Cisco Meraki MX ve Z serisi cihazları etkileyen kritik bir güvenlik açığı, kimlik doğrulanmamış saldırganların AnyConnect VPN hizmetlerine karşı Hizmet Reddetme (DOS) saldırıları başlatmasına izin verebilir.
CVSS skoru 8.6 ile CVE-2025-20271 olarak izlenen güvenlik açığı, 18 Haziran 2025’te yayınlandı ve güvenli uzaktan erişim için bu cihazlara dayanan kuruluşlar için önemli riskler oluşturmaktadır.
Cisco Meraki AnyConnect VPN DOS KÜÇÜK
Güvenlik açığı, etkilenen cihazlarda SSL VPN oturumları oluşturulduğunda meydana gelen değişken başlatma hatalarından kaynaklanır.
.png
)
Saldırganlar, istemci sertifikası kimlik doğrulaması etkinleştirilmiş AnyConnect VPN’yi çalıştıran savunmasız Cisco Meraki MX ve Z Serisi aygıtlarına bir dizi hazırlanmış HTTPS isteği göndererek bu kusuru kullanabilir.
Zayıflık, bağlantı işlemi sırasında değişkenlerin uygunsuz olarak başlatılmasını gösteren CWE-457 altında sınıflandırılır.
Başarılı bir şekilde sömürüldüğünde, güvenlik açığı Cisco AnyConnect VPN sunucusunun yeniden başlatılmasına neden olur, bu da yerleşik tüm SSL VPN oturumlarını derhal sonlandırır ve uzak kullanıcıları yeniden kimlik doğrulamaya zorlar.
Sürekli bir saldırı, ANYCONNECT VPN hizmetini etkili bir şekilde tamamen kullanılamaz hale getirerek meşru kullanıcıların yeni bağlantılar kurmasını önleyebilir.
Bu saldırı vektörü kimlik doğrulaması gerektirmez ve ağ üzerinden uzaktan yürütülebilir, bu da maruz kalan sistemler için özellikle tehlikeli hale getirir.
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bir destek davası çözümü sırasında bu güvenlik açığını keşfetti ve mevcut halkın sömürüsü girişiminde bulunmadı.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | MERAKI MX Serisi: MX64, MX64W, MX65, MX65W, MX67, MX67C, MX67W, MX68, MX84, MX68W, MX75, MX84, MX85, MX250, MX45, MX100, MX450, MX450, MX450, MX450, MX450, MX450, MX450, MX450; Z Serisi: Z3, Z3C, Z4, Z4C. |
| Darbe | Tamamen VPN hizmet kesintisi |
| Önkoşuldan istismar | 1. AnyConnect VPN yapılandırmasında istemci sertifikası kimlik doğrulaması etkinleştirildi. 2. Savunmasız ürün yazılımı sürümleri (MX: 16.2+; MX64/MX65: 17.6+). 3. VPN dinleyici bağlantı noktasının (TCP/443) saldırgan ağ yollarına maruz kalması. |
| CVSS 3.1 puanı | 8.6 (Yüksek) |
Etkilenen ürünler
Güvenlik açığı, MX64, MX64W, MX65, MX65W, MX67, MX68CW, MX68W, MX75, MX85, MX75, MX84, MX85, MX85, MX85, MX85, MX85, MX85, MX85, MX68, MX85, MX68, MX85, çok çeşitli Cisco Meraki cihazlarını etkiler. MX450, MX600, VMX, Z3, Z3C, Z4 ve Z4C modelleri.
Bununla birlikte, cihazlar yalnızca savunmasız Cisco Meraki MX ürün yazılımı sürümlerini çalıştırırlarsa ve istemci sertifikası kimlik doğrulaması ile AnyConnect VPN’yi özel olarak etkinleştirirse savunmasızdır.
Cisco AnyConnect VPN desteği, MX64 ve MX65 modelleri, 17.6 veya üstü ürün yazılımı gerektiren MX64 ve MX65 modelleri ile MX ürün yazılımı gerektirir.
Kuruluşlar, gösterge tablolarındaki AnyConnect Ayarları sekmesini kontrol ederek ve sertifika kimlik doğrulamasının etkin olup olmadığını doğrulayarak pozlamalarını doğrulayabilir.
Hafifletme
Cisco, 18.107.13, 18.211.6 ve 19.1.8 sürümlerindeki düzeltmeler de dahil olmak üzere birden fazla ürün yazılımı dalında bu güvenlik açığını ele alan yazılım güncellemeleri yayınladı.
Hiçbir geçici çözüm mevcut değildir, bu da yamayı tek etkili azaltma stratejisi haline getirir. Özellikle, Cisco Meraki MX400 ve MX600 modelleri, yaşam sonu durumuna girdikleri için düzeltmeler almayacaktır.
Güvenlik ekipleri artık güvenlik açığı izlemesini geleneksel ağ çevrelerinin ötesinde genişletmelidir. Çekirdek güvenlik altyapısı (VPN’ler) ile bulut tarafından yönetilen donanımın (Meraki) yakınsaması, entegre savunma stratejileri gerektiren yeni saldırı yüzeyleri yaratır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri