CISA, ABD federal ajanslarına Cisco güvenlik duvarı cihazlarını sıfır gün saldırılarında sömürülen iki kusura karşı güvence altına almalarını emreten yeni bir acil durum direktifi yayınladı.
Acil Durum Direktifi 25-03, 25 Eylül’de Federal Sivil Yürütme Şubesi (FCEB) ajanslarına verildi ve uyarlanabilir güvenlik cihazı (ASA) ve Güvenlik Tehdit Savunması (FTD) yazılımlarında CVE-2025-20333 ve CVE-2025-203333 ve CVE-2025-20362 güvenlik açıklarını yamaladı.
CISA, “Kampanya yaygındır ve ASA’larda kimlik doğrulanmamış uzaktan kod yürütme kazanmak için sıfır gün güvenlik açıklarından yararlanmanın yanı sıra yeniden başlatma ve sistem yükseltmesi yoluyla devam etmek için salt okunur belleğin (ROM) manipüle edilmesini içerir. Bu etkinlik, kurban ağları için önemli bir risk oluşturur.”
“CISA, ajansları tüm Cisco ASA ve ateş gücü cihazlarını açıklamaya, adli tıp toplama ve uzlaşmayı CISA tarafından sağlanan prosedürler ve araçlar aracılığıyla değerlendirmeye, destek sonu cihazlarının bağlantısını kesmeye ve hizmette kalacak yükseltme cihazlarını değerlendirmeye yönlendiriyor.”
ABD Siber Güvenlik Ajansı artık tüm FCEB ajanslarının ağlarında tüm Cisco ASA ve ateş gücü cihazlarını tanımlamasını, ağdan ödün verilen tüm cihazların bağlantısını kesmesini ve 26 Eylül’de 12: 00’de kötü niyetli etkinlik belirtisi göstermeyenleri yamalamasını gerektiriyor.
Buna ek olarak, CISA, ajansların 30 Eylül’e kadar desteğin sonuna ulaşan ASA cihazlarının ağlarından kalıcı olarak bağlantısını kesmesi gerektiğini emretti.
2024 Arcanedoor kampanyasına bağlı sömürü
Cisco, CVE-2025-20333’ün kimlik doğrulamalı saldırganların savunmasız cihazlarda uzaktan kod yürütülmesine izin verebileceğini söyleyerek, bugün daha önce iki güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınlarken, CVE-2025-20362, uzaktan tehdit aktörlerinin kısıtlı URL uç noktalarına kimlik doğrulaması olmadan erişmesini sağlar.
Zincirlendiğinde, iki güvenlik açığı, kimlik doğrulanmamış saldırganların eşleştirilmemiş cihazların tam kontrolünü uzaktan kontrol etmesini sağlayabilir.
Cisco bugün, “Saldırganların birden fazla sıfır gün güvenlik açıklarından yararlandığı ve günlüğe kaydetme, CLI komutlarını engelleme ve teşhis analizini önlemek için kasıtlı olarak çökme gibi gelişmiş kaçınma tekniklerini kullandığı gözlendi.” Dedi.
Diyerek şöyle devam etti: “Onaylanmış uzlaştırılmış cihazların adli analizimiz sırasında, bazı durumlarda Cisco, yeniden başlatmalar ve yazılım yükseltmeleri arasında kalıcılığa izin vermek için Rommon’u değiştiren tehdit oyuncusunu gözlemledi.”
Cisa ve Cisco, devam eden bu saldırıları Kasım 2023’ten bu yana dünya çapındaki hükümet ağlarını ihlal etmek için diğer iki ASA ve FTD sıfır gününü (CVE-2024-20353 ve CVE-2024-20359) sömüren Arcanedoor kampanyasına bağladılar.
Cisco, Ocak 2024’ün başlarında Arcanedoor saldırılarının farkına vardı ve kampanyanın arkasındaki UAT4356 tehdit grubunun (Microsoft tarafından Storm-1849 olarak izlenen) en azından Temmuz 2023’ten bu yana iki sıfır gün için istismarlar geliştirdiğine dair kanıtlar keşfetti.
Saldırılarda, bilgisayar korsanları, tehlikeye atılan Cisco cihazlarında kalıcılığı korumak için daha önce bilinmeyen çizgi dansçısı bellek içi kabuk kodu yükleyici ve hat koşucusu arka kapı kötü amaçlı yazılımını konuşlandırdı.
Cuma günü, Cisco güvenlik duvarı ve Cisco IOS yazılımında üçüncü bir kritik güvenlik açığını (CVE-2025-20363) yamaladı, bu da kimlik doğrulanmamış tehdit aktörlerinin karşılaşmamış cihazlarda keyfi kod yürütmesine izin verdi.
Bununla birlikte, şirket, ürün güvenliği olay müdahale ekibinin “herhangi bir kamu duyurusunun veya güvenlik açığının kötü niyetli kullanımının farkında olmadığını” söyleyerek bugünkü danışmanlıktaki bu saldırılara doğrudan bağlanmadı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.