Tehdit aktörleri, Linux rootkit’lerini savunmasız Cisco ağ cihazlarına dağıtmak için yakın zamanda yamalı bir IOS/IOS XE güvenlik açığından (CVE-2025-20352) yararlandı.
Trend Micro araştırmacıları, “Operasyon, uç nokta algılama yanıt çözümlerine sahip olmayan eski Linux sistemlerini çalıştıran kurbanları hedef aldı” dedi.
Bir rootkit yerleştirildikten sonra, evrensel bir parola (“disko” kelimesini içeren) belirler ve yeniden başlatmanın ardından dosyasız bileşenlerin kaybolmasını sağlamak için IOSd (işlem) bellek alanına birkaç kanca kurar.
CVE-2025-20352 Hakkında
Eylül 2025’in sonlarında Cisco, saldırganların sıfır gün saldırılarında yararlandığı bir IOS/IOS XE güvenlik açığını (CVE-2025-20352) düzeltti ancak saldırılarla ilgili ek ayrıntıları paylaşmadı.
Cisco IOS ve IOS XE yazılımının Basit Ağ Yönetimi Protokolü (SNMP) alt sistemindeki bir yığın taşması güvenlik açığı olan CVE-2025-20352, bir DoS koşuluna veya uzaktan kod yürütülmesine yol açabilir ve ikincisi yalnızca saldırganın zaten güvenlik açığı bulunan bir cihazda yüksek ayrıcalıklara sahip olması durumunda mümkündür.
Cisco, “Bir saldırgan, IPv4 veya IPv6 ağları üzerinden etkilenen bir cihaza hazırlanmış bir SNMP paketi göndererek bu güvenlik açığından yararlanabilir” dedi ve saldırganların geçerli yerel yönetici kimlik bilgilerini ele geçirip bunları uzaktan kod yürütmek için kullanabildiklerini paylaştı.
Araştırmacıların bulguları
Trend Micro, saldırganların Cisco 9400, 9300 ve eski 3750G serisi cihazlardaki kusurdan yararlandığını keşfetti.
Çeşitli açıklardan yararlandılar ve hem 32 bit hem de 64 bit platformları hedef aldılar. Ayrıca, rastgele adreslerde bellek okuma/yazma gerçekleştirmek için eski bir Telnet güvenlik açığının (CVE-2017-3881) değiştirilmiş bir sürümünden yararlanmaya çalıştılar.
Araştırmacılar, saldırganların kullandığı çeşitli güvenlik açıklarını ortaya çıkardı. Biri Linux rootkit’ini kurmak için, diğeri ise hedef cihazda izleme günlüğünü durdurmak için kullanıldı.
Araştırmacılar, “Trend araştırmasında ayrıca rootkit’i kontrol etmek için kullanılan bir UDP denetleyici bileşeni ve Cisco anahtarında bir arp yanıltma aracı buldu” diye paylaştı.
“UDP denetleyicisi birçok güçlü yönetim işlevi sunuyor: günlük geçmişini açabilir veya kapatabilir veya günlük kayıtlarını tamamen silebilir; AAA kimlik doğrulamasını atlayabilir ve VTY erişim kontrol listelerini atlayabilir; evrensel bir parolayı etkinleştirebilir veya devre dışı bırakabilir; çalışan yapılandırmanın bölümlerini gizleyebilir ve son çalışan yapılandırma yazma işleminin zaman damgasını sıfırlayarak yapılandırmanın hiç değişmemiş gibi görünmesini sağlayabilir.”
Arp spoffing aracı, ağ cihazına yönelik trafiğin önce saldırgana gönderilmesini sağlamak için kullanılabilir.
Ne yapalım?
Cisco, müşterilerine, cihazlarının etkilenen bir sürümü çalıştırıp çalıştırmadığını kontrol etmek ve çalışıyorsa güncellemek için Cisco Yazılım Denetleyicisi’ni veya CVE-2025-20352 güvenlik danışma belgesindeki bir formu kullanmalarını tavsiye etti.
Trend Micro, bu saldırılarla ilgili risk göstergelerini paylaştı, ancak aynı zamanda ZeroDisco operasyonu (kendi deyimiyle) tarafından bir Cisco anahtarının başarıyla ele geçirilip geçirilmediğini belirlemek için kullanılabilecek evrensel bir otomatik aracın bulunmadığını da belirtti.
Araştırmacılar, “Bir anahtarın etkilendiğinden şüpheleniyorsanız, derhal Cisco TAC ile iletişime geçmenizi ve satıcıdan donanım yazılımı/ROM/önyükleme bölgelerinin düşük düzeyli bir araştırmasına yardımcı olmasını istemenizi öneririz” dedi.
Hedeflenen cihazlar daha eski cihazlar olsa da, istismarlar daha yeni cihazlarda da işe yarayabilir.
Araştırmacılar, “Daha yeni anahtar modelleri, izinsiz giriş girişimlerinin başarı oranını azaltan Adres Alanı Düzeni Rastgeleleştirmesi (ASLR) aracılığıyla bir miktar koruma sağlıyor; ancak tekrarlanan girişimlerin yine de başarılı olabileceği unutulmamalıdır” diye ekledi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!