cisco sd-wan'da 2023'ten beri sömürülen kritik açık

Posted on 26 Şub 2026

arkadaşlar, cisco’dan çok kötü bir haber geldi. catalyst sd-wan’da kritik bir açık varmış ve 2023’ten beri aktif olarak sömürülüyormuş. yani 2 yıldır birileri bu açığı kullanarak sistemlere girmiş. CVE-2026-20127 numarasıyla takip edilen bu açık, uzaktan kimlik doğrulama bypass’ı (authentication bypass) denen beladan.

ne oluyor yani?

şöyle ki, saldırganlar bu açığı kullanarak sd-wan controller’larınıza uzaktan erişebiliyorlar. daha da kötüsü, ağınıza kötü niyetli sahte peer’lar (rogue peer) ekleyebiliyorlar. yani sizin ağınıza kendi cihazlarını dahil edip trafiğinizi dinleyebiliyorlar, manipüle edebiliyorlar.

spoiler: bu sıfır-gün açığı, yani cisco yamayı yayınlamadan önce sömürülmüş bile.

teknik detaylar

  • CVE: CVE-2026-20127
  • CVSS Skoru: 10.0 (evet gözünüzü ovuşturmayın, tam 10.0) 🔴
  • Zafiyet Türü: Authentication Bypass (kimlik doğrulama atlatma)
  • Saldırı Vektörü: Network (uzaktan, internet üzerinden)
  • Gerekli Yetki: Yok (kimlik doğrulamasına gerek yok, işte sorun bu)
  • Kullanıcı Etkileşimi: Gerekmiyor
  • Etki: Controller’a tam erişim, ağa sahte cihaz ekleme

kısacası, saldırganın hiçbir şeye ihtiyacı yok. sadece açığı bilmesi yeterli, gerisi kolay.

etkilenen sistemler

ÜrünDurum
Cisco Catalyst SD-WAN Manager✅ Etkileniyor
Cisco vManage✅ Etkileniyor
Cisco SD-WAN vBond Orchestrator✅ Etkileniyor
Cisco SD-WAN vSmart Controller✅ Etkileniyor

edit: cisco’nun sd-wan ürün ailesinin neredeyse tamamı etkileniyor.

ne yapmalısınız (acil)

agalar, bu iş şakaya gelmez. 2 yıldır sömürülüyor bu açık, kim bilir kaç sistem çoktan ele geçirilmiş. hemen şunları yapın:

1. yama kontrolü

# cisco sd-wan versiyonunuzu kontrol edin
show version

# etkilenen versiyonlar:
# - 20.x serisinin tamamı
# - 21.x serisinin bazı versiyonları

2. acil güncelleme

cisco yamayı yayınlamış durumda. acil acil güncelleyin, ama önce test ortamında deneyin:

  • Yama Versiyonları:
    • 20.13.1 ve üzeri
    • 21.9.1 ve üzeri
# güncelleme öncesi yedek alın (ciddi söylüyorum)
request nms configuration-db backup

# güncellemeyi cisco software center'dan indirin
# test ortamında deneyin
# sonra prod'a geçin

3. sistem kontrolü

ağınıza yetkisiz peer eklenmiş mi diye kontrol edin:

# tüm peer'ları listeleyin
show sdwan control connections

# şüpheli bağlantıları kontrol edin
show sdwan control local-properties

# log'ları inceleyin
show logging | include authentication

4. incident response

eğer 2023’ten beri bu sistemleri kullanıyorsanız ve hiç yamalamadıysanız:

  • ciddi ciddi bir incident response başlatın
  • log’larınızı geriye dönük analiz edin
  • yetkisiz erişim izleri arayın
  • şüpheli peer’lar var mı bakın
  • gerekirse forensic analiz yapın

geçici çözümler (yama hemen uygulanamıyorsa)

arkadaşlar, bu açık için geçici çözüm pek yok ama şunları yapabilirsiniz:

  1. Ağ segmentasyonu:
# sd-wan management interface'leri sadece güvenli network'lerden erişilebilir yapın
# firewall kuralları ekleyin
access-list management-access permit ip <güvenilen-subnet> any
access-list management-access deny ip any any
  1. IPS/IDS kuralları:
  • anormal authentication attempt’leri izleyin
  • bilinmeyen IP’lerden gelen bağlantıları blokleyin
  1. Monitoring:
# sürekli peer listesini monitör edin
# her 5 dakikada bir kontrol edin
watch -n 300 'show sdwan control connections'

dikkat: bunlar sadece geçici önlemler. asıl çözüm yamayı uygulamak.

cisa uyarısı

edit: cisa (amerikan siber güvenlik ajansı) bu açığı “known exploited vulnerabilities” kataloğuna eklemiş. federal ajanslar için son tarih: 15 mart 2026

siz de aynı ciddiyetle yaklaşın bu işe.

timeline (olay kronolojisi)

  • 2023: açık aktif olarak sömürülmeye başlanmış (kimse bilmiyor)
  • şubat 2026: cisco açığı keşfetmiş ve duyurmuş
  • 25 şubat 2026: yama yayınlanmış
  • şimdi: herkes panik halinde yamalıyor

yani 2 yıl boyunca sömürülmüş bu açık. kim bilir ne tür veriler sızmış.

ioc’ler (indicator of compromise)

şunlara dikkat edin:

  • beklenmedik peer bağlantıları
  • bilinmeyen IP adreslerinden gelen control connection’lar
  • authentication log’larında anormal aktiviteler
  • config değişiklikleri (özellikle peer ekleme/silme)
  • trafik pattern’lerinde anormallikler

risk değerlendirmesi

🔴 kritik seviye - acil yamalayın

neden bu kadar ciddi:

  • CVSS 10.0 (maksimum skor)
  • 2 yıldır aktif sömürülüyor
  • kimlik doğrulaması gerektirmiyor
  • uzaktan sömürülebilir
  • tam sistem kontrolü veriyor
  • ağa sahte cihaz ekleme imkanı

kısacası, daha kötü olamaz.

kaynaklar

son söz

beyler, bu iş gerçekten ciddi. 2 yıldır sömürülüyor bu açık ve kim bilir kaç kurum etkilenmiş. eğer cisco sd-wan kullanıyorsanız:

  1. hemen versiyonunuzu kontrol edin
  2. etkileniyorsanız acil yamalayın
  3. log’larınızı geriye dönük inceleyin
  4. incident response planınızı aktive edin

“sonra yaparız” demeyin, şimdi yapın. yoksa bir sabah uyanırsınız ağınızda tanımadığınız cihazlar görürsünüz.

bkz: sd-wan güvenliği, cisco zero-day, authentication bypass

Bu içerik yapay zeka tarafından oluşturulmuştur.