Mandiant, Cisco Catalyst SD-WAN cihazlarını hedef alan son siber saldırılara ilişkin yeni teknik bulguları paylaştı. Araştırmaya göre saldırganlar, Cisco SD-WAN güvenlik açığı olarak izlenen CVE-2026-20245 zafiyetini kullanarak hedef sistemlerde root yetkisine sahip sahte hesaplar oluşturdu. Bulgular, saldırı zincirinin yalnızca tek bir açıktan değil, daha önce ele geçirilen erişimlerin üzerine inşa edildiğini gösteriyor.

Saldırganlar Yetki Yükseltme Zinciri Oluşturdu

Mandiant’ın analizine göre CVE-2026-20245 doğrudan ilk erişimi sağlayan bir açık olarak kullanılmadı. Saldırganlar önce hedef SD-WAN altyapılarında yetkisiz peering bağlantıları oluşturdu, ardından vmanage-admin hesabını kullanarak SD-WAN Manager sistemlerine giriş yaptı. Araştırmacılar, ilk erişimin daha önce açıklanan CVE-2026-20127 veya Cisco SD-WAN kimlik doğrulama açığı olarak takip edilen CVE-2026-20182 üzerinden sağlanmış olabileceğini değerlendiriyor. Kesin giriş yöntemi ise henüz doğrulanmış değil. Sisteme erişim sağlayan saldırganlar, yönetici hesabının parolasını geçici olarak değiştirdikten sonra uç cihazlar, denetleyiciler ile yapılandırma şablonlarına ait bilgileri topladı. İşlem tamamlandıktan sonra parola eski hâline getirildiği için olağan dışı hareketlerin fark edilmesi zorlaştırıldı.

Araştırmacılar, saldırganların daha sonra SD-WAN komut satırı arayüzündeki kiracı yükleme özelliğini kullanarak “evil_tenant.csv” isimli kötü amaçlı bir dosya yüklediğini belirledi. Cisco komut enjeksiyonu açığı olarak tanımlanan CVE-2026-20245, hazırlanan bu dosya sayesinde işletim sisteminde root yetkisiyle komut çalıştırılmasına izin verdi.

Yüklenen zararlı içerik önce etc/passwd ile etc/shadow dosyalarının yedeğini oluşturdu. Ardından “troot” isimli yeni bir kullanıcı hesabı oluşturan saldırganlar, Linux’taki “su” komutunu kullanarak bu hesaba geçti ve cihaz üzerinde tam yetki elde etti. Araştırma, saldırının yalnızca yapılandırma değişikliğiyle sınırlı kalmadığını, doğrudan işletim sistemi seviyesinde kontrol sağladığını ortaya koyuyor.

Mandiant, saldırganların olayın ardından kapsamlı anti-adli bilişim teknikleri kullandığını tespit etti. Zararlı CSV dosyası silinirken oluşturulan geçici dosyalar temizlendi, değiştirilen sistem dosyaları yedeklerden geri yüklendi. Araştırmacılar ayrıca saldırganların oluşturduğu root hesabını kaldırdığını ve sistemde iz kalıp kalmadığını doğrulayan ek betikler çalıştırdığını belirledi. Araştırma sırasında mart ayında gerçekleşen bazı yetkisiz peering bağlantılarının, daha önce açıklanan kimlik doğrulama açıklarından etkilenmeyen sistemlerde de görüldüğü ifade edildi. Cisco, bu olaylarda CVE-2026-20182’nin kullanılmadığını bildirirken saldırganların önceki ihlaller sırasında ele geçirilen dijital sertifikaları yeniden kullanmış olabileceğini değerlendirdi.

Mandiant, saldırıya ait IP adreslerini, ele geçirilme göstergelerini (IOC) ile teknik tespit yöntemlerini kamuoyuyla paylaştı. Araştırmacılar, Cisco Catalyst SD-WAN kullanan kurumların tanılama kayıtlarını toplamasını, yetkisiz peering bağlantılarını incelemesini ve en güncel yazılım sürümlerine geçmesini öneriyor. Cisco ise CVE-2026-20245 için herhangi bir geçici önlem bulunmadığını, riskin yalnızca güvenlik güncellemelerinin uygulanmasıyla giderilebildiğini vurguluyor.