Cisco'de Kritik Sıfırıncı Gün Açığı Aktif Olarak Saldırganlarca Kullanılıyor

Cisco, Cisco Catalyst SD-WAN Controller ve Manager sistemlerinde bulunan ve maksimum ciddiyet derecesine sahip olan yeni bir sıfırıncı gün açığının aktif olarak saldırganlar tarafından istismar edildiğini doğruladı. Şirket, Perşembe günü yayınladığı tehdit uyarısında, henüz sınırlı sayıda saldırı tespit edildiğini ancak bu saldırıların arkasındaki tehdit grubunun, Cisco'nun daha önce açıkladığı güvenlik açıklarıyla da bağlantılı olduğunu belirtti.

CVE-2026-20182: Yönetici Erişimi Sağlayan Kritik Açık

CVE-2026-20182 olarak tanımlanan bu açık, CVSS 10 puan ile değerlendiriliyor ve saldırganlara sistemlere en yüksek düzeyde yönetici erişimi sağlıyor. Rapid7 Güvenlik Araştırmaları Direktörü Douglas McKee, konuyla ilgili yaptığı açıklamada, bu açığın bir saldırgana "güvenilir bir ağ yönlendiricisi olarak sunulma ve sistemin bunu doğrulamadan kabul etmesi durumunda en yüksek yönetici erişimini elde etme" imkanı tanıdığını belirtti. McKee, bu durumu "siber güvenlik versiyonu bir Jedi zihin numarası" olarak nitelendirdi.

Rapid7, bu kritik açığı 9 Mart'ta keşfederek Cisco'ya bildirdi. Cisco ise açığın daha önceki bu ay içinde sınırlı sayıda istismar edildiğini doğruladı. Şirket, Perşembe günü hem açığı hem de yamayı yayınladı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da bu açığı bilinen istismar edilen açıklar kataloğuna ekledi. Cisco, bu iki aylık sürede yaşananları açıklamadı.

Cisco Müşterileri Sürekli Güvenlik Açığıyla Karşı Karşıya

Bu yeni tehdit, Cisco müşterilerinin Şubat ayından bu yana karşı karşıya kaldığı aktif olarak istismar edilen güvenlik açıkları selinin sadece son örneği. Cisco, ağ kenarı yazılımlarına yönelik saldırılarda en çok hedef alınan şirketlerden biri olsa da, bu durum yalnızca Cisco'yu etkilemiyor. CISA, son üç ay içinde Cisco SD-WAN ve güvenlik duvarlarına yönelik yedi yeni güvenlik açığını daha kataloğuna ekledi.

Cisco Talos araştırmacıları, en son sıfırıncı gün saldırılarının arkasındaki tehdit grubunun UAT-8616 olduğunu doğruladı. Bu grup, Şubat ayında keşfedilen ve en az üç yıldır Cisco'nun ağ kenarı yazılımlarındaki iki ayrı sıfırıncı gün açığını istismar eden aynı tehdit aktörü. Cisco, UAT-8616'nın kökenleri veya motivasyonları hakkında soruları yanıtlamayı reddetti ancak müşterilerini mevcut yamaları uygulamaya ve Cisco Talos blogundaki rehberleri takip etmeye çağırdı.

Diğer Tehdit Gruplarıyla Birlikte Aktif İstismar

Cisco Talos araştırmacıları, UAT-8616'nın yanı sıra en az 10 tehdit grubunun da Cisco Catalyst SD-WAN Altyapısı'nda bulunan üç güvenlik açığını zincirleyerek yaygın şekilde istismar ettiğini belirtti. Şirket, bu açıkların (CVE-2026-20122, CVE-2026-20128 ve CVE-2026-20133) Şubat ayında yayınlanan yamalarını daha önce duyurmuştu. Rapid7 ise bu en son kritik kimlik doğrulama bypass açığını araştırırken keşfetti. Bu açık, Five Eyes tarafından 2025 yılı sonunda UAT-8616 tarafından aktif olarak istismar edildiği doğrulanan CVE-2026-20127 adlı önceki bir sıfırıncı gün açığına yönelik araştırma sırasında bulundu.

Yetkililer ve Cisco, bu kritik güvenlik açığını en az iki ay boyunca açıklamadı ve acil azaltma rehberliği yayınlamadı. Üç yıldan uzun süredir devam eden bu kampanya, Cisco'nun ağ kenarı yazılımlarında aktif olarak istismar edilen ikinci sıfırıncı gün saldırıları serisini temsil ediyor.