Cisco'nun Güvenlik Açığı Serisi: Saldırganlar 3 Yıldır SD-WAN Sistemlerini Hedefliyor
Cisco'nun SD-WAN ve firewall sistemlerinde son 3 haftada açıklanan 9 güvenlik açığından 5'i aktif olarak istismar ediliyor. Saldırganlar bazı açıkları 3 yıldır kullanıyor.
Cisco müşterleri, Şubat ayı sonundan bu yana ağ uç yazılımlarını etkileyen ve aktif olarak istismar edilen çok sayıda güvenlik açığıyla karşı karşıya kaldı. Araştırmacılar, son üç haftada Cisco'nun güvenlik duvarı ve SD-WAN sistemlerinde açıkladığı dokuz açıklardan beşinin野外de aktif olarak istismar edildiğini doğruladı.
Üç Yıllık Sessiz İstismar
Saldırganlar, bu açıklardan ikisini — Cisco SD-WAN'lardaki zero-day açıkları — satıcı ve yetkililer keşfedip uyarı yayınlamadan önce en az üç yıl boyunca istismar etti. Cisco aynı gün ek beş SD-WAN güvenliği açığı daha açıkladı ve bunlardan üçü de aktif olarak istismar ediliyor.
Interlock Ransomware Saldırıları
Amazon Threat Intelligence, bu ay başında Cisco'nun güvenlik duvarı yönetim yazılımında bildirdiği iki maksimum şiddetli açıklardan birinin 26 Ocak'tan beri Interlock ransomware tarafından aktif olarak istismar edildiğini belirtti. Bu, açıkların kamuoyuna duyurulmasından bir ay önce.
Interlock'un gözlemlenen saldırı yolu kapsamlı: Kompromis sonrası keşif scriptleri, özel remote access trojan'lar, webshell ve meşru araçların kötüye kullanımı. Amazon Threat Intelligence araştırmacıları, "Interlock'un ellerinde zero-day vardı, savunmacılar neye bakacaklarını bilmeden önce organizasyonları kompromize etmek için bir haftalık avantaj elde ettiler" dedi.
Hedeflenen Sektörler
Interlock geleneksel olarak operasyonel aksamanın ödeme için maksimum baskı yarattığı sektörleri hedefliyor:
- Eğitim
- Mühendislik ve mimarlık
- İnşaat
- Üretim
- Endüstriyel
- Sağlık hizmetleri
- Devlet kurumları
CISA'nın Müdahalesi
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), şu ana kadar sadece iki açığı — CVE-2022-20775 ve CVE-2026-20127 — bilinen istismar edilen açıklar kataloğuna ekledi. Ajans, Şubat sonunda açıklar için yayınladığı acil direktife yeni av ve raporlama gereksinimleri ekledi.
Uzman Görüşü: "Bu Random Bug'lar Değil"
Rapid7'de güvenlik açığı istihbaratı direktörü Douglas McKee, "Bunlar düşük değerli yazılımlardaki rastgele hatalar değil. Bunlar, kurumsal ortamlarda genellikle güven anchor'ı olarak işlev gören ağ ucundaki cihazlarda yönetim-plane ve kontrol-plane zayıflıkları" dedi.
"SD-WAN veya güvenlik duvarı yönetimini kompromize ederseniz, politika, görünürlük, yönlendirme, segmentasyon ve birçok durumda ortamın geniş bir bölümü üzerinde yönetimsel güvene inmiş olursunuz. Saldırganlar bunu biliyor ve bu sistemlere pre-auth yolu bulduklarında, özellikle root'a zincirlenebilen bir yol, bu mümkün olduğunca çekici."
Tam Açık Listesi
SD-WAN Açıkları:
- CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20126, CVE-2026-20128, CVE-2026-20129, CVE-2026-20133
Cisco Secure Firewall Management Center Açıkları:
Araştırmacılar CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 ve CVE-2026-20131'in aktif istismarını gözlemledi.
Düşük CVSS Skorlarına Aldırmayın
VulnCheck'ten Caitlin Condon, "Bu Cisco SD-WAN hatalarının birkaçı kritik CVSS skorlarına sahip değil, bu da CVSS'yi önceliklendirme mekanizması olarak kullanan ekiplerin gerçek dünya adversary utility'sine sahip orta veya yüksek skorlu açıkları kaçırabileceği anlamına geliyor" uyarısında bulundu.
Saldırganların Stratejisi
McKee, "Saldırganlar, yüksek değerli organizasyonların içinde ayrıcalıklı konum, geniş görünürlük ve kalıcı erişim yolu verdiği için Cisco edge ve yönetim altyapısındaki daha önce bilinmeyen açıkları bulmaya ve operasyonelleştirmeye zaman ve yetenek yatırımı yapıyor. Tam da bu yüzden sürekli hedef alınıyorlar" dedi.
Kaynak: cyberscoop.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.