Siber Güvenlik

Cisco Unified CM’de Bulunan Kritik Güvenlik Açığı Aktif Olarak İstismar Ediliyor

Siber güvenlik alanında kritik bir gelişme yaşandı. Cisco Unified Communications Manager (Unified CM) ve Unified Communications Manager Session Management Edition (Unified CM SME) ürünlerinde recently ortaya çıkan bir güvenlik açığı, aktif olarak istismar edilmeye başlandı. Bu güvenlik açığı, CVE-2026-20230 olarak takip ediliyor ve CVSS puanı 8.6’dir. Bu açıklık, belirli HTTP istekleri için yanlış giriş doğrulamasına bağlı bir sorundur ve yetkisiz, uzaktan bir saldırganın, etkilenen bir cihaz aracılığıyla sunucu tarafı istek sahteciliği (SSRF) saldırıları gerçekleştirmesine imkan tanır.

Güvenlik Açığının Detayları

Güvenlik açığı, bir saldırganın, belirli bir HTTP isteği göndererek, etkilenen bir cihazın altta yatan işletim sistemine dosya yazmasına olanak tanır. Bu, daha sonra kök haklarına yükselmek için kullanılabilir. Cisco, bu ay başlarında yayımladığı bir bildirimde, “Bir saldırgan bu güvenlik açığını, etkilenen bir cihaza özel bir HTTP isteği göndererek istismar edebilir” dedi. “Başarılı bir istismar, saldırganın daha sonra kök haklarına yükselmesi için kullanılabilen, altta yatan işletim sistemine dosya yazmasına izin verebilir.”

Sunucu Tarafı İstek Sahteciliği (SSRF) saldırıları, sunucunun dahili veya harici başka bir kaynağa istek yapmasını zorlayarak çalışır. Bu durumda, saldırgan WebDialer hizmeti aracılığıyla, sunucunun kendisi üzerindeki dosya sistemine veya dahili ağdaki diğer sistemlere istek yapmasını sağlayabilir. Dosya yazma yeteneği, genellikle bir SSRF zafiyetinin en tehlikeli sonuçlarından biridir, çünkü bu, saldırganın zararlı bir betik, yapılandırma dosyası veya arka kapı yüklemesine olanak tanır.

Defused Cyber, bu hafta X’de paylaştığı bir gönderide, bu güvenlik açığının aktif olarak istismar edildiğini gözlemlediğini belirtti. “Bu,目前 tek bir kaynaktan, gerçekten formatlı file:// dosya-yazma yükleriyle bizim tuzaklarımızda görülmektedir” diye dikkat çekti. file:// protokolünün kullanılması, saldırganın sunucunun yerel dosya sistemine erişim sağladığını ve bu sayede zararlı içeriği hedef sistem üzerinde depolayabildiğini göstermektedir. Bu tür bir yetenek, daha sonra bir web kabuğu (web shell) yerleştirmek, sistemde kalıcılık sağlamak veya ayrıcalık yükseltmek için kritik bir adımdır. Örneğin, bir saldırgan kritik bir sistem dosyasını (örn. /etc/passwd, /etc/shadow) okuyarak hassas bilgilere erişebilir veya bir cron işi ekleyerek belirli aralıklarla zararlı komutların çalışmasını sağlayabilir.

Ancak başarılı bir istismar için, WebDialer hizmeti etkin olmalıdır. Varsayılan olarak devre dışıdır. WebDialer, Cisco Unified Communications ortamlarında kullanıcıların telefonları aracılığıyla web tabanlı uygulamalardan arama yapmalarını sağlayan bir CTI (Bilgisayar Telefon Entegrasyonu) hizmetidir. Bu hizmetin etkin olmaması, birçok kurulumu başlangıçta bu zafiyetten korumaktadır, ancak hizmetin manuel olarak veya başka bir yapılandırma değişikliğiyle etkinleştirilmiş olabileceği durumlar göz ardı edilmemelidir.

Güvenlik Açığını Kontrol Etme ve Düzeltme

Kullanıcılar, WebDialer hizmetinin etkin olup olmadığını kontrol etmek için aşağıdaki adımları takip edebilir:

  • Cisco Unified CM Yönetim arabirimine giriş yapın. Bu genellikle bir web tarayıcısı üzerinden yapılır ve https:///cmadmin/ şeklinde bir URL’e sahiptir.
  • Gezinme menüsünden “Cisco Unified Serviceability” yi seçin ve “Git” butonuna tıklayın. Bu, Unified CM kümesindeki hizmetlerin durumunu ve kontrolünü yönetmek için ayrı bir arayüze geçiş yapmanızı sağlar.
  • Araçlar menüsünden “Control Center – Özellik Hizmetleri” ni seçin. Bu bölüm, çeşitli Cisco Unified CM hizmetlerinin başlatılması, durdurulması ve yeniden başlatılması için merkezi bir noktadır.
  • Sayfanın CTI Hizmetleri bölümünde, Cisco WebDialer Web Hizmetinin geçerli durumunun “Başlatıldı” veya “Çalışmıyor” olduğunu kontrol edin. Eğer “Çalışmıyor” durumda ise, sisteminiz bu spesifik istismar vektörüne karşı varsayılan olarak korunmaktadır.
  • Durum “Başlatıldı” ise, WebDialer etkin demektir ve sisteminiz bu güvenlik açığına karşı savunmasızdır. Bu durumda derhal düzeltici adımların atılması gerekmektedir.

Güvenlik açığı, Unified CM ve Unified CM SME’nin 14SU6 ve 15SU5 sürümlerinde düzeltildi. Buradaki “SU” “Service Update” anlamına gelir ve belirli bir ana sürüm için yayımlanan toplu güncellemeleri ifade eder. Bu güncellemeler, güvenlik yamaları, hata düzeltmeleri ve bazen yeni özellikler içerebilir. Sisteminizi bu sürümlere veya daha yenilerine güncellemek, bilinen bu güvenlik açığına karşı en kesin çözümdür. Immediate düzeltme mümkün olmadığında, bir çözüm uygulanana kadar WebDialer hizmetini devre dışı bırakmak önerilir. WebDialer hizmetini devre dışı bırakmak için, “Control Center – Özellik Hizmetleri” sayfasında ilgili hizmeti seçip “Durdur” butonuna tıklayabilirsiniz. Bu işlemin, WebDialer hizmetini kullanan herhangi bir üçüncü taraf entegrasyonunu veya özel uygulamaları etkileyebileceğini unutmayın, ancak çoğu temel UC işlevi için kritik değildir.

SSD Secure Disclosure, CVE-2026-20230 için ek teknik ayrıntılar yayımladı ve bu açığın, saldırganların Webdialer bileşenini kullanarak hedefin gerçek hostname’ini elde etmelerine ve sonunda kod çalıştırma gerçekleştirmelerine izin

Diğer Gelişmeler

Cisco, geçen hafta, Catalyst SD-WAN Manager’de (CVE-2026-20262, CVSS puanı: 6.5) aktif olarak istismar edilen bir orta düzeyi güvenlik açığı için güvenlik güncellemeleri yayımladı. Bu durum, Cisco ürünlerindeki güvenlik açıklarının sadece Unified Communications alanıyla sınırlı olmadığını, aynı zamanda ağ altyapısı gibi kritik alanları da etkileyebileceğini göstermektedir. Şirketlerin ve kuruluşların, kullandıkları tüm Cisco ürünleri için düzenli olarak güvenlik bültenlerini takip etmeleri ve yamaları uygulamaları büyük önem taşır.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 25 Haziran 2026’da CVE-2026-20230’ü Known Exploited Vulnerabilities (KEV) kataloğuna ekledi ve Federal Sivil İcra Şubesi (FCEB) ajanslarının 28 Haziran 2026’ya kadar düzeltmeleri uygulamalarını istedi. CISA’nın bir zafiyeti KEV kataloğuna eklemesi, o zafiyetin siber saldırganlar tarafından aktif olarak kullanıldığına dair somut kanıtların olduğu anlamına gelir ve bu, zafiyetin acilen ele alınması gerektiğinin güçlü bir göstergesidir. FCEB ajansları için belirlenen kısa süre, bu tür aktif olarak istismar edilen zafiyetlerin oluşturduğu yüksek riski vurgulamaktadır. Bu, özel sektördeki kuruluşlar için de benzer bir aciliyet anlamına gelmelidir.

Peki Bu Güvenlik Açığı ile Ne Yapmalısınız?

Bu güvenlik açığının aktif olarak istismar edildiği düşünüldüğünde,影响 edilen cihazların ve sistemlerin acilen güvenli hale getirilmesi kritik önem taşımaktadır. Kullanıcılar ve sistem yöneticileri, WebDialer hizmetini kontrol etmeli ve eğer etkinse, derhal devre dışı bırakmalıdır. Bu, en azından kısa vadede riski azaltacak önemli bir adımdır. Ayrıca, Cisco’nun yayımladığı güvenlik güncellemelerini mümkün olan en kısa sürede uygulamalıdır. Güncelleme işlemi öncesinde, üretim dışı bir ortamda test yapmak ve bir geri alma planı (rollback planı) oluşturmak her zaman önerilir. Sistem yöneticileri, yamaların uygulanmasından sonra sistemin beklenen şekilde çalışmaya devam ettiğinden emin olmak için kapsamlı fonksiyonel testler yapmalıdır.

Siber güvenlikte her zaman olduğu gibi, proaktif measures almak, potansiyel saldırıları önlemek için hayati önem taşımaktadır. Bu, sadece yazılım güncellemelerini takip etmekle kalmayıp, aynı zamanda ağ segmentasyonu, güvenlik duvarı kuralları (özellikle WebDialer hizmetinin sadece güvenilir IP adreslerinden erişilebilir olmasını sağlayacak şekilde), saldırı tespit ve önleme sistemleri (IDS/IPS) ve güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri aracılığıyla sürekli izleme gibi katmanlı güvenlik yaklaşımlarını da içerir. Şüpheli trafik veya anormallikler için ağ günlükleri ve Unified CM sistem günlükleri düzenli olarak incelenmelidir. Özellikle aktif istismar belirtileri (örneğin, WebDialer hizmetinden kaynaklanan anormal dosya erişimi veya ağ bağlantıları) aranmalıdır. Olası bir istismar durumunda hızlı ve etkili bir yanıt verebilmek için bir olay müdahale planının hazır ve güncel olması da büyük önem taşımaktadır.

Sık Sorulan Sorular

Cisco Unified CM güvenlik açığının CVE numarası nedir?

CVE-2026-20230

Bu güvenlik açığı ne tür bir saldırıya izin verir?

Sunucu tarafı istek sahteciliği (SSRF) saldırısı

Güvenlik açığını düzeltmek için ne yapılmalıdır?

WebDialer hizmetini devre dışı bırakmak veya Cisco'nun yayımladığı güvenlik güncellemelerini uygulamak

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu