Cisco Unified CM'deki Kritik SSRF Açığı Artık Saldırılarda Kullanılıyor: Riskler ve Korunma Yolları
By Mag-Info Tech editorial · 2026-06-24
Cisco’nun Unified Communications Manager (Unified CM) ve Unified Communications Manager Session Management Edition (Unified CM SME) yazılımlarında bulunan CVE-2026-20230 adlı güvenlik açığı, artık saldırganlar tarafından aktif olarak kullanılmaya başladı. Bu yüksek önem derecesine sahip açıktan yararlanan saldırganlar, sisteme kök düzeyinde erişim elde edebiliyor ve cihaz üzerinde tam kontrol sağlayabiliyor. Cisco’nun Haziran ayında yayımladığı uyarıda da belirttiği gibi, bu açıktan yararlanmak için saldırganların özel olarak hazırlanmış bir HTTP isteği göndermesi yeterli oluyor. Saldırının temelinde, uygulamaya gönderilen kullanıcı girişlerinin yetersiz şekilde doğrulanması yatıyor. Bu durum, saldırganlara sunucu tarafında istek sahteciliği (SSRF) saldırıları gerçekleştirme ve hedef sistemin dosya sistemine istedikleri dosyaları yazma olanağı tanıyor.
Açığın keşfi ve Cisco’ya bildirilmesi, SSD Secure adlı araştırma ekibi tarafından gerçekleştirildi. Araştırmacılar, açıklıkla ilgili teknik ayrıntıları ilk aşamada gizli tutmuş olsalar da, yakın zamanda bir teknik inceleme ve kanıt kavramı (PoC) yayımladılar. Bu incelemede, WebDialer bileşeninin kullanıcıdan alınan URL’leri işleme şeklindeki zafiyetin, saldırganlara dosya sistemine dosya yazma olanağı tanıdığı ortaya kondu. Özellikle file:// URI’lerinin kötüye kullanılması yoluyla, saldırganlar hedef sistemde /tmp/c gibi dizinlere istedikleri dosyaları oluşturabiliyor ve ilerleyen aşamalarda bu dosyaları kök ayrıcalığı elde etmek için kullanabiliyor. Threat intelligence firması Defused’un yaptığı gözlemlerde, saldırıların tek bir IP adresinden kaynaklandığı ve bu IP’nin hedef sistemlere /tmp/cve-2026-20230-test.txt adlı bir test dosyası yazmak amacıyla saldırılar gerçekleştirdiği görülüyor. Bu durum, saldırganların öncelikle savunmasız sistemleri tespit etmek ve ardından daha ileri saldırılar için zemin hazırlamak istediklerini gösteriyor.
CVE-2026-20230 Açığı Nedir ve Neden Kritik?
CVE-2026-20230, Cisco Unified Communications Manager’da bulunan ve sunucu tarafında istek sahteciliği (SSRF) saldırılarına olanak tanıyan bir güvenlik açığıdır. Bu açıktan yararlanan saldırganlar, sistemde yetkilendirme olmaksızın HTTP istekleri gönderebiliyor ve bu istekleri manipüle ederek hedef sistemin dosya sistemine dosya yazabiliyor. Cisco’nun yaptığı açıklamaya göre, bu açıklık, uygulamaya gelen HTTP isteklerinin giriş doğrulaması yapılmadan işlenmesinden kaynaklanıyor. Saldırganlar, özel olarak hazırlanmış bir HTTP isteği göndererek, sistemde bulunan WebDialer bileşenini kandırarak, dosya sistemine dosya yazabiliyor. Bu dosyalar, ilerleyen aşamalarda saldırganlara sistemde kök düzeyinde erişim sağlamak için kullanılabiliyor.
Bu açıklığın kritik olmasının temel nedeni, saldırganların sisteme kök düzeyinde erişim elde edebilmesi ve ardından tam kontrolü ele geçirebilmesidir. Cisco’nun verdiği CVSS puanı 8.6 olan bu açıklık, sistemlerin güvenliği açısından ciddi bir tehdit oluşturuyor. Ayrıca, açıklığın henüz CISA’nın Bilinen Kullanılan Açıklıklar (KEV) kataloğunda yer almaması, saldırganların bu açıklığı daha yaygın olarak kullanmaya başlamadan önce harekete geçilmesi gerektiğini gösteriyor. SSD Secure tarafından yapılan teknik incelemelerde, açıklığın nasıl çalıştığı ve saldırganların nasıl yararlanabileceği ayrıntılı olarak ortaya konmuş durumda. Araştırmacılar, WebDialer bileşeninin kullanıcıdan alınan URL’leri işlerken yaptığı hatalardan yararlanarak, dosya sistemine dosya yazma olanağı elde ettiklerini gösteren kanıt kavramlarını da yayımladılar.
Aktif Saldırılar: Saldırganlar Ne Yapıyor?
Threat intelligence firması Defused’un yaptığı gözlemler, CVE-2026-20230 açığından yararlanan saldırıların aktif olarak gerçekleştirildiğini gösteriyor. Defused’un yaptığı açıklamalara göre, saldırılar tek bir IP adresinden kaynaklanıyor ve bu IP, hedef sistemlere /tmp/cve-2026-20230-test.txt adlı bir test dosyası yazmak amacıyla saldırılar gerçekleştiriyor. Bu test dosyasının oluşturulması, saldırganların sistemlerin savunmasız olup olmadığını tespit etmek ve ardından daha ileri saldırılar için zemin hazırlamak istediklerini gösteriyor. Saldırganlar, bu test dosyasını oluşturmak için file:// URI’lerini kullanıyor ve sistemde bulunan WebDialer bileşenini manipüle ediyor.
Saldırganların bu aşamada sadece savunmasız sistemleri tespit etmekle yetinmediği, aynı zamanda sistemlere daha ileri düzeyde saldırılar gerçekleştirmek için zemin hazırladığı düşünülüyor. Örneğin, saldırganlar bu açıklığı kullanarak sistemlere webshell’ler yerleştirebilir ve ardından tam kontrol elde edebilir. Ayrıca, saldırganlar bu açıklığı kullanarak sistemde bulunan diğer güvenlik açıklarından yararlanmak için gerekli olan dosyaları da sistemde oluşturabilir. Bu durum, sistemlerin savunmasız kalması durumunda ciddi bir tehdit oluşturuyor. Cisco’nun yaptığı uyarılarda da belirtildiği gibi, bu açıklık saldırganlara sistemde kök düzeyinde erişim sağlayabileceği için, sistem yöneticilerinin acilen harekete geçmesi gerekiyor.
Etkilenen Sistemler ve Cisco’nun Önerileri
CVE-2026-20230 açığı, Cisco Unified Communications Manager (Unified CM) ve Cisco Unified Communications Manager Session Management Edition (Unified CM SME) yazılımlarını etkiliyor. Cisco, bu açıklığın giderilmesi için Haziran ayında güvenlik güncellemeleri yayımladı. Cisco’nun yaptığı açıklamalara göre, sistem yöneticilerinin bu güncellemeleri en kısa sürede yüklemeleri gerekiyor. Cisco, ayrıca sistemlerin güvenliğini artırmak için ek önerilerde de bulundu. Örneğin, sistemlerin sadece gerekli olan ağ bağlantılarına açık olmasını sağlamak, güvenlik duvarı kurallarıyla gereksiz ağ trafiğini engellemek ve sistemlere sadece güvenilir kullanıcıların erişimini sağlamak gibi önerilerde bulundu.
Cisco’nun yaptığı uyarılarda, sistemlerin güvenliğini artırmak için birkaç adım öneriliyor. İlk olarak, sistem yöneticilerinin Cisco’nun yayımladığı güvenlik güncellemelerini en kısa sürede yüklemeleri gerekiyor. İkinci olarak, sistemlerin sadece gerekli olan ağ bağlantılarına açık olmasını sağlamak ve güvenlik duvarı kurallarıyla gereksiz ağ trafiğini engellemek gerekiyor. Üçüncü olarak, sistemlere sadece güvenilir kullanıcıların erişimini sağlamak ve gereksiz kullanıcı hesaplarını devre dışı bırakmak gerekiyor. Cisco, ayrıca sistemlerin düzenli olarak güncellenmesini ve güvenlik açıkları açısından taranmasını öneriyor.
Saldırıların Yaygınlaşma Riski ve Gelecek Senaryoları
CVE-2026-20230 açığından yararlanan saldırıların yaygınlaşma riski oldukça yüksek. Defused’un yaptığı gözlemler, saldırıların henüz sınırlı bir ölçekte gerçekleştirildiğini gösterse de, açıklığın teknik ayrıntılarının ve kanıt kavramlarının yayımlanması, diğer saldırganların da bu açıklığı kullanmaya başlamasına neden olabilir. SSD Secure tarafından yapılan teknik incelemelerde, açıklığın nasıl çalıştığı ve saldırganların nasıl yararlanabileceği ayrıntılı olarak ortaya konmuş durumda. Bu durum, diğer saldırganların da benzer saldırıları gerçekleştirmek için gerekli bilgilere sahip olmalarına neden olabilir.
Real results from MEFAI's AI. Get $50 off the Pro plan.
Sponsored · Past performance is not indicative of future results. Not financial advice.
Gelecek senaryoları açısından bakıldığında, CVE-2026-20230 açığından yararlanan saldırıların yaygınlaşması durumunda, birçok kuruluşun ciddi şekilde etkileneceği öngörülüyor. Özellikle, Cisco Unified Communications Manager’ı kullanan kuruluşlar, bu açıklık nedeniyle sistemlerinde ciddi güvenlik açıklarıyla karşı karşıya kalabilir. Saldırganlar, bu açıklığı kullanarak sistemlere kök düzeyinde erişim elde edebilir ve ardından tam kontrolü ele geçirebilir. Bu durum, kuruluşların veri kaybına, hizmet kesintilerine ve itibar kaybına neden olabilir. Ayrıca, saldırganlar bu açıklığı kullanarak diğer sistemlere de saldırılar gerçekleştirebilir ve daha geniş bir saldırı ağı oluşturabilir.
Kuruluşlar İçin Acil Eylem Planı
CVE-2026-20230 açığından kaynaklanan riskleri en aza indirmek için kuruluşların acilen harekete geçmesi gerekiyor. İlk olarak, sistem yöneticilerinin Cisco’nun yayımladığı güvenlik güncellemelerini en kısa sürede yüklemeleri gerekiyor. Bu güncellemeler, açıklığın giderilmesi için gerekli olan düzeltmeleri içeriyor ve sistemlerin güvenliğini artırıyor. İkinci olarak, sistemlerin sadece gerekli olan ağ bağlantılarına açık olmasını sağlamak ve güvenlik duvarı kurallarıyla gereksiz ağ trafiğini engellemek gerekiyor. Bu, saldırganların sistemlere erişimini zorlaştıracak ve saldırı yüzeyini azaltacaktır.
Üçüncü olarak, sistemlere sadece güvenilir kullanıcıların erişimini sağlamak ve gereksiz kullanıcı hesaplarını devre dışı bırakmak gerekiyor. Bu, saldırganların sistemlere erişimini daha da zorlaştıracak ve sistemlerin güvenliğini artıracaktır. Dördüncü olarak, sistemlerin düzenli olarak güncellenmesini ve güvenlik açıkları açısından taranmasını sağlamak gerekiyor. Bu, sistemlerdeki güvenlik açıklarının erken tespit edilmesini ve giderilmesini sağlayacaktır. Son olarak, çalışanların güvenlik farkındalığını artırmak ve sosyal mühendislik saldırılarına karşı eğitmek gerekiyor. Bu, saldırganların sistemlere erişmek için kullandığı yöntemlere karşı direnci artıracaktır.
Kullanıcıların ve Yöneticilerin Alması Gereken Önlemler
Cisco Unified Communications Manager kullanan kullanıcılar ve sistem yöneticileri, CVE-2026-20230 açığından kaynaklanan riskleri en aza indirmek için birkaç adım atabilir. İlk olarak, sistemlerin en son güvenlik güncellemeleriyle güncel olduğundan emin olunması gerekiyor. Cisco’nun yayımladığı güvenlik güncellemeleri, açıklığın giderilmesi için gerekli olan düzeltmeleri içeriyor ve sistemlerin güvenliğini artırıyor. Bu güncellemelerin yüklenmesi, saldırganların sistemlere erişimini engelleyecek ve sistemlerin güvenliğini sağlayacaktır.
İkinci olarak, sistemlerin sadece gerekli olan ağ bağlantılarına açık olmasını sağlamak ve güvenlik duvarı kurallarıyla gereksiz ağ trafiğini engellemek gerekiyor. Bu, saldırganların sistemlere erişimini zorlaştıracak ve saldırı yüzeyini azaltacaktır. Üçüncü olarak, sistemlere sadece güvenilir kullanıcıların erişimini sağlamak ve gereksiz kullanıcı hesaplarını devre dışı bırakmak gerekiyor. Bu, saldırganların sistemlere erişimini daha da zorlaştıracak ve sistemlerin güvenliğini artıracaktır. Son olarak, sistemlerin düzenli olarak güncellenmesini ve güvenlik açıkları açısından taranmasını sağlamak gerekiyor. Bu, sistemlerdeki güvenlik açıklarının erken tespit edilmesini ve giderilmesini sağlayacaktır.
Gelecek Adımlar: Cisco ve Araştırmacılar Ne Yapmalı?
CVE-2026-20230 açığının ortaya çıkarılması ve aktif olarak kullanılmaya başlaması, Cisco’nun ve araştırmacıların gelecek adımlarını belirlemeleri açısından önemli bir uyarı niteliği taşıyor. Cisco, açıklığın giderilmesi için yayımladığı güvenlik güncellemelerinin yanı sıra, sistemlerin güvenliğini artırmak için ek önerilerde bulundu. Cisco’nun yaptığı öneriler arasında, sistemlerin sadece gerekli olan ağ bağlantılarına açık olmasını sağlamak, güvenlik duvarı kurallarıyla gereksiz ağ trafiğini engellemek ve sistemlere sadece güvenilir kullanıcıların erişimini sağlamak yer alıyor.
Araştırmacılar ise, açıklığın teknik ayrıntılarını ve kanıt kavramlarını yayımlayarak, diğer güvenlik uzmanlarının da bu açıklıktan haberdar olmasını ve gerekli önlemleri almasını sağladı. SSD Secure tarafından yapılan teknik incelemelerde, açıklığın nasıl çalıştığı ve saldırganların nasıl yararlanabileceği ayrıntılı olarak ortaya konmuş durumda. Bu durum, diğer saldırganların da benzer saldırıları gerçekleştirmek için gerekli bilgilere sahip olmalarına neden olabilir. Bu nedenle, araştırmacıların ve Cisco’nun, açıklığın yaygınlaşmasını önlemek için daha fazla adım atması gerekiyor. Örneğin, Cisco’nun açıklığın teknik ayrıntılarını ve kanıt kavramlarını daha geniş bir kitleyle paylaşması ve sistem yöneticilerinin bu açıklık hakkında daha fazla bilgilendirilmesi gerekiyor.
Sonuç: Saldırıların Önüne Geçmek İçin Hızlı Hareket Zamanı
CVE-2026-20230 adlı SSRF açığının aktif olarak kullanılmaya başlaması, Cisco Unified Communications Manager kullanan tüm kuruluşlar için ciddi bir tehdit oluşturuyor. Bu açıklık, saldırganlara sistemlere kök düzeyinde erişim sağlama olanağı tanıyor ve sistemlerin tam kontrolünü ele geçirme riskini beraberinde getiriyor. Cisco’nun yayımladığı güvenlik güncellemeleri ve ek öneriler, sistemlerin güvenliğini artırmak için önemli adımlar içeriyor. Ancak, bu adımların yeterli olabilmesi için sistem yöneticilerinin ve kullanıcıların acilen harekete geçmesi gerekiyor.
Sistem yöneticileri, Cisco’nun yayımladığı güvenlik güncellemelerini en kısa sürede yüklemeli ve sistemlerin sadece gerekli olan ağ bağlantılarına açık olmasını sağlamalı. Ayrıca, sistemlere sadece güvenilir kullanıcıların erişimini sağlamak ve gereksiz kullanıcı hesaplarını devre dışı bırakmak gerekiyor. Kullanıcılar ise, sistemlerin en son güvenlik güncellemeleriyle güncel olduğundan emin olmalı ve sistemlerin güvenliği hakkında farkındalıklarını artırmalı. Bu adımların atılması, CVE-2026-20230 açığından kaynaklanan riskleri en aza indirecek ve sistemlerin güvenliğini sağlayacaktır.
More in Cybersecurity & Privacy
Tata Elektronik’te siber saldırı: Üretim verileri sızdırıldı mı?
Hindistanlı elektronik devi Tata Electronics’e yapılan siber saldırıda üretim verileri sızdırıldı iddiası ortaya çıktı. Apple bileşenlerine ait iç dizayn belgeleri ve üretim spesifikasyonları risk alt
Windows 11 KB5095093 Güncellemesiyle Gelen Nokta-Zamanı Geri Yükleme Özelliği: Siber Güvenlik ve Veri Koruma Nasıl Değişiyor?
Microsoft’un Windows 11 KB5095093 önizleme güncellemesiyle tanıtılan Nokta-Zamanı Geri Yükleme özelliği, sisteminizi sadece birkaç dakika içinde önceki bir duruma döndürmenizi sağlıyor. Siber saldırıl
OpenAI’den Güvenlik Açıklarını Tespit Eden ve Patchleyen Yeni AI Modeli: GPT-5.5-Cyber
OpenAI, GPT-5.5-Cyber adlı yeni AI modeliyle güvenlik açıklarını tespit edip otomatik patch üreten Daybreak girişimini genişletiyor. Açık kaynak projelerini de hedef alan Patch the Planet ile sektörde