Gelişmiş bir bilgisayar korsanlığı grubu, Cisco Identity Services Engine (ISE) ve Citrix sistemlerindeki sıfır gün güvenlik açıklarından aktif olarak yararlanıyor. Gerçek dünya operasyonlarında tespit edilen bu saldırılar, bilgisayar korsanlarının özel web kabukları dağıtmasına ve kurumsal ağlara derinlemesine erişim sağlamasına olanak tanıyor.
Bulgular, saldırganların kullanıcı oturum açma işlemlerini ve ağ kontrollerini yöneten önemli sistemleri nasıl hedef aldığını ve işletmeleri yüksek risk altına soktuğunu gösteriyor.
Cisco ve Citrix 0 Günde Suistimal Edildi
Sorun, Amazon’un siber tehditleri cezbetmek ve incelemek için tasarlanmış bir araç olan MadPot bal küpü hizmetiyle başladı. Kimse bunu kamuoyuna duyurmadan önce “Citrix Bleed Two” (CVE-2025-5777) olarak bilinen bir Citrix kusurundan yararlanma girişimlerini yakaladı.
Bu sıfır gün, saldırganların izinsiz olarak uzaktan kod çalıştırmasına olanak tanır. Daha derine inen Amazon uzmanları, aynı bilgisayar korsanlarını Cisco ISE’deki, artık CVE-2025-20337 olarak adlandırılan gizli bir zayıflıkla ilişkilendirdi.
Bu hata, dışarıdaki kişilerin oturum açmadan önce kodu çalıştırmasına izin vermek için hatalı veri işlemeyi veya “seri durumdan çıkarma”yı kullanıyor. Sonuç? Etkilenen sistemler üzerinde tam yönetici kontrolü.
Bunu korkutucu yapan şey zamanlamadır. Cisco, ISE’nin tüm sürümleri için bir CVE numarası veya tam yamalar yayınlamadan önce, bilgisayar korsanları bu kusurları internete yönelik canlı kurulumlarda yaygın olarak tespit ediyordu.
Bu “yama boşluğu” taktiği, saldırganların akıllılığını gösterir: Güncellemeleri yakından izlerler ve savunmalar zayıf olduğunda hızlı saldırı yaparlar. Amazon, Cisco ayrıntılarını şirketle paylaşarak düzeltmelerin hızlandırılmasına yardımcı oldu, ancak hasar zaten devam ediyordu.
Bilgisayar korsanları içeri girdikten sonra normal bir Cisco parçası gibi görünen “IdentityAuditAction” adlı gizli bir özel web kabuğu yerleştirdiler. Temel kötü amaçlı yazılımların aksine, bu yalnızca Cisco ISE için oluşturulmuştur.
Adli tıp ekiplerinin kolayca fark edebileceği dosyalardan kaçınarak tamamen bilgisayarın belleğinde çalışır. Java yansıması gibi hileler kullanarak, tüm trafiği izlemek için sistemin web sunucusuna (Tomcat) bağlanır. Komutları gizlemek için bunları DES ve tuhaf bir Base64 dönüşümüyle şifreliyor, ayrıca özel web başlıklarının etkinleştirilip etkinleştirilmediğini kontrol ediyor.
Kodlara bir göz atmak onların kurnazlığını ortaya çıkarır. Tek bir rutinde, web isteklerinden gelen gizli talimatların kodunu çözer, “*” gibi karakterleri “a” ile değiştirir ve yükün kilidini açmak için gizli bir anahtar (“d384922c”) kullanır. Bu, bilgisayar korsanlarının iz bırakmadan rastgele kod çalıştırmasına olanak tanıyarak algılamayı zorlaştırır.
Amazon’un analizi, grubun yalnızca belirli hedefleri hedeflemekle kalmayıp, internetteki bu istismarları geniş çapta patlattığını gösteriyor. Araçları, Java uygulamaları, Tomcat ve Cisco kurulumu hakkında derin bilgi sahibi olduklarını gösteriyor ve bu da içeriden öğrenilen güvenlik açığı bilgilerine veya üst düzey araştırma becerilerine sahip, iyi finanse edilen bir ekip öneriyor.
Bu, büyüyen bir modele uyuyor: Saldırganlar, tüm ağı koruyan kimlik yöneticileri ve uzak ağ geçitleri gibi uç savunmaları hedef alıyor.
Güvenlik uzmanları için bu bir uyandırma çağrısıdır. Birinci sınıf sistemler bile giriş öncesi istismarlara düşebilir. Amazon, ekipleri savunma katmanlarını kullanmaya teşvik ediyor: yönetim portallarına erişimi engellemek için güvenlik duvarları kullanın, olağandışı web trafiğini izleyin ve tuhaf davranışlar için algılama oluşturun. Hızlı yama uygulamak önemlidir, ancak ihlalleri varsaymak ve yanıtları planlamak da önemlidir.
Bu kampanya bize Cisco ve Citrix gibi kritik araçlardaki sıfır günlerin kaosa kapı açabileceğini hatırlatıyor. Bilgisayar korsanları geliştikçe şirketlerin dikkatli olması gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
