncellemelerin uygulanması ve CVE-2026-20127 ile CVE-2022-20775 ile bağlantılı olası ihlallerin araştırılması talimatını verdi.

CISA, istismarın federal ağlar için “yakın ve ciddi bir tehdit” oluşturduğunu belirterek, cihazların 27 Şubat 2026 saat 17.00 ET’ye kadar yamalanmasını zorunlu kıldı.

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) Teknoloji Direktörü Ollie Whitehouse, “Yeni uyarımız, Cisco Catalyst SD-WAN ürünlerini kullanan kuruluşların ağ ihlali riskini acilen araştırması gerektiğini açıkça ortaya koymaktadır.” açıklamasında bulundu.

Whitehouse, “Birleşik Krallık’taki kuruluşlara, olası ihlalleri NCSC’ye bildirmeleri ve üretici güncellemelerini ve sıkılaştırma rehberlerini en kısa sürede uygulamaları tavsiye edilmektedir.” ifadelerini kullandı.

Güncelleme Tek Çözüm

Cisco, güvenlik açığını gidermek için yazılım güncellemeleri yayımladığını ve sorunu tamamen ortadan kaldıran herhangi bir geçici çözüm bulunmadığını açıkladı.

Cisco ve Talos, özellikle internete açık Catalyst SD-WAN Controller sistemlerinde yetkisiz eşleme olayları ve şüpheli kimlik doğrulama faaliyetleri için günlüklerin dikkatle incelenmesini önerdi. Yöneticilerin, bilinmeyen IP adreslerinden gelen “Accepted publickey for vmanage-admin” kayıtlarını analiz etmesi gerektiği belirtildi.

Ayrıca beklenmeyen root oturumları, yetkisiz SSH anahtarları, PermitRootLogin ayarındaki değişiklikler, günlük dosyalarının silinmesi veya küçülmesi, yazılım düşürme ve yeniden başlatma işlemleri potansiyel ihlal göstergeleri arasında sıralandı.

CISA ve NCSC, SD-WAN yönetim arayüzlerinin internete açık olmaması gerektiğini vurgulayarak, kontrol bileşenlerinin güvenlik duvarı arkasına alınması, günlüklerin harici sistemlere yönlendirilmesi ve Cisco’nun sıkılaştırma rehberinin uygulanması çağrısında bulundu.

Cisco, CVE-2026-20127 açığının tamamen giderilmesi için sabitlenmiş yazılım sürümüne yükseltme yapılmasının tek kalıcı çözüm olduğunu bildirdi.

Kaynak: Beykozun Sesi