Cisco ISE ve Citrix NetScaler’da Tespit Edilen Zero-Day Açıkları
Amazon’un tehdit istihbarat ekibi, Son günlerde Cisco Identity Service Engine (ISE) ve Citrix NetScaler ADC ürünlerinde iki aktif güvenlik açığının (zero-day) istismar edildiğini bildirdi. Bu saldırılar, özel kötü amaçlı yazılımlarını dağıtmak amacıyla gerçekleştiriliyordu. CJ Moses, Amazon Entegre Güvenlik CISO’su, bu durumu “tehdit aktörlerinin ağ güvenliğini sağlamak için kritik öneme sahip kimlik ve erişim kontrol altyapılarına odaklandıklarını” vurgulayarak açıkladı.
İlgili Güvenlik Açıkları
Amazon’un “MadPot” honeypot ağı üzerinden tespit edilen saldırılar, iki önemli güvenlik açığını hedef aldı:
- CVE-2025-5777 (Citrix Bleed 2): Citrix NetScaler ADC ve Gateway’deki yetersiz giriş doğrulama açığıdır. Bu açık, saldırganların kimlik doğrulamasını atlayarak sisteme erişim sağlayabilmesine olanak tanır. Citrix bu açığı Haziran 2025’te kapatmıştır.
- CVE-2025-20337: Cisco Identity Services Engine (ISE) ve Cisco ISE Passive Identity Connector (ISE-PIC) içindeki kimlik doğrulaması gerektirmeyen uzak kod çalıştırma açığıdır. Bu, uzaktan bir saldırganın sistemi kök (root) yetkisiyle kontrol etmesine olanak tanır. Cisco, bu açığı Temmuz 2025’te düzeltmiştir.
Kullanılan Kötü Amaçlı Yazılım
Amazon, saldırılarda kullanılan kötü amaçlı yazılımın, özel olarak tasarlanmış bir arka kapı (backdoor) olduğunu belirtmiştir. Bu yazılım, Cisco ISE sistemlerini hedef alan bir web shell olarak adlandırılan bir bileşeni kullanarak, sistem kaynaklarına gizlice erişim sağlamaktadır. “IdentityAuditAction” adıyla sahte bir Cisco bileşeni olarak gizlenmiştir.
Web Shell Özellikleri
Web shell, bellekte tamamiyle çalışmakta ve kendini mevcut iş parçacıklarına enjekte etmektedir. Tomcat sunucusundaki tüm HTTP taleplerini izlemek için dinleyici olarak kaydedilmiştir. Bunun yanı sıra, DES şifreleme kullanarak standart dışı Base64 kodlaması ile tespit edilmekten kaçınmaktadır.
Tehdit Aktörlerinin İhtiyaçları
Amazon, bu kampanyaların çok uluslu ve iyi finanse edilen bir grup tarafından gerçekleştirildiğini belirtiyor. Bu grup, çok sayıda zero-day açığını kullanma yeteneğine sahip olmasıyla dikkat çekmektedir. Gelişmiş güvenlik açıkları araştırma yetenekleri veya halka kapalı güvenlik açığı bilgilerine erişiminin olduğu görülmektedir.
Kuruluşların Alması Gereken Önlemler
Saldırılar, ağ uç noktaları üzerinden yürütüldüğü için, kuruluşların erişimlerini sınırlamaları büyük önem taşımaktadır. Güvenli yönetim portallarını korumak adına güvenlik duvarları ve katmanlı erişim gibi önlemler alınmalıdır. Moses, “Bu açıkların ön kimlik doğrulama doğası, iyi yapılandırılmış ve dikkatle korunmuş sistemlerin bile etkilenebileceğini gösteriyor” diyerek, derinlemesine savunma stratejilerinin önemine dikkat çekti.
Sonuç olarak, gelişmiş tehditlerin artan miktarı, ağ güvenliği ve yönetimi konusunda daha fazla dikkat sarf edilmesini zorunlu kılmaktadır. Kuruluşların, sistemlerini korumak için geniş kapsamlı önlemler alması her zamankinden daha önemlidir.
