SD-WAN CVE-2026-20127 Güvenlik Açığı

Cisco Systems Cisco Catalyst SD-WAN Controller ve Cisco Catalyst SD-WAN Manager'da, CVE-2026-20127 (CVSS puanı: 10.0) olarak izlenen, en yüksek önem derecesine sahip bir güvenlik açığı tespit edilmiştir. Bu açık, kimlik doğrulaması yapılmamış uzaktan saldırganın, özel olarak hazırlanmış bir isteği savunmasız sisteme göndererek kimlik doğrulama kontrollerini atlamasına ve yönetici erişimi elde etmesine olanak tanır.

Sorun, eşleştirme kimlik doğrulama mekanizmasındaki bir arızadan kaynaklanıyor ve bu da bir saldırganın dahili, yüksek yetkili, kök olmayan bir kullanıcı olarak oturum açmasına olanak tanıyor. Bu erişim seviyesiyle saldırganlar, NETCONF hizmetleriyle etkileşime girebilir ve SD-WAN ağ yapılandırmalarını manipüle edebilir, bu da kurumsal ağların bütünlüğünü ve kullanılabilirliğini tehlikeye atabilir.

Etkilenen Dağıtım Modelleri

Bu güvenlik açığı, yapılandırmadan bağımsız olarak birden fazla dağıtım modelini etkiliyor:

• Şirket içi dağıtımlar
• Cisco Barındırılan SD-WAN Bulutu
• Cisco Barındırılan SD-WAN Bulutu – Cisco Yönetimli
• Cisco Barındırılan SD-WAN Bulutu – FedRAMP Ortamı

Özellikle açık portlara sahip olanlar olmak üzere, halka açık internete maruz kalan sistemler, önemli ölçüde daha yüksek bir güvenlik ihlali riskiyle karşı karşıyadır.

Aktif İstismar ve Tehdit Aktörü Faaliyetleri

Güvenlik araştırmacıları, 2023 yılına kadar uzanan aktif bir istismar faaliyetini doğruladı. Kampanya, UAT-8616 kodu altında takip ediliyor ve oldukça gelişmiş bir tehdit kümesi olarak değerlendiriliyor. Kanıtlar, grubun bu sıfır gün güvenlik açığını kullanarak Cisco SD-WAN ortamlarına sızdığını ve kalıcı olarak yüksek yetkilere sahip erişim elde ettiğini gösteriyor.

Saldırı yöntemi, SD-WAN yönetim veya kontrol düzlemine katılan sahte bir eş oluşturmayı içerir. Bu kötü amaçlı cihaz, meşru ancak geçici bir SD-WAN bileşeni gibi görünerek yönetim altyapısı içinde güvenilir etkileşimlere olanak tanır.

İnternete açık bir uygulamanın ilk ele geçirilmesinin ardından, saldırganlar yerleşik güncelleme mekanizmasını kullanarak yazılım sürümlerini düşürdüler. Bu sürüm düşürme, Cisco SD-WAN Yazılım CLI'sinde yüksek önem derecesine sahip bir ayrıcalık yükseltme açığı olan CVE-2022-20775'in (CVSS puanı: 7.8) istismar edilmesini kolaylaştırıyor. Kök ayrıcalıkları elde edildikten sonra, saldırganlar tespit edilmeyi en aza indirmek için sistemi orijinal yazılım sürümüne geri yüklüyorlar.

UAT-8616 ile ilişkilendirilen uzlaşma sonrası eylemler şunlardır:

• Gerçek hesaplara benzeyecek şekilde tasarlanmış yerel kullanıcı hesaplarının oluşturulması.
• Kök erişim için SSH yetkilendirme anahtarlarının eklenmesi ve SD-WAN başlatma komut dosyalarının değiştirilmesi

• Yönetim düzleminde yatay hareket için 830 numaralı port üzerinden NETCONF ve SSH kullanımı.

• Günlük dosyalarında değişiklik yapılması, /var/log altındaki dosyaların silinmesi, komut geçmişinin ve ağ bağlantı kayıtlarının değiştirilmesi dahil.

Bu faaliyet, gelişmiş aktörlerin kritik altyapı sektörleri de dahil olmak üzere yüksek değerli ortamlarda kalıcı yerler edinmek için ağ uç altyapısını hedef alma yönündeki daha geniş bir eğilimi yansıtmaktadır.

Yama ve Onarım Kılavuzu

Cisco, birden fazla yazılım sürümünde düzeltmeler yayınladı. Güvenlik açığı bulunan sürümleri kullanan kuruluşlar, aşağıdaki düzeltilmiş sürümlere yükseltme yapmalıdır:

• 20.9.1 öncesi sürümler: düzeltilmiş bir sürüme geçin.
• 20.9: 20.9.8.2 sürümüne yükseltin
• 20.11.1: 20.12.6.1 sürümüne yükseltin
• 20.12.5: 20.12.5.3 sürümüne yükseltin
• 20.12.6: 20.12.6.1 sürümüne yükseltin
• 20.13.1, 20.14.1, 20.15: 20.15.4.2 sürümüne yükseltin.
• 20.16.1 ve 20.18: 20.18.2.1 sürümüne yükseltin.

Yama işlemlerine ek olarak, kuruluşlar adli doğrulama da yapmalıdır. Önerilen eylemler arasında, bilinmeyen IP adreslerinden kaynaklanan 'vmanage-admin için kabul edilen genel anahtar' ifadesine atıfta bulunan girdiler için /var/log/auth.log dosyasının incelenmesi yer almaktadır. Şüpheli IP adresleri, Cisco Catalyst SD-WAN Manager Web arayüzünde Aygıtlar > Sistem IP'si altında listelenen yapılandırılmış Sistem IP'leriyle karşılaştırılmalıdır.

Olası sürüm düşürme veya beklenmedik yeniden başlatma olaylarını tespit etmek için aşağıdaki günlük dosyaları analiz edilmelidir:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Federal Yükümlülükler ve Düzenleyici Yanıtlar

Doğrulanan istismar vakalarına yanıt olarak, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-20127 ve CVE-2022-20775 güvenlik açıklarını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Federal Sivil Yürütme Organı kurumlarının bu güvenlik açıklarını 24 saat içinde gidermesi gerekmektedir.

CISA ayrıca 'Cisco SD-WAN Sistemlerindeki Güvenlik Açıklarını Azaltma' başlıklı 26-03 sayılı Acil Durum Direktifini de yayınladı. Direktif, federal kurumların kapsam dahilindeki tüm SD-WAN varlıklarını envanterlemelerini, güvenlik güncellemelerini uygulamalarını ve güvenlik ihlali göstergelerini değerlendirmelerini zorunlu kılıyor.

Uyumluluk süreleri, kurumların şunları yapmasını gerektirir:

• Kapsam dahilindeki tüm SD-WAN sistemlerinin kataloğunu 26 Şubat 2026, saat 23:59 ET'ye kadar gönderin.
• Etkilenen ürünlerin ve alınacak önlemlerin ayrıntılı bir envanterini 5 Mart 2026, saat 23:59 ET'ye kadar sağlayın.
• Çevresel dayanıklılığı artırmaya yönelik tüm önlemleri 26 Mart 2026, saat 23:59 ET'ye kadar bildirin.

Bu gelişmeler, SD-WAN ortamlarını hedef alan gelişmiş kalıcı tehditleri azaltmak için proaktif yama yönetimi, sürekli izleme ve ağ uç altyapısının savunma amaçlı güçlendirilmesinin acil ihtiyacının altını çizmektedir.