Giriş
Eylül 2025’te, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir federal sivil ajansın Cisco Firepower cihazının FIRESTARTER adlı malware ile ihlal edildiğini açıkladı. Bu durum, siber güvenlik alanında önemli bir tehdit oluşturuyor, zira güvenlik açıklarının istismar edilmesiyle yetkili olmayan erişim sağlanabiliyor.
Saldırı Nasıl Çalışıyor?
CISA ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından değerlendirilen FIRESTARTER, uzaktan erişim ve kontrol için tasarlanmış bir arka kapı olarak kabul ediliyor. Bu malware, Cisco Adaptive Security Appliance (ASA) yazılımını hedef alan bir “yaygın” kampanyanın parçası olarak dağıtılmıştır ve mevcut güvenlik açıklarını (şu anda yamalanmış) istismar ederek, şunları içerir:
- CVE-2025-20333 (CVSS skoru: 9.9) – Kullanıcı tarafından sağlanan girdinin yetersiz doğrulaması sonucu, geçerli VPN kullanıcı kimlik bilgilerine sahip bir uzaktan saldırganın, hedef cihazda kök olarak rastgele kod çalıştırmasına olanak sağlayan bir açık.
- CVE-2025-20362 (CVSS skoru: 6.5) – Geçersiz kimlik bilgileriyle, oturum açma olmadan kısıtlı URL uç noktalarına erişim imkanı veren başka bir kullanıcı girdisi doğrulama açığı.
FIRESTARTER, Cisco ASA veya Firepower Threat Defense (FTD) yazılımları üzerinde aktif bir tehdit olarak kalmayı sürdürüyor ve malware, güncellemelerden etkilenmeden sistemin boot dizisine yerleşerek, güncellemelerden sonra bile tekrar aktif hale gelebiliyor.
Etkilenen Sistemler
Saldırıda, tehdit aktörlerinin, CLI komutlarını yürütme, paket yakalama, VPN kimlik doğrulamasını atlatma, syslog mesajlarını bastırma ve kullanıcı CLI komutlarını toplama işlevlerini yerine getirebilen LINE VIPER adlı bir kit kullanıldığı tespit edilmiştir. Bu kit, cihaza yerleştirilen FIRESTARTER malwareinin etkinliğini artırmak için kullanılmıştır.
Çözüm ve Korunma
Cisco, CVE-2025-20333 ve CVE-2025-20362 için yamalar sağladı; ancak, patch’den önce ihlal edilmiş cihazlar hala tehlike altında olabilir, çünkü FIRESTARTER firmware güncellemeleriyle kaldırılmamaktadır. Cisco , cihazın tam olarak temizlenmesi için yeniden imajlanmasını ve güncellenmesini şiddetle önermektedir. Yeniden imajlama gerçekleşene kadar, müşterilerin aşağıdaki adımları izlemeleri öneriliyor:
- Soğuk bir yeniden başlatma gerçekleştirin; cihaza güç kablosunu çıkarıp takarak, FIRESTARTER implantını temizlemeye çalışın.
- CLI komutları ile yapılan kapatma ve yeniden yükleme, zararlı implantı temizlemeyecektir. Kesin çözüm, güç kaynağını çıkarmaktır.
Cihazda herhangi bir onaylanmış ihlal durumunda, tüm yapılandırma bileşenlerinin güvenilir olmadığı kabul edilmelidir.
Sonuç
CISA ve NCSC’nin bu uyarısı, siber güvenlik alanında önemli bir tehditin farkına varmamızı sağlıyor. Okuyucuların, Cisco cihazları için en son güncellemeleri alarak sistemlerini korumaları, ayrıca etkilenebilecek sistemlerde belirli güvenlik önlemlerini uygulamaları kritik önem taşımaktadır.
