Cisco IOS XE Yazılımındaki Güvenlik Açığı Nedir?
Vulnerabilite ile ilgili sorunlar nelerdir?
Bu güvenlik açığı nasıl kullanılabilir?
Hangi cihazlar etkilenmektedir?
Güvenlik açığına karşı ne gibi önlemler alınmalı?
Etki alanları ve çözüm yolları nelerdir?
Vulnerabilite ile ilgili sorunlar nelerdir?
Cisco, IOS XE Yazılımı için kritik bir güvenlik açığı keşfetti. Bu açık, CVE-2025-20188 olarak adlandırılmakta ve 10.0 maksimum CVSS puanına sahiptir. Açık, hard-coded JSON Web Token (JWT) kullanılarak uzaktan yetkisiz bir saldırganın cihazları ele geçirmesine olanak tanır. Out-of-Band AP Image Download özelliğine yapılan istekleri kimlik doğrulamak için kullanılan bu token, sabit kodlu olduğundan, yetkilendirilmiş bir kullanıcının kimliğine bürünmek için herhangi bir kimlik doğrulama gerektirmemektedir.
Bu güvenlik açığı, HTTPS isteklerinin AP image download interface adresine gönderilmesiyle kullanılabilir. Başarılı bir istismar, saldırganın dosya yüklemesine, yol geçişi yapmasına ve kök ayrıcalıklarıyla rastgele komutları çalıştırmasına imkan tanıyabilir. Ancak, bu açık yalnızca Out-of-Band AP Image Download özelliği etkin olduğunda kullanılabilir. Bu özellik varsayılan olarak kapalıdır, fakat bazı büyük ölçekli veya otomatik kurulumlar için süreyi kısaltmak amacıyla etkinleştirilebilir.
Bu güvenlik açığı nasıl kullanılabilir?
Saldırganlar, CVE-2025-20188 zafiyetini istismar etmek için yaratıcı HTTPS istekleri gönderirler. Bu istekler, bir bağlantı noktası (AP) firmware’inin indirileceği port üzerinde yapılmaktadır. Aşağıdaki maddeler, saldırının nasıl gerçekleştirileceğine dair genel bir bakış sunmaktadır:
- Saldırgan, hedef cihazın AP image download arayüzünü belirler.
- Hard-coded JWT kullanarak kimlik doğrulama gerekliliğini ortadan kaldırır.
- Hedef cihaza sahte istekler gönderir.
- Başarılı bir şekilde dosya yüklemesi ve kök ayrıcalıkları ile komut çalıştırması mümkün hale gelir.
Bu işlem, cihazların çalışmasına büyük zarar verebilir ve kurumların ağ güvenliğini bozabilir.
Hangi cihazlar etkilenmektedir?
Cisco‘ya ait belirli cihazlar, bu güvenlik açığının istismarından etkilenmektedir. Aşağıda bu cihazların listesi bulunmaktadır:
- Catalyst 9800-CL Wireless Controllers for Cloud
- Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, ve 9500 Serisi Switch’ler
- Catalyst 9800 Serisi Kablosuz Kontrol Cihazları
- Catalyst AP’lerde Entegre Kablosuz Kontrol Cihazları
Diğer yandan, hard-coded JWT sorunundan etkilenmediği teyit edilmiş ürünler şunlardır:
- Cisco IOS (non-XE)
- Cisco IOS XR
- Cisco Meraki ürünleri
- Cisco NX-OS
- Cisco AireOS tabanlı WLC’ler
Güvenlik açığına karşı ne gibi önlemler alınmalı?
Cisco, bu kritik güvenlik açığını gidermek amacıyla güncellemeler yayınlamıştır. Sistem yöneticileri, bu güncellemeleri mümkün olan en kısa sürede uygulamalıdır. CVE-2025-20188 ile ilgili kesin çözüm ve düzeltme versiyonları, Cisco Software Checker aracılığıyla belirli cihaz modeli için kontrol edilmelidir.
Ayrıca, bu güvenlik açığından korunmak için Out-of-Band AP Image Download özelliğinin kapatılması etkili bir savunma mekanizması olacak ve potansiyel istismar girişimlerini engelleyebilir.
Etki alanları ve çözüm yolları nelerdir?
Güvenlik açığına sahip olan cihazlar, ağ güvenliğini tehdit eden yeni riskler oluşturmaktadır. Saldırganların, bu tür açıkları istismar ederek büyük ölçekli saldırılar düzenleme olasılığı yüksektir. Cisco, aktif olarak güvenlik açığını istismar eden herhangi bir olayı henüz tespit etmemiştir; ancak, bu durum potansiyel risklerin göz ardı edilmemesi gerektiğini göstermektedir.
Yönetim, cihazların yazılım güncellemelerini düzenli olarak kontrol etmeli ve gerekli önlemleri alarak ağ güvenliğini sağlamalıdır. Ayrıca, sistemlerin etkin izlenmesi ve güvenlik duvarı kurallarının gözden geçirilmesi, tehditlerin tespit edilmesine ve ortadan kaldırılmasına yardımcı olacaktır.
Sonuç olarak, Cisco’nun ortaya koyduğu CVE-2025-20188 zafiyetinin ciddiyeti gereği, derhal gerekli aksiyonların alınması ve cihazların güncellenmesi büyük önem taşımaktadır. Saldırganların, bu tür güvenlik açıklarını istismar etmek için her an hazır olabileceğini unutmamalı ve proaktif önlemler alınmalıdır.
