Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlarla ilgili kritik bir uyarı yayınladı.
Aktif olarak yararlanılan güvenlik açıklarına karşı Cisco Adaptive Security Appliances (ASA) ve Firepower Threat Defense (FTD) cihazlarına düzgün şekilde yama uygulanamaması.
Acil Durum Direktifi 25-03 uyarınca CISA, federal bilgi sistemleri için kabul edilemez riskler oluşturan iki ciddi CVE’yi tespit etti:
Uzaktan kod yürütülmesine olanak tanıyan CVE-2025-20333 ve ayrıcalık yükseltmeye olanak tanıyan CVE-2025-20362.
Kritik Cisco Cihazlarda Yama Durumu
Federal sivil yürütme organı (FCEB) kurumlarında bu güvenlik açıklarından aktif olarak yararlanıldığı tespit edildi.
Asıl endişe, CISA’nın kurumların uyumluluk raporlarını analizi sırasında ortaya çıkan kritik bir keşiften kaynaklanıyor.
| CVE Kimliği | Güvenlik Açığı Türü | Darbe |
|---|---|---|
| CVE-2025-20333 | Uzaktan Kod Yürütme | Kimliği doğrulanmamış saldırganların rastgele kod yürütmesine olanak tanır |
| CVE-2025-20362 | Ayrıcalık Yükseltmesi | Kimliği doğrulanmış saldırganların ayrıcalıkları yükseltmesine olanak tanır |
Resmi raporlama şablonlarında “yamalı” olarak işaretlenen çok sayıda cihazın, aktif tehditlere karşı savunmasız kalan güncelliğini kaybetmiş yazılım sürümlerini çalıştırdığı tespit edildi.
Bu fark, kurumların yama gereksinimlerini yanlış anladığını veya eksik güncellemeler uyguladığını gösteriyor.
CISA, kurumların yalnızca halka açık ekipmanlara değil, TÜM ASA ve Firepower cihazlarını gerekli minimum yazılım sürümlerine güncellemesi gerektiğini vurguluyor.
Savunmasız yazılım dizileri, her biri belirli minimum yama seviyeleri gerektiren ASA 9.12 ila 9.22 sürümlerini ve Firepower 7.0 ila 7.6 sürümlerini içerir.
ASA cihazları için gereken minimum sürümler şunlardır: 9.12.4.72, 9.14.4.28, 9.16.4.85, 9.18.4.67, 9.20.4.10 ve 9.22.2.14. ASA 9.17 ve 9.19 sürümleri, desteklenen sürümlere geçiş yapılmasını gerektirir.
Ateş gücü cihazları, mevcut sürüm dizisine bağlı olarak en az 7.0.8.1, 7.2.10.2, 7.4.2.4 veya 7.6.2.1’i çalıştırmalıdır. Acil Durum Direktifi 25-03, yamanın yayınlandıktan sonraki 48 saat içinde dağıtılmasını zorunlu kılmaktadır.
Kamuya açık ASA donanımını işleten kurumların, yama uygulamadan önce CISA’nın Çekirdek Dökümü ve Avlama prosedürlerini yürütmesi ve bulgularını Kötü Amaçlı Yazılım Yeni Nesil portalı aracılığıyla sunması gerekir.
Uyumlu olmayan kurumların ED 25-03 uyumluluk raporlarını CyberScope aracılığıyla yeniden göndermeleri gerekmektedir. CISA, düzeltici eylemlerin derhal tamamlanmasını sağlamak için belirlenen uyumsuz kurumlarla doğrudan iletişime geçecektir.
Bu yaptırım eylemi, federal ağlardaki tüm cihaz kategorilerinde kapsamlı yama stratejilerinin kritik öneminin altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
