ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), birden fazla Cisco Tümleşik İletişim ürününde sıfır gün uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlanıldığını doğruladıktan sonra acil bir uyarı yayınladı.
CVE-2026-20045 olarak izlenen kusur, saldırganlara temel işletim sistemine kullanıcı düzeyinde erişim sağlayan ve ardından tam kök ayrıcalık yükseltmesini sağlayan kod enjeksiyon saldırılarına olanak tanıyor.
21 Ocak 2026’da CISA’nın Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna eklenen federal kurumların, 11 Şubat 2026’ya kadar hafifletici önlemler uygulaması veya etkilenen ürünlerin kullanımını durdurması gerekiyor.
Bu kritik sorun, CWE-94: Kod Üretiminin Uygunsuz Kontrolü ile uyumlu olarak Cisco’nun iletişim platformlarındaki hatalı giriş doğrulamasından kaynaklanmaktadır. Saldırganlar, bazı senaryolarda kimlik doğrulamayı atlayarak, hazırlanmış ağ istekleri yoluyla kötü amaçlı kod enjekte edebilir.
Bu kusurdan yararlanan saldırganlar, güvenlik açığı bulunan hizmet bağlamında isteğe bağlı kod çalıştırabilir. CISA, vahşi doğada aktif sömürüyü doğruladı ve bu da 21 Ocak 2026’da KEV kataloğuna acilen eklenmesini sağladı.
Bu iletişim sistemlerini yöneten kuruluşlar, anında tehlikeye girme riskiyle karşı karşıyadır.
Cisco, güvenlik açığının şirket içi dağıtımları etkilediğini ve yama uygulama dışında herhangi bir geçici çözüm bulunmadığını doğrulayan bir danışma belgesi yayınladı.
Etkilenen Ürünler ve Saldırı Vektörleri
Güvenlik açığı şunları etkiler:
- Cisco Tümleşik İletişim Yöneticisi (Birleşik CM)
- Cisco Tümleşik İletişim Yöneticisi Oturum Yönetimi Sürümü (Birleşik CM KOBİ)
- Cisco Tümleşik İletişim Yöneticisi IM ve Durum Hizmeti (Birleşik CM IM&P)
- Cisco Birlik Bağlantısı
- Cisco Webex Çağrısı Özel Örneği
Kurumsal ses ve işbirliği ortamları, bu ürünler genellikle yönetim arayüzlerini internete açık hale getirdiğinden yüksek riskle karşı karşıyadır.
Saldırganlar, CTI Manager veya AXLE hizmetleri gibi açığa çıkan hizmetlere hatalı biçimlendirilmiş paketler göndererek kimlik doğrulaması olmadan bu kusurdan uzaktan yararlanıyor.
Kod bir kez enjekte edildikten sonra web sunucusu süreci bağlamında yürütülür ve bilinen yerel priv-esc yolları aracılığıyla root yükseltme işleminden önce cron işleri veya arka kapılar yoluyla kalıcılığa izin verir.
İlk göstergeler, tehdit aktörlerinin bunu çağrı merkezlerini ve UCaaS sağlayıcılarını hedef almak için kimlik avı veya tedarik zinciri ihlalleriyle zincirlediğini gösteriyor.
Cisco, yamalı sürümlere derhal yükseltme yapılması çağrısında bulunuyor:
- Birleşik CM: Sürüm 14SU2.7 veya üzeri
- Birlik Bağlantısı: 14SU2.7 veya üzeri
- IM&P: 14SU3 veya üzeri
CISA, sıfır güven ilkelerini vurgular: ihlali varsayın ve beklenmedik kök süreçleri veya enjekte edilen web kabukları gibi IOC’leri araştırın.
Bu sıfır gün, gecikmiş yama uygulamasının kuruluşları fidye yazılımına veya casusluğa karşı savunmasız bıraktığı eski UC altyapısındaki kalıcı risklerin altını çiziyor.
Henüz halka açık bir PoC mevcut değil, ancak yer altı forumları istismarların satışa sunulduğunu bildiriyor. Güvenlik ekipleri güncellemeler için CISA KEV ve Cisco PSIRT’ye çapraz referans vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
