Cisco’daki Güvenlik Açığı: CVE-2025-20337’nin Ayrıntıları
Son zamanlarda Cisco, Identity Services Engine (ISE) ve Cisco ISE Passive Identity Connector (ISE-PIC)‘de tespit edilen yeni bir güvenlik açığını duyurdu. Bu açık, bir saldırganın aşırı önceliklere sahip bir işletim sisteminde rastgele kod çalıştırmasına izin verebilir. Bu durum, güvenlik açısından son derece kritik bir tehdit oluşturmakta ve şirketler için ciddi sonuçlar doğurabilir.
Yeni güvenlik açığı, CVE-2025-20337 olarak adlandırılmış ve CVSS puanı 10.0 olarak değerlendirilmiştir. Bu, Cisco’nun daha önce kapattığı CVE-2025-20281 ile benzer bir yapıya sahiptir. Cisco’nun güncellenmiş bir danışmanlık raporunda belirttiği üzere, “Belirli bir API’deki çoklu güvenlik açıkları, kimlik doğrulaması yapılmamış uzaktaki bir saldırgana, işletim sisteminde root erişimi ile rastgele kod yürütme izni verebilir.”
Açığın İşleyişi ve Tehdit Potansiyeli
Bu güvenlik açığının nedenleri arasında, kullanıcı tarafından sağlanan girdinin yetersiz doğrulaması yer almaktadır. Bir saldırgan, bu açıkları istismar etmek için özel bir API isteği göndererek cihazın kontrolünü ele geçirebilir. Başarılı bir istismar, saldırgana etkilenen cihazda root ayrıcalıkları kazandırır.
Güvenlik uzmanı Kentaro Kawane, bu açığı keşfeden ve raporlayan kişi olarak öne çıkmaktadır. Daha önce de Cisco ISE ile ilgili başka kritik güvenlik açıklarını (CVE-2025-20286 ve CVE-2025-20282) bulmuştu. Bu durum, Kawane’nin siber güvenlik alanındaki yetkinliğini bir kez daha göstermektedir.
CVE-2025-20337 etkileyen sürümler, ISE ve ISE-PIC‘in 3.3 ve 3.4 versiyonlarıdır. Ürün yapılandırması ne olursa olsun bu sürümlerden etkilenmektedir. Ancak 3.2 ve daha eski sürümler bu durumdan etkilenmemektedir. Cisco, bu açığın gidermeleri için gerekli yamanın aşağıdaki sürümlere entegre edildiğini belirtmiştir:
- Cisco ISE ya da ISE-PIC Sürüm 3.3 (3.3 Patch 7 ile düzeltildi)
- Cisco ISE ya da ISE-PIC Sürüm 3.4 (3.4 Patch 2 ile düzeltildi)
Açığın Kullanım Durumu ve Zafiyetin Önerilen Yönetimi
Şu ana kadar, bu güvenlik açığının kötü niyetli bir şekilde istismar edildiğine dair herhangi bir kanıt bulunmamaktadır. Bununla birlikte, sistemlerin güncel tutulması her zaman en iyi uygulamalardan biri olarak önerilmektedir. Böylece potansiyel tehditler önlenebilir.
Ayrıca, Shadowserver Foundation tarafından rapor edilen başka bir tehdit, CVE-2025-25257 ile ilişkili olarak yayınlanan açıkların, saldırganlar tarafından Fortinet FortiWeb örneklerinde web shell’leri yerleştirmek için istismar edildiğini göstermektedir. 15 Temmuz 2025 itibarıyla, yaklaşık 77 enfekte örneğin olduğu tahmin ediliyor ve bu sayı bir gün önce 85’ti. Elde edilen veriler, çoğu saldırının Kuzey Amerika (44), Asya (14) ve Avrupa (13) bölgesinde yoğunlaştığını gösteriyor.
Siber güvenlik platformu Censys, online durumda olan toplam 20,098 Fortinet FortiWeb cihazının bulunduğunu belirtmektedir. Ancak, bu cihazların kaçarının CVE-2025-25257‘den etkilendiği henüz bilinmemektedir. Bu durum, ağlar üzerinde ek bir güvenlik riski oluşturmakta ve sistem yöneticilerini daha dikkatli olmaya yönlendirmektedir.
Önlemler ve Tavsiyeler
Cisco, kullanıcılarına bu tür açıklarla karşılaşmamak için sistemlerini sürekli güncel tutmalarını önermektedir. Yamanın uygulanmasının yanı sıra, uygun güvenlik duvarı ve güvenlik politikaları uygulamak da bu tür tehditlerin etkisini azaltmak adına önemlidir.
Firma güvenlik sistemleri ile ilgili yapılacak denetimler, siber güvenlik stratejisinin bir parçası olmalıdır. Güvenlik açıklarını kapatan güncellemeleri zamanında uygulamak, her firmanın siber güvenlik açısından alması gereken temel önlemlerdir.
Bu şekilde, kurumlar, potansiyel siber saldırılara karşı daha dayanıklı hale gelebilirler. Cybersecurity alanında alınacak önlemler ve yapılacak güncellemeler, şirketlerin itibarını korumak ve veri kaybını önlemek için hayati öneme sahiptir.
