Cisco’dan Kritik Güvenlik Uyarısı: Zero-Day Açıkları
Son günlerde, Cisco tarafından yapılan bir açıklamada, VPN web sunucusu ile ilgili iki önemli güvenlik açığının tespit edildiği belirtilmiştir. Bu açıkların, Cisco Secure Firewall Adaptive Security Appliance (ASA) yazılımı ve Cisco Secure Firewall Threat Defense (FTD) yazılımını etkilediği ve aktif olarak kullanıldığı ifade edilmiştir. Bu noktada, dikkat edilmesi gereken iki önemli zero-day açığı aşağıda listelenmiştir.
Açıkların Detayları
CVE-2025-20333 (CVSS Skoru: 9.9): Bu açık, HTTP(S) isteklerinde kullanıcıdan sağlanan girdilerin uygun şekilde doğrulanmamasıyla ilgilidir. Bu, yetkili bir uzaktan saldırganın, geçerli VPN kullanıcı kimlik bilgilerine sahip olması durumunda, özel olarak hazırlanmış HTTP istekleri göndererek hedef cihazda kök olarak rastgele kod çalıştırmasına olanak tanır. Bu durum, sistemin güvenliğini ciddi şekilde tehdit etmektedir.
CVE-2025-20362 (CVSS Skoru: 6.5): Bu açık ise, aynı şekilde kullanıcı girdilerinin yetersiz doğrulamasıyla ilgilidir. Ancak, bu durumda saldırganın kimlik doğrulaması gerektirmeden, sınırlı URL uç noktalarına erişim sağlayabilmesi söz konusudur. Burada da, saldırganın hedef cihazın güvenliğini ihlal etme ihtimali oldukça yüksektir.
Cisco, söz konusu iki güvenlik açığının “saldırı girişimleri” ile karşılaştığını belirtmesine rağmen, bu saldırıların kimler tarafından yapıldığı veya ne kadar geniş bir alana yayıldığı konusunda bilgi vermemiştir. Ancak, açılan saldırıların, kimlik doğrulamasını atlamak ve hedef cihazlarda kötü niyetli kod çalıştırmak için bir araya getirildiği düşünülmektedir.
Yardımlar ve İş Birlikleri
Cisco, bu durumun araştırılmasına katkı sağlayan çeşitli kuruluşlara da teşekkür etmiştir. Bu kuruluşlar arasında Avustralya İşaretler Yönetimi, Avustralya Siber Güvenlik Merkezi (ACSC), Kanada Siber Güvenlik Merkezi, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) yer almaktadır. Bu iş birlikleri, yaşanan açıkların daha hızlı bir şekilde tespit edilmesi ve giderilmesine olanak tanımaktadır.
CISA’nın Acil Yönergesi
CISA, bu olayla ilgili olarak bir acil yönerge yayımlayarak federal ajansları, potansiyel tehditleri tespit etmeye, analiz etmeye ve hemen etkisiz hale getirmeye çağırmıştır. Bu iki güvenlik açığı, Bilinen İstismar Edilen Açıklar (KEV) kataloğuna da eklenmiştir. Bu sayede, ajansların gerekli önlemleri almak için sadece 24 saatleri vardır.
CISA, “Gelişmiş bir tehdit aktörünün Cisco Adaptive Security Appliances (ASA) cihazlarını hedef alan bir istismar kampanyasından haberdarız.” ifadesiyle bu tehditin ciddiyetini vurgulamıştır. Kampanyanın geniş çaplı olduğu ve zero-day açıklardan faydalanarak doğrulama olmaksızın uzaktan kod çalıştırma amacı güttüğü belirtilmiştir. Ayrıca, bu durumun potansiyel mağdurların ağları için büyük bir risk oluşturduğu da ilan edilmiştir.
CISA, bu faaliyetlerin, ArcaneDoor adı verilen bir tehdit kümesiyle bağlantılı olduğunu ve bu kümenin, farklı satıcılara ait çevre ağ cihazlarını hedef alarak Line Runner ve Line Dancer gibi kötü amaçlı yazılım ailelerini dağıttığını açıklamıştır. Bu tehditin, UAT4356 (diğer adıyla Storm-1849) olarak adlandırılan bir tehdit aktörü tarafından gerçekleştirildiği belirtilmiştir. CISA, bu aktörün en az 2024 yılından beri ASA ROM’unu başarıyla değiştirebilme kapasitesine sahip olduğunu da eklemiştir.
Ayrıca, Cisco ASA platformundaki bu zero-day açıklarının, bazı Cisco Firepower versiyonlarında da bulunduğu anlaşılmıştır. Firepower cihazlarının Güvenli Başlatma (Secure Boot) özelliği, ROM’da yapılan manipülasyonları tespit edebilecektir. Bu durum, cihazların daha güvenli bir şekilde çalışmasını sağlar.
Sonuç olarak, Cisco’nun karşılaştığı bu iki güvenlik açığı, hem şirket hem de kullanıcılar açısından son derece ciddidir. Alınması gereken önlemler ve güncellemeler hakkında kullanıcıları bilgilendirmek, bu tür tehditlerle başa çıkmanın en önemli yoludur.
