Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Ekim 2023’ten Bu Yana Yaması Uygulanmayan Cihazlar Savunmasız
Prajeet Nair (@prajeetspeaks) •
3 Kasım 2025
Avustralya siber savunma kurumu, bilgisayar korsanlarının yama yapılmamış Cisco IOS XE kurumsal cihazlarına saldırarak ağ üreticisinin “BadCandy” adını verdiği bir web kabuğunu geride bıraktığı konusunda uyardı.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Avustralya Siber Güvenlik Merkezi Cuma günü yaptığı açıklamada, Ekim sonu itibarıyla Avustralya’daki en az 150 Cisco cihazının implantı taşıdığını söyledi. Web kabuğu, cihazın yeniden başlatılmasından sağ çıkamaz ancak bilgisayar korsanları, cihaza tam yönetici erişimine sahip yeni yerel kullanıcı hesapları oluşturmak için CVE-2023-20198 ve CVE-2023-20273 olarak takip edilen, artık yama uygulanmış sıfır günleri kullanabilir.
Cisco, Ekim 2023’te, yararlanmak için kimlik doğrulama gerektirmeyen kusurları belirledi (bkz.: Cisco, Yamasız Sıfır Gün’ün Vahşi Doğada İstismara Uğradığı Uyardı).
Yaygın olarak Salt Typhoon olarak takip edilen Çinli ulus-devlet bilgisayar korsanları, bu kusurları büyük ölçekli ağlara sızmak için kullandı. Five Eyes istihbarat ittifakının üyeleri tarafından yayınlanan bir siber güvenlik tavsiye belgesi, CVE-2023-20198’i 2023’te en çok yararlanılan güvenlik açıkları listesine dahil etti. Ulus devlet bilgisayar korsanları, hükümet ve kurumsal ağlarda uzun vadeli bir varlık oluşturmak amacıyla özellikle ağ oluşturmayı ve uç cihazları hedef aldı (bkz: Eyalet Bilgisayar Korsanlarının Yeni Sınırı: Ağ Uç Cihazları).
Avustralya Siber Güvenlik Merkezi, BadCandy bilgisayar korsanlarının ayırt edici özelliklerinden birinin, uzlaşma sonrasında “kalıcı olmayan bir yama” uygulaması olduğunu ve bu etkinliğin “cihazın güvenlik açığı durumunu maskelemeyi” amaçladığını söyledi.
Tavsiyesi, kuruluşların yamayı uygulamaları ve Cisco web arayüzünün gereksiz yere internete maruz kalmamasını sağlamalarıdır. Rastgele dizelere veya adlara sahip hesaplar cisco_tac_admin, cisco_support, cisco_sys_managerveya cisco muhtemelen bilgisayar korsanları onları yaptığı için oradadırlar. Merkez ayrıca sistem yöneticilerinin bilinmeyen tünel arayüzlerini ve günlükleri kontrol etmesi gerektiğini de tavsiye etti.