Cisco Güvenlik Açıkları ve Sıfırıncı Gün Saldırıları
Son günlerde siber güvenlik dünyasında önemli gelişmeler yaşanıyor. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Cisco güvenlik duvarlarına yönelik sıfırıncı gün saldırılarının gerçekleştirildiğini açıkladı. Bu saldırılar, RayInitiator ve LINE VIPER gibi daha önce belgelenmemiş zararlı yazılımlar kullanarak gerçekleştirildi. NCSC, bu zararlı yazılımların, önceki kampanyalarda kullanılanlara göre daha sofistike ve tespit kaçırma yeteneğine sahip olduğunu belirtti.
Saldırıların Kapsamı ve Hedefleri
Cisco’nun yaptığı açıklamaya göre, bu saldırılar, Mayıs 2025’te hükümet kurumlarına yönelik bir dizi siber saldırı ile başlamış. Bu kampanya, Cisco’nun Adaptive Security Appliance (ASA) 5500-X Serisi cihazlarını hedef alarak özel zararlı yazılım yerleşimi, komut yürütme ve verilerin sızdırılması işlemleri gerçekleştirmiştir.
Kampanyanın detaylı analizi, Cisco Secure Firewall ASA yazılımı üzerinde yapılan yonga analizi sonucu, bir bellek bozulma hatasının bulunduğunu göstermektedir. Ayrıca, saldırganların birden fazla sıfırıncı gün açığını kullandığı, kayıtlara erişimi devre dışı bıraktığı ve CLI komutlarını kesintiye uğratmayı denediği kaydedilmiştir.
Açıkların Etkisi ve Zayıf Noktalar
Saldırılarda kullanılan CVE-2025-20362 (CVSS puanı: 6.5) ve CVE-2025-20333 (CVSS puanı: 9.9) gibi zayıf noktaların, kimlik doğrulamayı atlatma ve hedef cihazlarda zararlı kod çalıştırma amacıyla kullanıldığı bildirilmektedir. Bu aktiviteler, ArcaneDoor adı verilen bir tehdit kümesiyle ilişkilendirilmiş ve bu grubun Çin ile bağlantılı olduğu düşünülmektedir.
Ayrıca, saldırganların bazı durumlarda ROMMON (Read-Only Memory Monitor) bileşenini değiştirdiği, bu sayede yeniden başlatmalar ve yazılım güncellemeleri sırasında kalıcılığı sağladığı tespit edilmiştir. Ancak, bu tür değişiklikler sadece Secure Boot ve Trust Anchor teknolojileri olmayan Cisco ASA 5500-X Serisi platformlarda gözlemlenmiştir.
Destek Durumu ve Yaygın Cihaz Modelleri
Cisco, bu kampanyanın, Cisco ASA yazılımı sürümleri 9.12 veya 9.14 ile çalışan ve Secure Boot ve Trust Anchor teknolojilerini desteklemeyen ASA 5500-X Serisi modellerini etkilediğini belirtmiştir. Bu bağlantılı cihazların birçoğu, destek süresinin sona ermesiyle karşı karşıya kalmaktadır. Örnek olarak:
- 5512-X ve 5515-X – Destek Sonu Tarihi: 31 Ağustos 2022
- 5585-X – Destek Sonu Tarihi: 31 Mayıs 2023
- 5525-X, 5545-X ve 5555-X – Destek Sonu Tarihi: 30 Eylül 2025
Yeni Kritik Açıklar ve Çözüm Önerileri
Cisco ayrıca, web servislerinde kritik bir açığın (CVE-2025-20363, CVSS puanı: 8.5/9.0) varlığını da duyurdu. Bu açık, uzaktan bir saldırganın hedef cihazda rastgele kod yürütmesine olanak tanıyabilmektedir. Saldırganın, hedef web servisine özel HTTP talepleri göndererek bu açığı kullanabileceği ve başarılı bir exploit sonrasında cihazın tamamen ele geçirilebileceği belirtiliyor.
Kanada Siber Güvenlik Merkezi, bu tehditleri ortadan kaldırmak için kuruluşların Cisco ASA ve FTD ürünlerinin güncellenmesi gerektiğini vurgulamaktadır.
RayInitiator ve LINE VIPER Zararlı Yazılımları
NCSC, bu saldırılarda RayInitiator adında çok aşamalı bir bootkit kullanıldığını belirtmiştir. Bu bootkit, kurban cihazlara yüklenmekte ve yeniden başlatmalarda ve yazılım güncellemelerinde kalıcılığını sürdürmektedir. RayInitiator, LINE VIPER isimli bir kullanıcı modlu shell kod yükleyicisini çalıştırarak CLI komutları yürütme, VPN kimlik doğrulamayı atlatma gibi işlemleri gerçekleştirebilmektedir.
LINE VIPER’in, Cisco ASA cihazının “lina” adlı meşru bir ikili dosyasında bir işleyici yükleyerek çalıştığı ve bu sayede değişikliklerin tespit edilmesini zorlaştırdığı kaydedilmektedir. Bu durum, ArcaneDoor kampanyasına kıyasla daha sofistike bir tehdit ortamı yaratmaktadır.
Bu tür güvenlik açıkları ve zararlı yazılımlar, organizasyonların siber güvenlik stratejilerini yeniden gözden geçirmelerini gerektirmektedir. Cisco ve diğer organizasyonlar, kullanıcılarına daha sağlam güvenlik önlemleri almalarını tavsiye etmektedir.
