CISA, Meta platformlarının WhatsApp mesajlaşma hizmetinde (CVE-2025-55177) yeni açıklanan sıfır gün güvenlik açığı konusunda acil bir danışma yayınladı.
CWE-863: Yanlış Yetkilendirme altında kategorize edilen bu kusur, yetkisiz bir aktörün bağlantılı cihaz senkronizasyon mesajlarını manipüle etmesine ve bir hedef cihazı saldırgan tarafından kontrol edilen bir URL’den içeriği getirmeye ve işlemeye zorlar.
Key Takeaways
1. CVE-2025-55177 exploits a WhatsApp device-sync auth flaw to fetch malicious URLs.
2. CWE-863 error enables RCE and has surfaced in phishing.
3. CISA mandates the Sept 2 patch or suspending WhatsApp.
Kuruluşlar ve bireysel kullanıcılar, 23 Eylül 2025 yılına kadar satıcı tarafından sağlanan hafifletmeler uygulamaya veya güvenli yamalar mevcut olana kadar kullanımı durdurmaya şiddetle teşvik edilir.
WhatsApp Yetkilendirme Güvenlik Açığı (CVE-2025-55177)
CVE-2025-55177, WhatsApp’ın Bağlantılı Cihaz Senkronizasyon Mesajlarını İşleminde Eksik Yetkilendirme Kontrolünden kaynaklanır.
Bir kullanıcı WhatsApp istemcilerini yeni bir cihaza bağladığında, senkronizasyon mesajları sohbet geçmişlerini ve medyayı birden çok uç noktaya yayar.
Mesaj kaynağının ve bütünlüğünün uygunsuz doğrulanması nedeniyle, ilgisiz bir kullanıcı keyfi bir URL’ye başvuran kötü niyetli bir senkronizasyon yükü oluşturabilir. Savunmasız müşteri:
- Gönderenin yetkilendirme jetonunu doğrulamadan senkronizasyon mesajını ayrıştırın.
- Ek yük verilerini almak için saldırgan kontrollü URL’ye bir GET isteği başlatın.
- WhatsApp istemcisi bağlamında JavaScript ile çalışan bir web sayfası gibi içeriği yürütün veya görüntüleyin.
Bu olay zinciri, kimlik bilgisi çalma komut dosyalarından fidye yazılımlarına kadar değişen yükleri düşürmek için kaldırılabilen uzaktan kod yürütme (RCE) veya içerik sahte etkin bir şekilde etkin bir şekilde mümkündür.
CVE-2025-55177’nin aktif fidye yazılımı kampanyalarına entegre olup olmadığı doğrulanmamış olsa da, hedeflenen kimlik avı operasyonlarındaki sömürüsü zaten gözlemlenmiştir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | WhatsApp Mesajlaşma Hizmeti |
| Darbe | Uzak Kod Yürütme |
| Önkoşuldan istismar | Saldırgan hedefe hazırlanmış bir bağlantılı cihaz senkronizasyon mesajı göndermelidir. Kurbanın cihazının etkin bir bağlantılı cihaz özelliği olmalıdır |
| CVSS 3.1 puanı | 5.4 (Orta) |
Hafifletme
CISA’nın danışmanlığı, WhatsApp’ı, özellikle kritik altyapı sektörlerindeki kişileri kullanan tüm varlıkları aşağıdaki adımları hemen uygulamaya yönlendirir:
2 Eylül 2025’te piyasaya sürülen yamayı, güvenlik danışmanlığında belirtildiği gibi meta platformlara göre uygulayın.
Bağlantılı cihaz senkronizasyon mesajlarının yalnızca kimliği doğrulanmış uç noktalardan izin verilmesini sağlayarak satıcının yapılandırma kılavuzunu uygular.
Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın çok faktörlü kimlik doğrulama ve tüm senkronizasyon olaylarının sağlam günlüğe kaydedilmesi de dahil olmak üzere bulut hizmeti güvenliği için Bağlayıcı Operasyonel Direktif (BOD) 22-01 gereksinimlerini izleyin.
CISA, güvenli bir sürüm dağıtılana kadar WhatsApp kullanımının durdurulmasını tavsiye eder. Kuruluşlar ayrıca WhatsApp istemcilerinden kaynaklanan ve sömürü girişimlerini gösterebilecek olağandışı giden HTTP talepleri için ağ trafiğini izlemelidir.
Önlem olarak, güvenlik ekipleri yama kurulumunu doğrulamalı ve sabit sürümün yetkisiz senkronizasyon yüklerini doğru bir şekilde reddettiğini doğrulamalıdır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.