Cisco, güvenli güvenlik duvarı uyarlanabilir güvenlik cihazı (ASA) ve Güvenli Güvenlik Duvarı Tehdit Savunma (FTD) yazılım platformlarında kritik bir sıfır günlük güvenlik açığının aktif olarak kullanılması konusunda acil durum güvenlik danışmanlığı uyarısı yayınladı.
CVE-2025-20333 olarak izlenen güvenlik açığı, maksimum CVSS skoru 9.9 taşır ve kimlik doğrulamalı uzak saldırganların etkilenen cihazlarda kök ayrıcalıklarıyla keyfi kod yürütmesini sağlar.
Güvenlik açığı, hem ASA hem de FTD yazılımının VPN Web Sunucusu bileşeninde bulunur ve özellikle uzaktan erişim VPN yapılandırmalarını etkinleştiren aygıtları etkiler.
Cisco’nun ürün güvenliği olay müdahale ekibi (PSIRT) aktif sömürü girişimlerini doğruladı ve bu güvenlik kusurunun kritik doğasını vurguladı ve bu da tam cihaz uzlaşmasına neden olabilir.
Cisco Asa 0 günlük RCE Güvenlik Açığı
CVE-2025-20333’ün temel nedeni, VPN Web sunucusu tarafından işlenen HTTP (S) istekleri içinde kullanıcı tarafından sağlanan girişin uygunsuz doğrulanmasında yatmaktadır.
Bu arabellek taşma güvenlik açığı (CWE-120), geçerli VPN kimlik bilgileri olan kimlik doğrulamalı saldırganların, kod yürütmeyi yükseltilmiş ayrıcalıklarla tetikleyen kötü niyetli HTTP istekleri oluşturmasını sağlar.
Savunmasız yapılandırmalar, ASA veya FTD yazılımı çalıştıran cihazları içerir ve belirli VPN özelliklerine sahip, AnyConnect IKEV2 Müşteri Hizmetleri ile Uzaktan Erişim dahil (Crypto IKEV2 Enterable
Güvenlik açığı, özellikle bu yapılandırmalar tarafından etkinleştirilen SSL dinleme soketlerini hedefler.
Sömürme işlemi, saldırganların önce geçerli VPN kullanıcı kimlik bilgileri almasını gerektirir, daha sonra hedeflenen cihazın VPN Web sunucusuna özel olarak hazırlanmış HTTP istekleri gönderebilirler.
Başarılı bir sömürü, potansiyel olarak tehdit aktörlerinin kalıcı arka kapı kurmasına, hassas ağ trafiğini peçelesine veya dahili ağ segmentlerine dönmesine izin veren kök seviyesi erişim sağlar.
Bu kırılganlığın keşfi ve araştırılması, Avustralya sinyalleri müdürlüğü, Avustralya Siber Güvenlik Merkezi, Kanada Siber Güvenlik Merkezi, İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve ABD Siber ve Altyapı Güvenlik Ajansı (CISA) dahil olmak üzere birçok uluslararası siber güvenlik ajansı arasındaki benzeri görülmemiş işbirliği içeriyordu.
Bu koordineli yanıt, sofistike tehdit aktör katılımı, muhtemelen ulus-devlet veya kritik altyapıyı hedefleyen gelişmiş kalıcı tehdit (APT) gruplarını göstermektedir.
Yetkisiz Erişim Güvenlik Açığı (CVE-2025-20362)
CVE-2025-20362, Cisco Güvenli Güvenlik Duvarı Uyarlanabilir Güvenlik Cihazı (ASA) ve Güvenli Güvenlik Duvarı Tehdit Savunma (FTD) yazılımının VPN Web sunucusundaki yetkisiz bir yetkisiz erişim güvenlik açığıdır.
CVSS 3.1 taban skoru 6.5 olan orta şiddetli olarak derecelendirilen bu kusur, uzak saldırganların kimlik doğrulamasını atlamasına ve kısıtlı URL uç noktalarına erişmesine izin verir.
Güvenlik açığı, VPN Web sunucusu tarafından ele alınan HTTP (S) isteklerinde kullanıcı tarafından sağlanan girişin yanlış doğrulanmasından kaynaklanmaktadır. Özellikle, kimlik doğrulamasını gerektiren bazı URL uç noktaları erişim kontrollerini zorunlu kılamaz.
Bir saldırgan, bu uç noktaları hedefleyen kötü amaçlı bir HTTP isteği oluşturur ve herhangi bir geçerli VPN kimlik bilgileri olmadan hassas kaynakları alabilir veya etkileşime sokabilir.
| CVE | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-20333 | Cisco Güvenli Güvenlik Duvarı ASA/FTD VPN Web Sunucusu Uzaktan Kod Yürütme Güvenlik Açığı | 9.9 | Eleştirel |
| CVE-2025-20362 | Cisco Güvenli Güvenlik Duvarı ASA/FTD VPN Web Sunucusu Yetkisiz Erişim Güvenlik Açığı | 6.5 | Orta |
Hafifletme
Cisco, güvenlik açıkları için hiçbir geçici çözüm bulunmadığını ve acil yazılım güncellemelerini tek geçerli iyileştirme stratejisi haline getirdiğini vurgulamaktadır.
Kuruluşlar, savunmasız sürümleri ve uygun sabit sürümleri tanımlamak için Cisco’nun yazılım denetleyicisi aracını kullanarak etkilenen tüm ASA ve FTD cihazlarının yamasına öncelik vermelidir.
Danışmanlık, savunmasız yapılandırmaları tanımlamak için Running Config komut gösterisini kullanarak VPN hizmetleri için tehdit algılama yapılandırmalarının gözden geçirilmesini önerir. Ağ yöneticileri, olağandışı VPN kimlik doğrulama modelleri için gelişmiş izleme uygulamalıdır ve SSL VPN uç noktalarını hedefleyen HTTP istek anomalileri.
Aktif sömürü durumu ve maksimum önem derecesi göz önüne alındığında, güvenlik ekipleri bu güvenlik açığını acil durum yama prosedürleri gerektiren kritik bir olay olarak ele almalıdır.
Cisco, bu yaklaşımın uzaktan erişim gereksinimleri için iş sürekliliğini etkileyebileceğini belirtmesine rağmen, hemen yama yapamayan kuruluşlar, operasyonel olarak mümkünse savunmasız VPN yapılandırmalarını geçici olarak devre dışı bırakmayı düşünmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
