Devlet, Sektöre Özel, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
CISA, Ajansların Cisco Kusurlarını Düzelttiklerine İnandıklarını Ancak Bunu Yapmadıklarını Söyledi
Chris Riotta (@chrisriotta) •
13 Kasım 2025
Ülkenin siber savunma dairesi, ABD hükümet kurumlarının, federal ağlarda “tüm kuruluşlar için önemli risk” oluşturan bilgisayar korsanlarına rağmen Cisco cihazlarındaki kritik güvenlik açıklarını yeterince yamamakta başarısız olduğunu söyledi.
Ayrıca bakınız: Kamu Sektörü için SIEM Satın Alma Kılavuzu
Siber Güvenlik ve Altyapı Güvenliği Ajansı, bir duyuruda, “gerekli güncellemeleri uyguladıklarına inanan ancak aslında minimum yazılım sürümüne güncelleme yapmamış birden fazla kuruluşun” farkına vardıktan sonra Çarşamba günü kılavuz yayınladı. CISA, Eylül ayında, Cisco uyarlanabilir güvenlik cihazlarını ve güvenlik duvarlarını hedef alan, “Arcane Door” olarak bilinen yaygın bir bilgisayar korsanlığı kampanyasını ortaya çıkardıktan sonra, federal sivil kurumlara desteklenmeyen cihazların bağlantısını derhal kesmelerini ve potansiyel tehlikeleri değerlendirmelerini emreden bir acil durum direktifi yayınladı (bkz: Federaller ‘Gizli Kapı’ya Karşı Savunmak İçin Cisco Güvenlik Duvarlarını İzole Ediyor).
Kusurlar, tehdit aktörlerinin kısıtlı uç noktalara erişmesine olanak tanıyor ve uzaktan kod yürütülmesine yol açabiliyor. Siber güvenlik firması Cobalt’ın CTO’su Gunter Ollman, “Bu tür uç ağ uzlaşmaları özellikle çekici çünkü birçok aşağı yönlü savunmayı aşan bir başlangıç noktası yaratıyorlar” dedi. “Sorun şu ki, kuruluşlar yamalar mevcut olsa bile, gerçek dünya koşullarında teşhirlerini doğrulamak için hâlâ çabalıyorlar.”
Mevcut ve eski federal siber yetkililer, Çarşamba gecesi resmen sona ermeden önce ABD tarihindeki en uzun süreli hükümet kapatmanın, müdahale ve koordinasyon çabalarını yavaşlatarak tehdit ortamını daha da kötüleştirdiğini söyledi (bkz: ‘Bir Karışıklık Oldu’: Kapatma Federal F5 Hack Yanıtını Yavaşlatıyor).
Uygulama kılavuzu, Cisco’nun CVE-2025-30333 ve CVE-2025-20362 olarak takip edilen açıkları yamalamasından aylar sonra geldi. Ağustos ayında ağ ekipmanı devinden, bilgisayar korsanlarının “komutları yüksek ayrıcalık düzeyinde yürütmek için” bu kusurları kullanabileceği yönünde ayrı bir uyarı geldi (bkz.: Cisco Maksimum Önem Derecesine Sahip Güvenlik Duvarı Kusurunu Yamaladı).
İlk acil durum direktifi uyarınca kurumların 26 Eylül’e kadar desteklenmeyen tüm cihazların bağlantısını kesmesi ve kullanımda kalan ürünleri yükseltmesi gerekiyordu. CISA’nın siber güvenlik bölümü müdür yardımcısı vekili Chris Butera, o sırada gazetecilere verdiği demeçte, ajansın federal ağlarda etkilenen “yüzlerce” cihazın farkında olduğunu söyledi.
CISA, tehdit aktörünün Cisco güvenlik açıkları aracılığıyla federal ağları hedef aldığını belirtmeyi reddetti. Palo Alto Networks’ün siber güvenlik ekibi Birim 42, saldırıyı Storm-1849 olarak takip edilen Çinli bir tehdit aktörüne bağladı.
CISA, yeni uygulama kılavuzunun federal kurumları etkileyen “devam eden ve yeni tehdit faaliyetlerinin” sonucu olduğunu söyledi. Ajans ayrıca, henüz gerekli yazılım sürümlerine güncellenmemiş, etkilenen cihazlara sahip federal kuruluşlar için geçici risk azaltma kılavuzu da sağladı.