CISCO CATALYST SD-WAN SİSTEMLERİNDEKİ KRİTİK GÜVENLİK AÇIĞI İÇİN PoC YAYIMLANDI
Cisco Catalyst SD-WAN ürünlerini etkileyen ve CVSS 10.0 kritik seviyesinde değerlendirilen CVE-2026-20127 güvenlik açığı için Proof-of-Concept (PoC) exploit yayımlandı. Açığın kimlik doğrulama mekanizmasındaki bir hatadan kaynaklandığı ve saldırganların oturum açmadan yetkili erişim elde edebildiği belirtildi.
Cisco Catalyst SD-WAN ürünlerini etkileyen kritik bir güvenlik açığı için Proof-of-Concept (PoC) exploit yayımlandı. CVE-2026-20127 olarak tanımlanan ve CVSS 10.0 puanına sahip olan açık, SD-WAN Controller (eski adıyla vSmart) ile SD-WAN Manager (eski adıyla vManage) sistemlerinde yer alan eşleşme (peering) kimlik doğrulama mekanizmasındaki bir zafiyetten kaynaklanıyor.
Siber güvenlik araştırmacıları tarafından paylaşılan bilgilere göre saldırganlar, özel olarak hazırlanmış istekler göndererek kimlik doğrulama sürecini tamamen atlayabiliyor. Bu sayede sisteme giriş yapmadan yetkili erişim elde edilebildiği ifade edildi.
PoC Kodları Uzaktan Kod Çalıştırmayı Hedefliyor
Yayımlanan PoC paketinin Python betikleri ve JSP tabanlı webshell dosyaları içerdiği bildirildi. Bu araçların kimlik doğrulama öncesi uzaktan kod çalıştırma (pre-authentication remote code execution) saldırıları için kullanılabileceği aktarıldı.
Siber güvenlik analizlerinde, saldırının başarılı olması durumunda saldırganların NETCONF protokolü üzerinden 830 numaralı port aracılığıyla SD-WAN altyapı yapılandırmalarını okuyabildiği ve değiştirebildiği belirtildi. Ayrıca saldırganların kontrol veya yönetim düzlemine sahte eşler (rogue peers) ekleyebildiği kaydedildi.
Birden Fazla Sürüm Etkileniyor
Açığın 20.6 ile 20.18.x arasındaki birçok SD-WAN sürümünü etkilediği bildirildi. Güvenlik güncellemesi yayımlanan sürümler arasında 20.9.8.2 ve 20.18.2.1 gibi yamalı versiyonların yer aldığı açıklandı.
Araştırmacılar ayrıca saldırganların sistemi daha eski bir sürüme düşürerek CVE-2022-20775 güvenlik açığını kullanabildiğini belirtti. Bu yöntemle kök (root) seviyesinde yetki yükseltmesi sağlanabildiği, ardından sistemin tekrar güncel sürüme döndürülerek izlerin gizlenebildiği ifade edildi.
Ağ İçinde Yatay Hareket Riski
Uzmanlar, sistem kontrolünün ele geçirilmesi durumunda saldırganların sisteme SSH anahtarları ekleyebileceğini, meşru kullanıcıları taklit edebileceğini ve günlük kayıtlarını silebileceğini bildirdi. Özellikle /var/log dizinindeki logların silinmesi ve komut geçmişinin temizlenmesi gibi iz gizleme yöntemlerinin kullanılabileceği vurgulandı.
Saldırganların NETCONF veya SSH üzerinden ağ içinde yatay hareket ederek farklı sistemlere erişim sağlayabileceği de kaydedildi.
Cisco’dan Güncelleme ve Güvenlik Uyarısı
Cisco tarafından yayımlanan güvenlik duyurusunda sistem yöneticilerine etkilenen sürümlerin acilen güncellenmesi çağrısı yapıldı. Ayrıca kullanılmayan peering bağlantılarının devre dışı bırakılması ve şüpheli kullanıcı hesapları, boş log kayıtları veya sürüm düşürme izleri gibi göstergelerin yakından izlenmesi gerektiği belirtildi.
Ajans Expres Gazetesi
Tepkiniz Nedir?
