Cisco Unified Communications Manager (Unified CM) platformunda ortaya çıkan CVE-2026-20230 kimlikli kritik güvenlik açığı artık gerçek saldırılarda kullanılmaya başladı. Güvenlik araştırmacıları, saldırganların internet üzerinden erişilebilen savunmasız sistemleri tespit etmek amacıyla açığı aktif şekilde istismar ettiğini duyurdu. Cisco’nun haziran ayının başında yayınladığı güvenlik güncellemesi ise kurumlar için yeniden kritik önem kazandı.

Güvenlik Araştırmacıları İlk Saldırı Trafiğini Tespit Etti

Tehdit istihbaratı şirketi Defused, hafta sonu boyunca CVE-2026-20230 açığının aktif olarak kullanıldığı saldırıları gözlemlediğini açıkladı. Araştırmacılar, saldırıların şu aşamada tek bir IP adresi üzerinden gerçekleştirildiğini belirtirken saldırganların sistemlere dosya yazma denemeleri yaptığını aktardı.

Defused tarafından paylaşılan bulgulara göre saldırganlar, WebDialer bileşenindeki zafiyeti kullanarak hedef sistemlerde “/tmp/cve-2026-20230-test.txt” adlı bir dosya oluşturmaya çalışıyor. Uzmanlar, mevcut faaliyetlerin doğrudan zararlı yük dağıtmaktan çok savunmasız cihazları belirlemeye yönelik keşif çalışmaları niteliği taşıdığını değerlendiriyor. Güvenlik ekipleri ise teknik detayların kamuya açılmasının ardından daha fazla tehdit aktörünün bu açığı kullanmaya başlayabileceği uyarısında bulunuyor.

Cisco Sunucularında Dosya Yazma Yetkisine Kadar Ulaşılabiliyor

Cisco tarafından yayınlanan güvenlik danışma notuna göre sorun, belirli HTTP isteklerinde uygulanan yetersiz giriş doğrulamasından kaynaklanıyor. Kimlik doğrulaması gerektirmeyen saldırılar gerçekleştirebilen tehdit aktörleri, özel hazırlanmış istekler göndererek sunucunun kendi adına farklı kaynaklara erişmesini sağlayabiliyor.

SSRF açığı olarak sınıflandırılan zafiyet, ilk aşamada doğrudan uzaktan kod çalıştırma sağlamasa da işletim sistemine dosya yazılmasına izin verdiği için çok daha ciddi sonuçlara yol açabiliyor. Cisco, başarılı bir saldırının ardından oluşturulan dosyaların ayrıcalık yükseltme amacıyla kullanılabileceğini, saldırganların sonunda root yetkilerine ulaşabileceğini belirtiyor.

Güvenlik araştırmacıları, savunmasız sistemlerde rastgele dosya oluşturulabilmesinin kurumsal iletişim altyapıları açısından yüksek risk oluşturduğunu vurguluyor. Özellikle Unified CM platformunu kullanan büyük işletmeler, kamu kurumları ve çağrı merkezi altyapıları potansiyel hedefler arasında bulunuyor.

SSD Secure tarafından yayınlanan teknik analiz, saldırının arkasındaki mekanizmayı ayrıntılı şekilde ortaya koydu. Araştırmacılar, Unified CM içerisindeki WebDialer bileşeninin kullanıcı tarafından sağlanan URL’leri yeterince denetlemediğini belirledi. Saldırganlar bu davranışı kötüye kullanarak file:// URI yapısı üzerinden işletim sistemine dosya yazabiliyor.

👉️ İlginizi Çekebilir: Microsoft, Yapay Zekâ Ajanlarında Komut Çalıştırılmasına Yol Açabilen Açığı Kapattı

Araştırmacılar, dosya yolu ile içerik üzerinde kontrol sağlanabildiğinde saldırının uzaktan kod çalıştırma aşamasına kadar ilerleyebileceğini gösterdi. Analize göre saldırganların işlem öncesinde hedef sistemin ana bilgisayar adını öğrenmesi gerekiyor. SSD Secure ekibi ise bu bilginin de sistemden elde edilebildiğini gösteren bir kavram kanıtlama çalışması paylaştı.

Güvenlik uzmanları, SSRF açıklarının son yıllarda kurumsal sistemlerde en sık istismar edilen zafiyet türlerinden biri haline geldiğini belirtiyor. Özellikle iç ağlara erişim sağlayabilen SSRF saldırıları, birçok vakada ayrıcalık yükseltme veya kritik sistemlere yatay hareket için başlangıç noktası olarak kullanılıyor.

Kurumlar İçin Risk Seviyesi Yükseliyor

Cisco, CVE-2026-20230 açığı için güvenlik güncellemelerini 3 Haziran’da yayınladı. Şirket, Unified CM ve Unified CM Session Management Edition kullanan kurumların güncellemeleri mümkün olan en kısa sürede uygulamasını tavsiye ediyor. Açık henüz ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklenmemiş olsa da aktif istismar faaliyetlerinin başlaması risk seviyesini önemli ölçüde yükseltiyor. Güvenlik ekiplerinin olağan dışı dosya oluşturma girişimlerini, WebDialer günlüklerini ve yetkisiz sistem değişikliklerini yakından izlemesi öneriliyor.

Önümüzdeki günlerde daha fazla saldırı aracının ve otomatik istismar kodunun ortaya çıkması beklenirken, internet üzerinden erişilebilen Cisco Unified CM sunucuları tehdit aktörlerinin öncelikli hedefleri arasına girmiş durumda.