Cisco, Secure Firewall Management Center (FMC) platformundaki, uzaktaki saldırganların etkilenen sistemlerin tam kök düzeyinde kontrolünü ele geçirmesine olanak tanıyan iki adet maksimum ciddiyetli güvenlik açığını gideren acil güvenlik güncellemelerini yayınladı. CVE-2026-20079 ve CVE-2026-20131 olarak izlenen bu güvenlik açıkları, Cisco'nun güvenlik duvarı yönetim altyapısına güvenen kurumsal ağlar için önemli bir risk oluşturmaktadır.
Bu güvenlik açıklarının başarılı bir şekilde istismar edilmesi, saldırganların kimlik doğrulama mekanizmalarını atlatmasına ve hedef sistemlerde en yüksek ayrıcalıklarla kötü amaçlı kod çalıştırmasına olanak tanıyarak, güvenlik duvarı yapılandırmalarını manipüle etmelerine, kötü amaçlı yazılım dağıtmalarına veya kurumsal ağlara daha derinlemesine sızmalarına yol açabilir.
Kritik Kusurlar Uzaktan Kök Erişimi Sağlıyor
Bu güvenlik açıkları, yöneticilerin Cisco güvenlik duvarlarını yapılandırmak ve izlemek için kullandıkları merkezi yönetim platformu olan Cisco Secure Firewall Management Center'ı etkiliyor. Sistem, kuruluşların büyük ağlarda saldırı önleme, uygulama görünürlüğü, URL filtreleme ve gelişmiş kötü amaçlı yazılım koruması gibi güvenlik işlevlerini yönetmelerine olanak tanıyor.
Cisco'nun güvenlik danışmanlığına göre, ilk güvenlik açığı olan CVE-2026-20079, kimlik doğrulama atlama kusurudur. Saldırganlar, etkilenen bir cihaza özel olarak hazırlanmış HTTP istekleri göndererek bu hatayı istismar edebilir. Başarılı olursa, bu istismar saldırganın altta yatan işletim sistemine kök düzeyinde erişim sağlayan komut dosyaları ve komutlar çalıştırmasına olanak tanır.
Kök erişimi, saldırganlara sistem dosyalarını değiştirme, arka kapılar yükleme, günlük kaydı devre dışı bırakma veya güvenlik duvarı ilkelerini manipüle etme yeteneği dahil olmak üzere cihaz üzerinde tam kontrol sağladığı için özellikle tehlikelidir.
İkinci kusur olan CVE-2026-20131, yönetim arayüzünde serileştirilmiş Java nesnelerinin yanlış işlenmesinden kaynaklanan bir uzaktan kod yürütme (RCE) güvenlik açığıdır. Saldırgan, web arayüzüne kötü amaçlı bir serileştirilmiş nesne göndererek cihazda rastgele Java kodu çalıştırabilir ve ayrıcalıklarını kök düzeyine yükseltebilir.
Serileştirme güvenlik açıkları, kimlik doğrulama gerektirmeden kod yürütmeyi mümkün kıldıkları için saldırganlar için genellikle cazip hedeflerdir.
Bulut Güvenlik Duvarı Yönetimi de Etkilendi
Her iki güvenlik açığı da Secure FMC yazılımını etkilerken, CVE-2026-20131 ayrıca Cisco güvenlik duvarları ve güvenlik cihazları genelinde politika yönetimini merkezileştirmek için tasarlanmış bulut tabanlı bir platform olan Cisco Security Cloud Control'ü de etkiliyor.
Security Cloud Control, yöneticilerin hibrit ve çoklu bulut dağıtımları dahil olmak üzere dağıtılmış ortamlarda güvenlik politikalarını uygulamasına olanak tanır. Bu platformun güvenliği ihlal edilirse, saldırganlar birden fazla ağdaki güvenlik duvarı politikalarını kontrol edebilir ve bu da istismarın potansiyel etkisini artırabilir.
Aktif Sömürüye Dair Kanıt Yok — Henüz
Cisco'nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), şu anda bu güvenlik açıklarının aktif olarak sömürüldüğüne dair herhangi bir kanıt bulunmadığını ve şu ana kadar kamuya açık bir kavram kanıtı sömürü kodu tespit edilmediğini belirtti.
Ancak, yaygın olarak kullanılan altyapı ürünlerindeki kritik güvenlik açıkları, yamalar yayınlandıktan sonra genellikle hızla silah haline getirilir. Güvenlik güncellemeleri kamuya açık hale geldiğinde, saldırganlar yamaları tersine mühendislik yaparak altta yatan kusurları tespit edebilir ve istismar kodu geliştirebilir.
Bu nedenle, etkilenen yazılımları kullanan kuruluşların güncellemeleri mümkün olan en kısa sürede uygulamaları şiddetle tavsiye edilir.
Daha Büyük Bir Güvenlik Düzeltmeleri Grubunun Parçası
Yeni açıklanan güvenlik açıkları, Cisco tarafından bu hafta yayınlanan daha geniş bir güvenlik yamaları grubunun parçasıdır. Toplamda, şirket birden fazla Cisco güvenlik platformunu etkileyen 15 yüksek önem dereceli sorun da dahil olmak üzere birçok güvenlik açığını ele almıştır.
Etkilenen ürünler arasında şunlar bulunmaktadır:
- Cisco Secure Firewall Adaptive Security Appliance
- Cisco Secure Firewall Threat Defense
- Cisco Secure FMC yazılımı
Bu güncellemeler, genellikle birden fazla hizmet ve yönetim arayüzünü entegre eden kurumsal ağ ekipmanlarında güvenliği sağlamanın karmaşıklığını vurgulamaktadır.
Cisco'nun Kritik Güvenlik Açıkları Modeli
Son açıklamalar, geçtiğimiz yıl Cisco altyapısını etkileyen bir dizi kritik güvenlik açığının ardından geldi.
Ağustos 2025'te Cisco, kimliği doğrulanmamış saldırganların yamalanmamış cihazlara rastgele kabuk komutları enjekte etmesine olanak tanıyan bir başka maksimum ciddiyetli Secure FMC kusuru CVE-2025-20265'i yamaladı.
Ocak 2026'da Cisco, e-posta güvenlik platformu Cisco AsyncOS'ta CVE-2025-20393 olarak izlenen kritik bir sıfır gün güvenlik açığı için yamalar yayınladı. Bu güvenlik açığı, 2025'in sonlarından itibaren güvenli e-posta ağ geçitlerini tehlikeye atmak için aktif olarak kullanılıyordu.
Aynı ay, şirket Unified Communications altyapısında CVE-2026-20045 olarak izlenen ve yine sıfır gün olarak istismar edilen kritik bir uzaktan kod yürütme kusurunu giderdi.
Şubat 2026'da Cisco, CVE-2026-20127 olarak izlenen Cisco Catalyst SD-WAN'ı etkileyen başka bir maksimum ciddiyetli sorunu düzeltti. Bu güvenlik açığı, saldırganların kimlik doğrulamayı atlatmasına ve SD-WAN denetleyicilerini tehlikeye atmasına olanak tanıyarak, sahte ağ eşlerini eklemelerine ve potansiyel olarak ağ trafiğini kesmelerine veya yeniden yönlendirmelerine olanak tanıyordu.
Kurumsal Ağlar Üzerindeki Potansiyel Etki
Secure FMC, güvenlik duvarı altyapısı için merkezi bir yönetim merkezi görevi gördüğünden, başarılı bir saldırı kurumsal güvenlik ortamları için zincirleme sonuçlar doğurabilir.
Saldırgan yönetim sisteminin kontrolünü ele geçirirse, şunları yapabilir:
- Güvenlik duvarı politikalarını değiştirmek
- Güvenlik korumalarını devre dışı bırakmak
- Kötü amaçlı ağ kuralları uygulamak
- Ağ trafiğini engellemek veya yeniden yönlendirmek
- Kalıcı arka kapılar kurmak
Tek bir yönetim konsolunun yüzlerce güvenlik duvarını kontrol ettiği büyük kurumsal ortamlarda, FMC'nin güvenliği ihlal edildiğinde saldırganlar ağdaki erişimlerini hızla genişletebilir.
Güvenlik Önerileri
Cisco, yöneticilerin etkilenen ürünler için en son güvenlik güncellemelerini derhal yüklemelerini önerir. Her iki güvenlik açığı da uzaktan istismar edilebilir ve kimlik doğrulama gerektirmediğinden, yama dağıtımının geciktirilmesi potansiyel saldırılara maruz kalma riskini artırır.
Güvenlik ekipleri ayrıca aşağıdakiler dahil olmak üzere ek savunma önlemleri almayı da düşünmelidir:
- Güvenlik duvarı yönetim arayüzlerine erişimi kısıtlama
- Olağandışı yönetim faaliyetleri için günlükleri izleme
- Yönetim sistemleri etrafında ağ segmentasyonu uygulama
- Şüpheli serileştirilmiş Java nesneleri için saldırı tespit kuralları uygulama
Sonuç
Şu anda aktif bir istismar olduğuna dair kanıt bulunmamakla birlikte, maksimum ciddiyet derecesi ve uzaktan saldırı kabiliyeti bu güvenlik açıklarını özellikle tehlikeli hale getirmektedir. Güvenlik uzmanları, Cisco güvenlik duvarı yönetim platformlarını kullanan kuruluşların, saldırganlar bu güvenlik açıklarını silah olarak kullanmaya çalışmadan önce yama uygulamasına öncelik vermesi gerektiği konusunda uyarıda bulunmaktadır.