Cisco’dan Önemli Güvenlik Güncellemesi
Cisco, Unified Communications Manager (Unified CM) üzerindeki kritik bir güvenlik açığını kapatmayı başardı. Şirket, uzaktan saldırganların yamanmamış cihazlara giriş yapabilmesini sağlamak için tasarlanmış arka kapı hesabını kaldırdı. Bu hesap, root ayrıcalıkları ile sisteme giriş yapılmasına imkân tanıyordu.
Cisco Unified Communications Manager Nedir?
Cisco Unified Communications Manager (CUCM), daha önce Cisco CallManager olarak biliniyordu ve Cisco’nun IP telekomünikasyon sistemleri için merkezî kontrol sistemini temsil etmektedir. CUCM, çağrı yönlendirme, cihaz yönetimi ve telekomünikasyon özelliklerini yönetmektedir. Bu nedenle, özellikle büyük ölçekli işletmeler için kritik bir öneme sahiptir.
Kritik Açık Hakkında Bilgiler
Bu güvenlik açığı (CVE-2025-20309) maksimum şiddet derecesine sahip olarak değerlendirilmektedir. Sorunun kökeni, geliştirme ve test sürecinde kullanılmak üzere tasarlanmış statik kullanıcı kimlik bilgileridir. Cisco’nun Çarşamba günü yayımladığı güvenlik duyurusuna göre, CVE-2025-20309 sorunu, Cisco Unified CM ve Unified CM SME Engineering Special (ES) sürümleri 15.0.1.13010-1 ile 15.0.1.13017-1 arasında yer alan tüm cihazları etkilemektedir.
Not: Bu güvenlik açığı ile ilgili herhangi bir geçici çözüm bulunmamaktadır. Bu nedenle, yöneticilerin yamanmamış cihazları Cisco Unified CM ve Unified CM SME 15SU3 (Temmuz 2025) sürümüne yükseltmesi veya burada mevcut olan CSCwp27755 yamanı uygulaması gerekmektedir.
Saldırganların Elde Edebileceği Erişim
Bir Cisco açıklamasına göre, Cisco Unified Communications Manager ve Unified CM SME üzerindeki bir güvenlik açığı, kimlik doğrulaması yapılmamış bir uzaktan saldırganın, varsayılan ve değiştirilemeyen kimlik bilgileri ile etkilenen bir cihaza giriş yapmasını sağlayabilir. Saldırganlar, başarılı bir şekilde giriş yaptıktan sonra, sistemde root ayrıcalıklarıyla rastgele komutlar çalıştırabilirler.
Cisco Product Security Incident Response Team (PSIRT), henüz çevrimiçi olarak mevcut bir kanıt kodu veya saldırılarda kullanılabilecek bir istismar durumunun farkında olmadığını belirtmiştir. Ancak, etkilenen cihazların tespit edilmesine yardımcı olacak tehdit göstergeleri de yayınlanmıştır.
Güvenlik Kaydı ve İzleme
Cisco, CVE-2025-20309 güvenlik açığının istismarı sonucunda, root kullanıcısı için /var/log/active/syslog/secure konumunda bir günlük kaydı oluşturulacağını açıklamıştır. Varsayılan olarak bu olayın kaydı etkin olduğundan, yöneticiler günlükleri incelemek için aşağıdaki komutu komut satırından çalıştırabilir:
bash
file get activelog syslog/secure
Bu günlük kaydı, herhangi bir istismar girişimini tespit etmeye yardımcı olabilir.
Önceki Güvenlik İhlalleri
Cisco, son yıllarda ürünlerinden kaldırmak zorunda kaldığı arka kapı hesapları ile tanınmaktadır. Önceki zamanlarda, hardcoded kimlik bilgileri Cisco’nun IOS XE, Wide Area Application Services (WAAS), Digital Network Architecture (DNA) Center ve Emergency Responder yazılımlarında bulunmuştur.
Daha yakın bir zamanda, bu yılın Nisan ayında Cisco, yöneticilerin Cisco Smart Licensing Utility (CSLU) üzerindeki kritik bir güvenlik açığını yamalarını istemiştir. Bu güvenlik açığı, saldırılarda kullanılan bir yerleşik arka kapı yönetici hesabını açığa çıkarmaktadır. Bir ay sonra, şirket, kimlik doğrulaması gerektirmeyen uzaktan saldırganların IOS XE cihazlarını ele geçirmesini sağlayan bir hardcoded JSON Web Token (JWT)‘yi kaldırdı.
Sonuç Olarak, Güvenliği Sağlamak İçin Ne Yapmalı?
Tüm bu gelişmeler, siber güvenlik alanında sürekli bir tehdit olduğunu göstermektedir. Şirketlerin, kullandıkları yazılımları düzenli olarak güncellemeleri ve güncellemeler hakkında bilgi sahibi olmaları son derece önemlidir. Yöneticilerin, Cisco’nun yayımladığı güvenlik belgelerini takip etmeleri ve cihazların güncellenmesi gerektiğinde hızlıca harekete geçmeleri gerekmektedir. Bu tür sürekli gelişen tehditlere hazırlıklı olmak, yalnızca bir güvenlik sorunu değil, aynı zamanda iş sürekliliği için de kritik öneme sahiptir.
