ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Cisco Uyarlanabilir Güvenlik Aletleri (ASA) ve Cisco Ateş Gücü Cihazlarında kırılganlıkları hedefleyen devam eden ve şiddetli bir siber güvenlik tehdidine yanıt olarak 25-03 Acil Durum Direktifi yayınladı. Direktif, savunmasız sistemleri etkileyen potansiyel uzlaşmaları tanımlamak ve azaltmak için tüm federal sivil yürütme şubelerinden derhal eylemi zorunlu kılmaktadır.
Direktif, sofistike bir tehdit oyuncusuna atfedilen aktif bir sömürü kampanyasının keşfinden kaynaklanmaktadır. Kampanya, Cisco ASA ve ateş gücü platformlarında birden fazla sıfır günlük güvenlik açıklarından yararlanıyor ve saldırganların yeniden başlatmalar ve sistem yükseltmeleri boyunca kalıcılığı korumak için kimlik doğrulanmamış uzaktan kod yürütmesini ve sistem ROM’u değiştirmelerini sağlıyor.
Cisco ASA istismarları konusunda küresel endişe
Siber güvenlik tehdidi, aşağıdakiler dahil olmak üzere birçok uluslararası ajanstan yanıtları tetikledi:
- CERT-FR (Fransa): Çoklu ASA ve FTD yazılım sürümlerinde CVE-2025-20333 ve CVE-2025-20362’nin aktif olarak sömürülmesini teyit ederek yayınlanmış bülten certfr-2025-ALE-013.
- Avustralya Siber Güvenlik Merkezi (ACSC): Cisco ASA 5500-X serisinde sömürüyü vurgulayan rehberlik yayınlandı ve kuruluşlara önlem olarak IKEV2 ve SSL VPN hizmetlerini devre dışı bırakmalarını tavsiye etti.
- Kanada Siber Güvenlik Merkezi: Sofistike kötü amaçlı yazılımların yaşam sonu Cisco ASA cihazlarını hedeflemek için küresel olarak konuşlandırıldığı ve derhal yamalama için kritik ihtiyacı vurguladığı konusunda uyardı.
Bu uyarılar, güvenlik açıklarının dünya çapında aktif olarak kullanıldığını ve eski Cisco cihazlarının yüksek risk altında olduğunu doğrulamaktadır.
Kod çözme CVE-2025-20333 ve CVE-2025-20362
İki kritik güvenlik açığı özel olarak vurgulanmıştır:
- CVE-2025-20333: Uzaktan Kod Yürütülmesini etkinleştirir
- CVE-2025-20362: ayrıcalık artışına izin verir
Cisco’ya göre, bu güvenlik açıkları, 2024’ün başlarında ortaya çıkan ileri bir operasyon olan Arcanedoor ile bağlantılı olduğuna inanılan daha büyük bir tehdit kampanyasının bir parçası. Cisco’nun güvenlik değerlendirmeleri, saldırganların en azından o zamandan beri ASA romlarını değiştirebileceğini gösteriyor.
Bazı Cisco Firepower modelleri bu tür kurcalamayı tespit edebilen güvenli önyükleme korumaları içerse de, birçok ASA cihazı savunmasız kalır.
Acil Durum Direktifi 25-03, Anayurt Güvenliği Sekreteri veya delegasyon yoluyla CISA Direktörü, federal ajans verilerini işleyen veya depolayan bilgi sistemleri için acil eylem eylemlerini zorunlu kılmak için 44. Başlık, ABD Kodunun 3553 (h) Bölümü yetkisi kapsamında yayınlanmaktadır.
Bu direktifler tüm federal sivil ajanslar için bağlayıcıdır, ancak Ulusal Güvenlik Sistemleri, Savunma Bakanlığı veya istihbarat topluluğu için geçerli değildir.
Gerekli ajans eylemleri
ABD ajanslarına ağlarındaki tüm Cisco ASA ve Ateş Gücü Tehdit Savunma (FTD) cihazlarını hemen tanımlaması ve değerlendirmeleri talimatı verilmektedir. Buna ASA donanımı, ASA hizmet modülleri (ASA-SM), ASA Virtual (ASAV) ve FirePower 2100, 4100 ve 9300 modellerinde ASA ürün yazılımı dahildir.
Temel süreler ve gereksinimler şunları içerir:
- 26 Eylül 2025’te EDT 23: 59’a kadar: Kamuoyu bakan tüm ASA donanım cihazlarının temel dökümlerini, kötü amaçlı yazılım Portalı aracılığıyla CISA’ya gönderin.
- Bir uzlaşmanın algılandığı herhangi bir cihazı ayırın ve bildirin.
- ASA, ASAV ve ateş gücü cihazları için en son Cisco yazılım güncellemelerini uygulayın.
- Hizmetten Çıkarma Sonu (EOS) Donanımı-30 Eylül 2025 tarihinde veya daha önce EOS tarihli sapmaların kalıcı olarak hizmetten kaldırılması gerekir.
- 31 Ağustos 2026 tarihli EOS tarihlerine sahip cihazlar için, ajanslar mevcut ve gelecekteki tüm güncellemeleri Cisco İndirme Portalı üzerinden yayınladıktan sonraki 48 saat içinde uygulamalıdır.
- 2 Ekim 2025’te EDT 23: 59’a kadar: CISA’ya eksiksiz bir envanter raporu gönderin ve kapsamdaki tüm Cisco cihazlarında alınan durumları ve eylemleri detaylandırın.
- Bu yetkiler sadece ajanslar tarafından doğrudan işletilen cihazlar için değil, aynı zamanda üçüncü taraf veya bulut ortamlarındakiler için de geçerlidir. Ajanslar, FedRamp yetkilendirilmiş veya fedRamp Servis Sağlayıcı ortamlarında bile uyumluluğu yönetmekten sorumludur.
CISA’nın rolü ve gelecekteki raporları
CISA, standart bir raporlama şablonu sağlayacak ve ek uzlaşma göstergeleri için izlemeye devam edecektir. Direktif gereksinimlerini karşılamak için teknik uzmanlıktan yoksun ajanslar CISA teknik yardımı talep edebilir.
Direktifin uygulama durumu hakkında kapsamlı bir rapor, 1 Şubat 2026 tarihine kadar İç Güvenlik Sekreteri, Ulusal Siber Direktör, Yönetim ve Bütçe Ofisi (OMB) ve Federal Baş Bilgi Güvenliği Görevlisi’ne (CISO) sunulacaktır.
Federal Yürütme Şubesi dışındaki kuruluşlar, CVE-2025-20333 ve CVE-2025-20362 gibi güvenlik açıklarından da etkilenip etkilenmediklerini belirlemek için aynı adli prosedürleri, özellikle de çekirdek döküm ve av talimatlarını gönüllü olarak izlemeye teşvik edilir.