ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Cisco’nun ağ güvenliği için gerekli olan Uyarlanabilir Güvenlik Cihazları (ASA) ve Firepower cihazlarındaki kritik güvenlik açıklarına ilişkin güçlü bir uyarı yayınladı. Bu sistemlerin saldırganlar tarafından aktif olarak hedef alındığı bildiriliyor.
İki Büyük Sorun
CVE-2025-20362 ve CVE-2025-20333 olarak takip edilen iki spesifik kusur ana endişe kaynağıdır. CVE-2025-20362, bir saldırganın oturum açma gereksinimini atlamasına ve cihazın kısıtlı bir alanına erişmesine olanak tanır. Bu daha sonra, saldırganın kendi kötü amaçlı kodunu ‘kök’ kullanıcı olarak çalıştırmasına olanak tanıyan ve muhtemelen etkilenen cihazın tam kontrolünü sağlayan ikinci, daha tehlikeli kusuru (CVE-2025-20333) etkinleştirir.
Bildirildiğine göre, bu iki güvenlik açığı, saldırganlar tarafından, etkilenen sistemlerin tam kontrolünü ele geçirmek için ArcaneDoor adı verilen bir kampanyada toplu olarak kullanılıyor. Cisco bu sorunları ilk olarak Eylül ayında düzeltti ancak bu aktif istismarlardan kaynaklanan tehdit devam ediyor ve her yerdeki veriler ve sistemler için risk oluşturuyor.
Yama Sorunu
CISA’nın Acil Durum Direktifi 25-03 (25 Eylül’de yayınlandı) acil düzeltmeler gerektiriyordu. Bununla birlikte, federal kurumlar da dahil olmak üzere pek çok kuruluş yanlışlıkla cihazlarını güncellediklerine inandı ve CISA, “yamalı” olarak işaretlenen sistemlerin aslında hala savunmasız yazılımları çalıştırdığını tespit etti.
CISA’nın bulduğu en büyük sorun, yalnızca güncellemenin yeterli olmamasıydı; kuruluşların doğru minimum yazılım sürümüne ihtiyacı vardı. Örneğin, Cisco ASA Sürüm 9.12, 9.12.4.72 sürümünü gerektirir ve Sürüm 9.14, genellikle Özel Sürüm İndirme yoluyla erişilebilen 9.14.4.28 sürümünü gerektirir. CISA, tüm Cisco ASA ve Firepower cihazlarının derhal güncellenmesi gerektiğini vurguluyor.
Kuruluşların yalnızca genel internete bakan cihazları değil, tüm Cisco ASA ve Firepower cihazlarını güncellemesi gerekir. Cihazlar 26 Eylül 2025’ten sonra güncellendiyse veya hâlâ güvenlik açığı bulunan sürümleri çalıştırıyorsa CISA, kalan tehditleri kontrol etmek ve kaldırmak için ek adımlar önerir.
Yeni Saldırılar Ortaya Çıkıyor
Endişelere ek olarak Cisco, yama uygulanmamış Cisco cihazlarının aniden çalışmayı durdurmasına ve yeniden başlatılmasına (hizmet reddi veya DoS durumu) neden olabilecek saldırının yeni bir çeşidi hakkında da uyardı. Bu yeni saldırı 5 Kasım 2025’te fark edildi ve tüm müşterilerin Cisco tarafından yayınlanan düzeltmeleri derhal yüklemesi gerektiğinin altını çizdi.
Uzman bakış açıları
Cobalt CTO’su Gunter Ollmann, Hackread.com ile özel olarak, bir ağın ucundaki cihazları hedef alan bu kusurların doğasının, bilgisayar korsanlarının birçok iç ağ savunmasını atlamasına izin vermesi nedeniyle saldırganlar için özellikle çekici olduğunu paylaştı. Ollmann şunu belirtiyor:
“Sorun şu ki, kuruluşlar, yamalar mevcut olsa bile, gerçek dünya koşullarında maruziyetlerini hâlâ doğrulamakta zorlanıyor. Saldırgan testler, güncellemelerden sonra ortamın beklendiği gibi davranıp davranmadığını ve bir saldırganın yine de gözden kaçan yollardan geçip geçemeyeceğini ortaya çıkarmaya yardımcı oluyor. Olgun programlar, yama uygulamayı bitiş çizgisi değil başlangıç noktası olarak ele alıyor ve tehdit aktörlerinden önce kalan boşlukları yakalamak için çekişmeli doğrulamayı kullanıyor.”
Yine Hackread.com’a özel olarak konuşan Radiant Logic Baş Evangelisti Wade Ellery, saldırganların güvenlik duvarı gibi cihazları ihlal ettikten sonraki hedeflerinin genellikle kullanıcı oturum açma bilgilerini ve kullanıcı kimlik sistemlerinde hızla risklere yol açan çevre kusurlarını çalmak olduğunu açıklıyor.
Ellery, “Sınırlama, birçok kuruluşun hâlâ parçalanmış kimlik verileriyle çalışması ve bu durumun ağa izinsiz girişleri takip eden şüpheli değişiklikleri tespit etmeyi zorlaştırmasıdır. Kimlik gözlemlenebilirliğinin güçlendirilmesi, anormallikleri erken tespit etmek ve ayrıcalıklar birikmeden yanal hareketleri kontrol altına almak için gereken bağlamı sağlar. Kimlik verilerini birleştiren ve gözlemleyen kurumlar, bu altyapı düzeyindeki şokları absorbe etmek ve Sıfır Güven dayanıklılığını sürdürmek için daha iyi konumlandırılacaktır” dedi.