2026 yılının başında ortaya çıkan ve CVE-2026-20245 koduyla takip edilen bir güvenlik açığı, Cisco Catalyst SD-WAN cihazlarında yerel olarak yetkili kullanıcıların hazırladığı zararlı dosya ile sistemde tam yetki elde etmesine olanak sağlıyor. Güvenlik araştırmacıları, bu zafiyetin kötü niyetli aktörler tarafından aktif olarak istismar edildiğini ortaya koydu.
Saldırı Zinciri ve Teknik Detaylar
Söz konusu açık, cihazların kullanıcıdan gelen dosyaları yeterince doğrulamaması nedeniyle ortaya çıkıyor. Saldırgan, hazırladığı özel bir CSV dosyasını (“evil_tenant.csv”) yükleyerek yetkilerini yükseltiyor ve sistemde “troot” adlı gizli bir kullanıcı hesabı oluşturarak root seviyesinde kabuk erişimi sağlıyor. İstismar sırasında, saldırganın hedef sistemde netadmin yetkilerine sahip olması gerekiyor.
İki farklı dönemde gerçekleşen saldırı dalgalarından ilki, 2025 sonu ile 2026 Ocak ayı arasında tespit edildi. Bu dönemde, Cisco Catalyst SD-WAN kontrol cihazlarındaki kimlik doğrulama atlatma açıklarından (CVE-2026-20127 ve CVE-2026-20182) birinin kullanıldığı tahmin ediliyor. Her iki zafiyet de o dönem gizli zero-day olarak kalmıştı.
Mart 2026’da ise, yamalanmış bir yazılım sürümü kullanan bir cihazda ikinci bir saldırı dalgası gözlendi. Bu kez önceki kimlik doğrulama açıklarından faydalanılmadı; daha çok, önceden çalınmış sertifikalar kullanılarak sisteme erişim sağlandığı ve ardından CVE-2026-20245’in istismar edildiği anlaşılıyor. Saldırganlar, sistemde iz bırakmamak için değiştirdikleri dosyaları silip, konfigürasyonları eski haline getirerek kapsamlı anti-adli teknikler kullandı.
Hedef ve Etkileri
Bu saldırılar, belirli bir iletişim hizmeti sağlayıcısına yönelikti ve bir yönetici hesabını root düzeyine yükseltme amacı taşıyordu. Yetkisiz erişim süreleri iki ayrı zaman diliminde gerçekleşti ve aralarındaki bağlantı henüz net değil. Ancak saldırganların karmaşık yöntemlerle hareket ettiği, erişim sonrası sistemdeki izleri neredeyse tamamen sildiği kesinleşti.
Google Tehdit İstihbaratı Grubu’nun baş analisti Austin Larsen, saldırganların öncelikle yönetici parolasını değiştirip SD-WAN yapılandırmasını dışarı sızdırdıktan sonra parolayı tekrar eski haline getirdiğini; böylece sistem yöneticilerinin olağan dışı bir durum fark etmediğini belirtti. Sonrasında ise root erişimi elde etmek için CSV dosyası yoluyla yetki yükseltme yapıldı.
Ağ Güvenliği ve Forensik Zorluklar
SD-WAN gibi uç ağ cihazları, derinlemesine forensik analiz için yeterli telemetri sağlamadığı için kötü niyetli aktörlere kolay hedef sunuyor. Bu durum, saldırganların iç ağ trafiğini uzun süre boyunca gözlemleyebilmesine olanak tanıyor. Mandiant CTO’su Charles Carmakal, gelişmiş tehditlerin özellikle EDR çözümleriyle doğal olarak korunmayan ağ cihazlarını hedeflemeye devam ettiğini vurguladı.
Sistem Yöneticilerine Öneriler
- Etkin ve güncel yamalar mutlaka uygulanmalı.
- Ağ cihazlarına erişim yetkileri minimumda tutulmalı, netadmin gibi güçlü ayrıcalıklar sıkı denetlenmeli.
- Şüpheli dosya yüklemeleri ve anormal konfigürasyon değişiklikleri için SIEM sistemleri konfigüre edilmeli.
- Yetkisiz erişim tespiti için düzenli log incelemeleri yapılmalı.
- Çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmeli.
- SD-WAN cihazları ve diğer ağ ekipmanlarında sürekli izleme ve davranış analiz araçları kullanılmalı.
- Olay müdahale (incident response) planları, benzer saldırı senaryolarına göre güncellenmeli.
Bu saldırı, ağ segmentasyonunun önemini bir kez daha ortaya koyuyor. Kritik altyapıların ve iletişim sağlayıcılarının, özellikle SD-WAN gibi kritik ağ katmanlarını hedef alan tehditlere karşı öncelikli koruma önlemleri alması şart. Ayrıca, bulut güvenliği ve e-posta güvenliği gibi diğer siber güvenlik alanlarıyla entegrasyon, saldırı yüzeyini azaltacak önemli adımlar arasında yer alıyor.
Özetle, Cisco Catalyst SD-WAN cihazlarında tespit edilen ve aktif şekilde istismar edilen bu zero-day açığı, siber güvenlik ekiplerinin ağ cihazlarına yönelik savunmalarını gözden geçirmesi gerektiğini göstermekte. Hem saldırı zincirindeki teknik karmaşıklık hem de saldırganların izleri silmek için kullandığı yöntemler, güncel güvenlik çözümlerinin önemini artırıyor.