Cisco Unified CM ve Webex’te Kritik Uzaktan Kod Çalıştırma Açığına Yama Geldi

Saldırının Genel Çerçevesi

Cisco’nun Unified Communications Manager (Unified CM) ve Webex Calling Özel Örneği gibi iletişim çözümlerinde, kimlik doğrulaması gerektirmeyen kritik bir uzaktan kod çalıştırma açığı (CVE-2026-20045) tespit edildi. Bu zafiyet, HTTP isteklerinde kullanıcı girdilerinin uygun şekilde filtrelenmemesinden kaynaklanıyor ve saldırganların hedef sistemde rastgele komutlar çalıştırmasına olanak tanıyor. Özellikle, saldırganlar web tabanlı yönetim arayüzüne özel hazırlanmış HTTP istekleri göndererek, önce kullanıcı seviyesinde erişim elde edip ardından root ayrıcalıklarına yükseltebiliyor.

Hangi Sistemler Risk Altında?

Bu kritik zafiyet, aşağıdaki Cisco ürünlerini etkiliyor:

• Unified CM
• Unified CM Oturum Yönetimi Sürümü (SME)
• Unified CM IM & Presence Servisi (IM&P)
• Unity Connection
• Webex Calling Özel Örneği

Etki alanı geniş olup, özellikle kurumsal iletişim altyapılarını kullanan finans, sağlık, kamu ve teknoloji sektörlerindeki kurumlar risk altında bulunuyor.

Yama ve Güncelleme Detayları

Cisco, bu açığı aşağıdaki sürümlerde giderdi:

• Unified CM, CM SME, CM IM&P ve Webex Calling Özel Örneği: 12.5 sabit sürüm, 14SU5 veya ilgili yama dosyaları, 15SU4 veya Mart 2026 yaması
• Cisco Unity Connection: 12.5 sabit sürüm, 14SU5 veya yama, 15SU4 veya Mart 2026 yaması

Şirket, müşterilerini acilen bu güncellemeleri uygulamaya çağırdı ve şu anda geçici bir çözüm bulunmadığını belirtti. Ayrıca, zafiyetin aktif olarak istismar edilmeye çalışıldığına dair kanıtlar mevcut.

Saldırı Zinciri ve Teknik Detaylar

Bu zafiyetin istismar süreci genel olarak şu adımlardan oluşuyor:

1. Saldırgan, hedef cihazın web tabanlı yönetim arayüzüne özel hazırlanmış HTTP istekleri gönderir.
2. Girdi doğrulama eksikliği nedeniyle, bu istekler işletim sistemi seviyesinde rastgele komutların çalıştırılmasına imkan tanır.
3. Başarılı istismar sonrası saldırgan, önce kullanıcı seviyesinde erişim kazanır, ardından ayrıcalık yükseltme teknikleriyle root yetkilerine ulaşır.

Bu süreç, MITRE ATT&CK matrisinde Execution ve Privilege Escalation teknikleriyle örtüşmektedir.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

• İlgili Cisco ürünlerinde en güncel yamaları ve sabit sürümleri derhal uygulayın.
• Web tabanlı yönetim arayüzlerine erişimi, mümkünse VPN ve Zero Trust mimarisi ile sınırlandırın.
• EDR ve SIEM çözümlerinizde CVE-2026-20045 ile ilişkili anormal HTTP isteklerini tespit edecek kurallar oluşturun.
• Olay müdahale planlarınızı güncelleyerek, bu tür uzaktan kod çalıştırma saldırılarına karşı hazırlıklı olun.
• Ağ segmentasyonu uygulayarak kritik iletişim altyapılarını diğer sistemlerden izole edin.
• Yönetim arayüzü erişim loglarını düzenli olarak analiz edin ve olağan dışı aktiviteleri takip edin.
• MFA (Çok Faktörlü Kimlik Doğrulama) kullanarak yönetim erişimlerini güçlendirin.
• Çalışanları ve yöneticileri e-posta güvenliği ve sosyal mühendislik saldırılarına karşı bilinçlendirin.

Regülasyon ve Uyumluluk Boyutu

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-20045’i Bilinen İstismar Edilen Zafiyetler (KEV) listesine ekleyerek, Federal Sivil Yürütme Dalları (FCEB) ajanslarının 11 Şubat 2026 tarihine kadar düzeltmeleri uygulamasını zorunlu kıldı. Bu gelişme, özellikle kamu kurumları ve kritik altyapılar için uyumluluk ve risk yönetimi açısından önem taşıyor.

Son Notlar

Cisco, bu kritik açığın keşfiyle birlikte, kısa süre önce Secure Email Gateway ve Secure Email and Web Manager ürünlerinde tespit edilen başka bir yüksek riskli açığı (CVE-2025-20393) de gidermiş oldu. Kurumların, iletişim altyapılarında ortaya çıkan bu tür zafiyetlere karşı düzenli yama yönetimi, ağ segmentasyonu ve kapsamlı olay müdahale stratejileri geliştirmesi gerekmektedir.