Citrix ve Cisco ISE Açıkları: Sıfırıncı Gün Saldırıları
Son günlerde, siber güvenlik alanında dikkat çeken önemli olaylardan biri, Citrix’in “Citrix Bleed 2” (CVE-2025-5777) ve Cisco Identity Service Engine (ISE) üzerindeki (CVE-2025-20337) kritik güvenlik açıklarının kullanılarak gerçekleştirilen sıfırıncı gün saldırılarıdır. Bu saldırılar, ileri düzey bir tehdit aktörü tarafından, özelleştirilmiş kötü amaçlı yazılım dağıtmak için istismar edilmiştir.
Amazon’un Tespitleri
Amazon’un tehdit istihbarat ekibi, “MadPot” adlı honeypot verilerini inceleyerek bu güvenlik açıklarının kamuya duyurulmadan önce istismar edildiğini tespit etmiştir. Amazon, “Citrix Bleed Two açığının (CVE-2025-5777) kamuya açıklanmadan önceki istismar girişimlerini belirledik” şeklinde bir açıklama yapmıştır.
Güvenlik Açıklarının Etkileri
Citrix Bleed 2, NetScaler ADC ve Gateway’deki bellek okuma problemi ile ilgilidir. Citrix, bu açık için yamanın haziran ayının sonunda yayınlandığını duyurmuştur. Ancak, Cisco ISE’deki CVE-2025-20337 açığı, en yüksek şiddet puanına sahip olarak 17 Temmuz’da yayımlanmış ve kötü niyetli bir saldırganın kimlik doğrulama gerektirmeden zararlı dosyalar depolamasına, keyfi kod çalıştırmasına veya hedeflenen cihazlarda kök ayrıcalıkları elde etmesine olanak tanıdığı bildirilmiştir.
Saldırının Yöntemleri ve Kullanılan Araçlar
Saldırıda, CVE-2025-20337 açığı kullanılarak Cisco ISE uç noktalarına önceden kimlik doğrulaması yapılmamış yönetici erişimi sağlanmış ve ‘IdentityAuditAction’ adında özelleştirilmiş bir web shell dağıtılmıştır. Bu web shell, tüm HTTP isteklerini izlemek üzere bir dinleyici olarak kaydedilmiş olup, Java yansıması kullanarak Tomcat sunucu iş parçalarına enjekte edilmiştir. Ayrıca, DES şifrelemesi ile standart dışı base64 kodlaması kullanarak gizli kalmayı sağlamıştır.
İleri Düzey Tehdit Aktörleri
Kullanılan çok sayıda sıfırıncı gün açığı ve Java/Tomcat iç yapıları ile Cisco ISE mimarisi hakkındaki ileri düzey bilgi, iyi kaynaklara sahip ve gelişmiş bir tehdit aktörüne işaret etmektedir. Ancak, Amazon bu aktiviteyi bilinen bir tehdit grubuyla ilişkilendirememiştir. İncelenen hedeflemenin keyfi görünmesi, böyle bir tehdit aktörünün genellikle daha dar bir hedefleme ile hareket etmesiyle çelişmektedir.
Öneriler ve Alınacak Önlemler
Tüm kullanıcıların, CVE-2025-5777 ve CVE-2025-20337 için mevcut güvenlik güncellemelerini uygulaması ve kenar ağ cihazlarına erişimin ateş duvarları ve katmanlama kullanarak sınırlandırılması önerilmektedir. Bu tür saldırıların etkilerini azaltmak için proaktif ve güncel bir siber güvenlik stratejisi geliştirilmesi kritik önem arz etmektedir.
