Cisco Identity Services Engine’deki Büyük Güvenlik Açığı: CVE-2025-20281
Güvenlik araştırmacısı Bobby Gould, Cisco Identity Services Engine (ISE) üzerinde bulunan CVE-2025-20281 adlı bir güvenlik açığının kötüye kullanılmasına yönelik kapsamlı bir istismar zinciri yayımladı. Bu zafiyet, kimlik doğrulaması yapılmamış, uzaktan kod çalıştırma imkânı sunar ve kritik bir tehlike teşkil etmektedir.
Zafiyetin Detayları ve İlk Açıklama
CVE-2025-20281, ilk olarak 25 Haziran 2025 tarihinde açıklandı. Cisco, bu açığın ISE ve ISE-PIC sürümleri 3.3 ve 3.4 üzerinde etkili olduğunu belirtmiştir. Saldırganlar, hedef sisteme rastgele dosyalar yükleyip, bu dosyaları root ayrıcalıkları ile çalıştırma imkânına sahip olabilirler. Bu durum, enableStrongSwanTunnel() metodundaki güvensiz serileştirme ve komut enjeksiyonu sorunlarından kaynaklanmaktadır.
CVE-2025-20337: İkinci Bir Zafiyet
Üç hafta sonra, Cisco, aynı güvenlik bültenine bir başka açığı ekleyerek CVE-2025-20337 olarak tanımlanan bir zafiyeti açıkladı. Bu yeni zafiyet, aslında aynı sorunun parçalarına ayrılmasıyla oluşmuştur: CVE-2025-20281 (komut enjeksiyonu) ve CVE-2025-20337 (serileştirme). Söz konusu güvenlik açıkları için daha önce geçici çözümler sunulmuş olsa da, Cisco, kullanıcılarının 3.3 Patch 7 ve 3.4 Patch 2 güncellemelerini uygulamalarını önermektedir.
Aktif Saldırılar ve Acil Güncellemeler
22 Temmuz 2025 tarihinde Cisco, hem CVE-2025-20281 hem de CVE-2025-20337 açıklarının aktif olarak kullanılmakta olduğunu duyurdu. Yetkililer, sistem yöneticilerini güvenlik güncellemelerini bir an önce uygulamaya çağırmışlardır.
Gould’un yayımladığı teknik yazıda, Cisco ISE üzerinde komut enjeksiyonu zafiyetinin nasıl tetiklendiği gösterilmektedir. Araştırmacı, serileştirilmiş Java String[] yüklemesi aracılığıyla bu açığı kullanarak root ayrıcalıkları ile komut çalıştırmayı başarmıştır.
İstismarı Gerçekleştirme: Uygulama ve Teknikler
Gould, Java’nın Runtime.exec() işlevinin davranışını kullanarak ve ${IFS} ifadesini argüman tokenizasyon sorunlarını aşmak için kullanarak, bir Docker konteyneri içinde rastgele komut çalıştırmayı başarmıştır. Bununla birlikte, Gould, yetkili Docker konteynerinden çıkmanın ve ana sistemde root erişimi elde etmenin yollarını göstermektedir. Bu işlem, cgroups ve release_agent tabanlı bilinen bir Linux konteyner kaçış tekniği ile gerçekleştirilmiştir.
Tehditlerin Artışı ve Güvenlik Önlemleri
Gould’un yayımladığı yazı, saldırganların doğrudan kullanabileceği bir istismar betiği olmasa da, yetenekli hackerların zafiyeti yeniden oluşturabilmeleri için gerekli tüm teknik detayları ve yükleme yapısını içermektedir. Aktif istismarların devam etmesi, bu açığın yayınlanmasının ardından kötü niyetli faaliyetlerin artacağı anlamına gelmektedir.
Zafiyet için herhangi bir geçici çözüm bulunmamaktadır; bu nedenle, Cisco’nun bülteninde belirtilen yamanın uygulanması önerilmektedir. Kullanıcıların güncellemeleri hızlı bir şekilde gerçekleştirmeleri, sistemlerinin güvenliğini sağlamak adına son derece önemlidir.
Sonuç ve Öneriler
Cisco ISE’deki CVE-2025-20281 güvenlik açığı, işletmelerin güvenliği açısından büyük bir tehdit oluşturmaktadır. Bütün sistem yöneticilerinin, en kısa sürede gerekli güncellemeleri uygulamaları ve sistemlerini koruyacak adımlar atmaları son derece önemlidir. Ayrıca, kullanıcılar, güvenlik yamalarını takip ederek ve düzenli güncellemeler yaparak olası saldırılara karşı savunmalarını güçlendirmelidir. Güvenlikte proaktif olmak, zafiyetlerin kötüye kullanılmasını önlemek adına atılacak en etkili adımdır.
