CISA’nın Acil Direktifi ve Cisco Güvenlik Açıkları
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), 25 Eylül tarihinde acil bir direktif yayınlayarak ABD federal kurumlarının Cisco güvenlik duvarı cihazlarını, sıfır gün saldırılarında istismar edilen iki açıklığa karşı güvence altına almalarını istedi. Acil Direktif 25-03 olarak adlandırılan bu talimat, Federal Sivil İcra Dairesi (FCEB) ajanslarına yönlendirildi ve CVE-2025-20333 ile CVE-2025-20362 açıklarının Adaptive Security Appliance (ASA) ve Firewall Threat Defense (FTD) yazılımlarında giderilmesini zorunlu kıldı.
CISA’nın uyarısına göre, bu kampanya geniş kapsamlıydı ve sıfır gün güvenlik açıklarından faydalanarak yetkisiz uzaktan kod yürütme imkanı sağlıyordu. Ayrıca, salt okunur bellek (ROM) manipülasyonu, sistemin yeniden başlatılması ve güncellenmesi sırasında kalıcılık sağlıyordu. Bu tür faaliyetler, hedef ağlara ciddi riskler doğuruyordu.
CISA, kurumların tüm Cisco ASA ve Firepower cihazlarını tespit etmelerini, delil toplama ve kompromize durumu değerlendirmelerini sağlamak amacıyla gerekli prosedürleri ve araçları sundu. Kurumların, sonlandırılan destek hizmetlerine sahip cihazları ağdan ayırmaları ve hizmette kalacak olan cihazları güncellemeleri gerektiği vurgulandı.
Tüm FCEB ajansları, 26 Eylül saat 12:00 EDT’ye kadar Cisco ASA ve Firepower cihazlarının tanımını yapmalı, compromised cihazları ağdan ayırmalı ve herhangi bir kötü niyet belirtisi göstermeyen cihazları yamalamalıdır. Ayrıca, CISA, 30 Eylül itibarıyla destekten çıkan ASA cihazlarının kalıcı olarak ağdan ayırılması talimatını da verdi.
2024 ArcaneDoor Kampanyası ile İlişkili Saldırılar
Cisco, daha önce belirttiği iki güvenlik açığını gidermek üzere güvenlik güncellemeleri yayınladı. CVE-2025-20333, yetkili saldırganların uzaktan kod yürütmesine olanak tanırken, CVE-2025-20362, uzaktaki kötü niyetli aktörlerin kimlik doğrulama olmaksızın kısıtlı URL uç noktalarına erişmesine olanak sağlıyordu.
Bu iki açığın birleştirilmesi, yetkisiz saldırganların yamalanmamış cihazlar üzerinde tamamen kontrol sağlamasına olanak tanıyordu. Cisco, saldırganların birçok sıfır gün güvenlik açığını istismar ettiğini ve hata ayıklamayı engellemek amacıyla gelişmiş kaçınma teknikleri kullandığını bildirdi. Saldırılar, VPN web hizmetlerini etkinleştirmiş olan 5500-X Serisi cihazları hedef aldı.
Cisco, bazı durumlarda, tehdit aktörlerinin ROMMON’u değiştirerek başlangıçlar ve yazılım güncellemeleri sırasında kalıcılığa izin verdiklerini gözlemledi. CISA ve Cisco, bu devam eden saldırıları ArcaneDoor kampanyasıyla ilişkilendirerek, bu kampanyanın, Kasım 2023‘ten beri dünya genelinde hükümet ağlarını ihlal etmek amacıyla iki başka ASA ve FTD sıfır-gün açığını (CVE-2024-20353 ve CVE-2024-20359) kullandığını belirtti.
Cisco, ArcaneDoor saldırılarından haberdar olduktan sonra, temelinde UAT4356 olarak tanımlanan tehdit grubunun (Microsoft tarafından STORM-1849 olarak takip ediliyor) en az Temmuz 2023’ten beri bu iki sıfır gün açığı için sömürü geliştirdiğini keşfetti.
Saldırılarda, hacker’lar, henüz bilinmeyen Line Dancer adlı bellek içi yükleyici ve Line Runner arka kapı zararlısını kullanarak, ele geçirilmiş Cisco cihazları üzerinde kalıcılığını sağladılar. Bu durum, kamu ve özel sektörün güvenlik ağlarını tehlikeye atarken, özellikle devlet kurumlarını etkileyen bir tehdit haline gelmiştir.
Kurumların Alması Gereken Önlemler
CISA’nın talimatları doğrultusunda, özellikle güvenlik açıklarının hızla giderilmesi gereklidir. Ajanslar, öncelikle tüm Cisco cihazlarını tespit etmeli ve risk analizlerini gerçekleştirmelidir. Ağ üst düzey güvenliği sağlamak amacıyla, buldukları her türlü açık ve tehdit için hızlıca güncellemeler uygulamalı ve yamanmamış cihazları ağdan ayırmalıdır.
Elde edilen verilerle forensik analiz yaparak, saldırı izlerini ortaya çıkartmak da hayati önem taşımaktadır. Bu tür bir yaklaşım, yalnızca anlık bir tehditten korunmak için değil, aynı zamanda gelecekte oluşacak olası saldırılara karşı da hazırlıklı olabilmek adına büyük bir gereklilik arz etmektedir.
Ayrıca, güvenlik farkındalığı eğitimi vermek, çalışanları bu tür saldırılar hakkında bilgilendirmek ve güçlü şifre politikaları uygulamak önemlidir. Çalışanlar, şifre güvenliği konusunda daha dikkatli olmalı ve düzenli aralıklarla şifrelerini değiştirmeleri hakkında bilgilendirilmelidir. Tüm bunlar, kurumların siber güvenlik açısından daha sağlam bir duruş sergilemesini sağlayacaktır.
