Hoş geldiniz Araştırmacı masası – Detectify güvenlik araştırma ekibinin özellikle ilginç, karmaşık veya kalıcı güvenlik açıkları üzerinde teknik bir otopsi yapacağı bir içerik serisi. Buradaki amaç en son araştırmaları raporlamak değildir (bunun için Detectify sürüm günlüğüne bakın); açıklanma tarihlerine bakılmaksızın hala kritik dersler sunan belirli güvenlik açıklarına daha yakından bakmaktır.
İlk vaka dosyamız için, kimlik doğrulamasız erişim kusurundan başlayarak Cisco ASA ve FTD güvenlik duvarlarını hedef alan istismar zincirini inceliyoruz. CVE-2025-20362.
Dava dosyası
- Açıklama Tarihi: 25 Eylül 2025
- Baypas Kusuru: CVSS 6.5 ile CVE-2025-20362
- Yürütme Kusuru: CVSS 9.9 ile CVE-2025-20333
- Savunmasız Bileşen: Cisco ASA/FTD’de VPN Web Sunucusu
- Nihai Etki: Kimliği Doğrulanmamış Uzaktan Kod Yürütme (RCE)
- Gözlemler: Yamalar kullanıma sunulmadan sıfır gün önce kusurlardan aktif olarak yararlanıldı
CVE-2025-20362’nin temel nedeni nedir?
Erişim hatası, CVE-2025-20362 (Eksik Yetkilendirme, CWE-862), esasen kullanıcı girişi doğrulamasındaki bir başarısızlıktır ve tipik olarak şu şekilde ortaya çıkar: Yol Geçişi/Normalleştirme sorunu.
Bir saldırgan, belirli dizin geçiş sıralarını içeren dikkatle hazırlanmış bir HTTP isteği gönderdiğinde, VPN web sunucusunun mantığı, isteği doğrulanmamış olarak doğru bir şekilde tanımlayamaz. Bunun yerine, sunucunun yetkilendirme bileşeni atlanır ve istek zaten bir oturum varmış gibi ele alınır. Bu, uzaktaki saldırganın kritik, kısıtlı URL uç noktalarına (genel etkileşim için tasarlanmamış uç noktalar) erişmesine izin verir.
CVE-2025-20362’nin arkasındaki mekanizma nedir?
Bu vakanın temel dersi şu: zincirlenebilirlik. CVE-2025-20362 tek başına orta düzeyde bir puan taşısa da, gerçek ciddiyeti, ikinci güvenlik açığını koruyan tek savunmayı geçersiz kılmak için kullanıldığında ortaya çıkar. CVE-2025-20333 (Bir Arabellek Taşması).
- Mandal Açıldı. Saldırgan, giriş yapma ihtiyacını atlayarak CVE-2025-20362 giriş doğrulama hatasından yararlanmak için hazırlanmış bir istek kullanır.
- Yürütme Gerçekleştirildi. Saldırgan daha sonra Arabellek Taşması CVE-2025-20333’ü tetiklemek için tasarlanan yük ile artık açığa çıkan kritik uç noktayı hedefler. (CVE-2025-20333 tek başına geçerli VPN kimlik bilgilerini gerektirir)
- Sonuç: Zincir başarıyor Kimliği Doğrulanmamış Uzaktan Kod Yürütme Güvenlik duvarında ayrıcalıklara sahip: ağ çevresinin tamamen ele geçirilmesi.
Ekibimiz bu kusuru seçti çünkü bu, modern, yüksek riskli bir saldırının mükemmel bir örneği. Zincirin tamamı, karmaşık, devlet destekli kampanyalar tarafından destekleniyor; bu da saldırganların, kritik bir güvenlik açığını ortadan kaldırmak için genellikle orta şiddette bir bypassla başlayarak en kolay giriş yoluna öncelik verdiklerini gösteriyor. Savunmacıların tespit etmesi ve düzeltmesi gerektiğini kanıtlıyor Her yalnızca yüksek puanlı güvenlik açıklarını değil, potansiyel bir zincirin bağlantısını da sağlar.
Savunma çıkarımları
- Yama: En yeni, sabit Cisco sürümlerine hemen yükseltin.
- Segmentlere ayır ve izole et: Mümkünse, yönetim ve VPN web sunucusu erişimini yukarı akış ACL’leri aracılığıyla yalnızca güvenilir IP’lerle kısıtlayın.
- Tespit Yaklaşımı: Detectify müşterileri, CVE-2025-20362’nin kesin girdi normalleştirme hatasını kontrol etmek için yük tabanlı testler yürütüyor.
Sorunuz mu var? support@detectify aracılığıyla sizden haber almaktan veya Detectify hakkında daha fazla bilgi edinmek için bir demo rezervasyonu yaptırmaktan mutluluk duyarız.