ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), 3 Mart 2025’te kritik bir komut enjeksiyon kırılganlığı (CVE-2023-20118), Cisco Sonu Cisco Küçük İş RV Serisi yönlendiricilerini aktif olarak kullanma hakkında acil bir uyarı yayınladı.
CVSSV3.1 puanı 6.5 taşıyan kusur, kimlik doğrulamalı saldırganların kök ayrıcalıkları ile keyfi komutlar yürütmesini ve potansiyel olarak tüm ağlardan ödün vermesini sağlar.
Güvenlik açığı detayları ve sömürü
CVE-2023-20118, yönlendiricilerin web tabanlı yönetim arayüzünde kullanıcı tarafından sağlanan HTTP girişinin uygunsuz doğrulanmasından kaynaklanmaktadır.
Geçerli idari kimlik bilgilerine sahip saldırganlar, güvenlik kontrollerini atlamak, komutları enjekte etmek ve hassas verilere yetkisiz erişim veya hizmetleri engellemek için kötü niyetli HTTP istekleri oluşturabilir.
Cisco, Nisan 2023’ten önce yayınlanan ürün yazılımı sürümlerini çalıştıran RV016, RV042, RV042G, RV082, RV320 ve RV325 modellerini güvenlik açığı etkileri doğruladı.
Özellikle, şirket bu cihazlar yaşam sonu durumuna ulaştığından, yamalar serbest bırakmayacağını belirtti.
CISA’nın danışmanlığı, federal ajansların 24 Mart 2025 yılına kadar etkilenen yönlendiricilerin hafifletme uygulaması veya etkilenen yönlendiricilerin kullanımını durdurması gerektiğini vurgular.
Fransız siber güvenlik firması Sekoia’nın yakın zamanda Polaredge Botnet kampanyasına bağlı sömürü girişimlerini gözlemlediğinden, özel kuruluşların da iyileştirmeye öncelik vermesi isteniyor.
Bu botnet, savunmasız yönlendiricileri dağıtılmış hizmet reddi (DDOS) ağlarına eşleştirmeyi veya yanal hareket için giriş noktaları olarak kullanmayı amaçlamaktadır.
Riskler ve azaltma zorlukları
Tedarikçi tarafından sağlanan yamaların olmaması, hafifletmeyi karmaşıklaştırır. Yöneticilere aşağıdakilere tavsiye edilir:
- Yönlendiricilerin yönetim arayüzlerine yönetici erişimi hemen kısıtlayın.
- Olağandışı HTTP etkinliği, özellikle yetkisiz komut yürütme girişimleri için günlükleri izleyin.
- Etkilenen cihazları desteklenen modeller lehine hizmet dışı bırakmayı düşünün.
CISA, küçük işletmelerdeki ve uzaktan çalışma ortamlarındaki yaygınlıkları göz önüne alındığında, açılmamış yönlendiricilerin sürekli kullanımının “kritik altyapı için önemli riskler” olduğunu vurguladı.
Ajansın uyarısı, SHADEWSERver Foundation’ın Ağustos 2024’ten bu yana artan sömürü girişimlerine ilişkin raporlarını takip ediyor, ancak tam kapsam belirsizliğini koruyor.
Bu olay, kurumsal ağlarda eski donanıma güvenmenin tehlikelerinin altını çiziyor.
Cisco’nun RV serisi yönlendiricileri 2010’ların başından beri yaygın olarak konuşlandırıldığında, birçok kuruluş şimdi acil donanım yenileme kararlarıyla karşı karşıya.
Siber güvenlik uzmanları, gecikmeli eylemin fidye yazılımı saldırılarına, veri ihlallerine veya operasyonel kesinti süresine yol açabileceği konusunda uyarıyor,
Tehdit aktörleri giderek daha fazla eski sistemleri hedefledikçe, CISA’nın danışmanlığı, güvenlik açığı yönetimi uygulamalarını gelişen tehditlerle hizalamak için kesin bir hatırlatmadır.
Şimdilik, ağ yöneticileri, savunmasız cihazların korunmasının artan risklerine karşı yeni altyapı maliyetini tartmalıdır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.