Cisco, Catalyst SD-WAN Manager yazılımında bulunan ve saldırganların kök kullanıcı ayrıcalıkları elde etmesine olanak tanıyan yüksek şiddette bir sıfır gün güvenlik açığını duyurdu. CVE-2026-20245 numarasıyla takip edilen bu zafiyet, şirket içi dağıtımlar, bulut tabanlı sürümler ve devlet kurumları için özel olarak hazırlanan FedRAMP versiyonu dahil olmak üzere tüm deployment türlerini etkiliyor. Cisco, güvenlik yamalarının henüz hazır olmadığını belirtirken, müşterilerine mayıs ayında yayınlanan önceki bir güvenlik düzeltmesine yükseltme yapmalarını öneriyor.

Düşük Ayrıcalıklı Saldırganlar Komut Enjeksiyonuyla Kök Yetkisine Ulaşıyor

Bir saldırgan, CVE-2026-20245 numaralı Cisco SD-WAN Manager açığından faydalanarak sistemde kök kullanıcı yetkisiyle komut çalıştırabilir. Bu Cisco Catalyst SD-WAN güvenlik açığı, kullanıcı tarafından sağlanan girdilerin yetersiz doğrulanması nedeniyle ortaya çıkıyor. Saldırganın bu açığı kullanabilmesi için öncelikle netadmin ayrıcalıklarına sahip olması gerekiyor. Bu durum, saldırganın geçerli kimlik bilgilerine veya CVE-2026-20182 ile CVE-2026-20127 gibi diğer güvenlik açıklarını devreye sokmasına bağlı.

Cisco yetkilileri, saldırganların bu güvenlik açığını kullanarak uç cihazlara yapılandırma değişiklikleri ittiği sınırlı sayıda vaka tespit etti. Google Cloud’un siber güvenlik iştiraki Mandiant, bu zafiyeti Cisco’ya raporladı. Şirket, olayın kökenine ilişkin herhangi bir ayrıntı paylaşmadı ancak soruşturmayı başlattı. CVE-2026-20245 ile birlikte kullanılabilecek diğer güvenlik açıkları, saldırganların sisteme sızmasını kolaylaştırıyor.

Cisco, sistem yöneticilerine SD-WAN Manager sistemlerinin ele geçirilip geçirilmediğini tespit etmeleri için bazı göstergeler sundu. Yöneticiler, /var/log/scripts.log dosyasında vSmart denetleyicilerine kiracı yapılandırma verisi yükleme girişimlerini kontrol etmeli. Netadmin ayrıcalık yükseltme girişimlerini tespit etmek için log kayıtlarının düzenli olarak incelenmesi hayati önem taşıyor. Şirketin paylaştığı örnek log kaydı şu şekilde paylaşıldı: “/usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0”.

👉️ İlginizi Çekebilir: Cisco Secure Workload’daki Kritik REST API Açığı Saldırganlara Site Yöneticisi Yetkisi Veriyor

vSmart denetleyici hedefleme yöntemiyle gerçekleştirilen bu tür şüpheli aktiviteleri tespit eden kurumlar, daha detaylı inceleme için Cisco TAC ile iletişime geçmeli. Cisco, müşterilerine güvenlik açığı için henüz resmi bir yama sunamıyor. Şirket, etkilenen sistemlerin 14 Mayıs’ta CVE-2026-20182 için yayınlanan yazılım düzeltmesine yükseltilmesini tavsiye ediyor. Bu geçici çözüm, sistemlerin mevcut sıfır gün tehdidine karşı korunmasına yardımcı olabilir.

Cisco SD-WAN Manager Daha Önce De Aktif Kullanılan Açıklarla Gündeme Gelmişti

Geçtiğimiz ay Cisco, Catalyst SD-WAN Controller’da yönetici ayrıcalıkları elde edilmesine olanak tanıyan maksimum şiddette bir kimlik doğrulama atlama güvenlik açığının sıfır gün saldırılarında aktif olarak kullanıldığı konusunda uyardı. Şubat ayında Cisco tarafından yamalanan başka bir bilgi ifşa güvenlik açığı, Nisan sonunda CISA tarafından aktif kullanılanlar listesine eklendi. Aynı dönemde, iki ek güvenlik açığının daha vahşi doğada kötüye kullanıldığı tespit edildi.

Mart ayında Cisco, en az 2023’ten beri sıfır gün saldırılarında kullanılan kritik bir kimlik doğrulama atlama güvenlik açığını ele aldı. CISA, bu açığı da aktif kullanılanlar listesine işaretledi. Son birkaç yılda CISA, 90 Cisco güvenlik açığını vahşi doğada kötüye kullanılanlar listesine ekledi. CISA’nın listelediği bu açıklardan dördü doğrudan Cisco Catalyst SD-WAN Manager ile ilgiliydi. Aynı listedeki altı güvenlik açığı ise fidye yazılımı operasyonları tarafından kullanıldı.