Cisco, müşterileri Cisco Güvenli Güvenlik Duvarı Uyarlanabilir Güvenlik Cihazı (ASA) yazılımı ve Cisco Güvenli Güvenlik Duvarı Tehdit Savunma (FTD) yazılımının VPN Web sunucusunu etkileyen iki güvenlik kusurunu yamaya çağırıyor.
Söz konusu sıfır gün güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-20333 (CVSS Puanı: 9.9) – HTTP (ler) de kullanıcı tarafından sağlanan girdilerin uygunsuz bir şekilde doğrulanması, geçerli VPN kullanıcı kimlik bilgilerine sahip kimlik doğrulamalı, uzaktan saldırganın, hazırlanmış HTTP istekleri göndererek etkilenen bir cihazda kök olarak yürütülmesine izin verebilecek kırılganlık ister.
- CVE-2025-20362 (CVSS Puanı: 6.5) – HTTP (S) ‘de HTTP (S)’ de kullanıcı tarafından sağlanan girdilerin uygunsuz bir şekilde doğrulanması, kimlik doğrulanmamış, uzaktan saldırganın, hazırlanmış HTTP istekleri göndererek kısıtlı URL uç noktalarına erişmesine izin verebilecek kırılganlık ister.
Cisco, her iki güvenlik açığının “sömürülme girişiminin” farkında olduğunu, ancak kimin arkasında olabileceğini veya saldırıların ne kadar yaygın olduğunu açıklamadığını söyledi. İki güvenlik açıkının kimlik doğrulamasını atlamak ve duyarlı cihazlarda kötü amaçlı kod yürütmek için zincirlendiğinden şüpheleniliyor.
Ayrıca, Avustralya Sinyalleri Müdürlüğü, Avustralya Siber Güvenlik Merkezi (ACSC), Kanada Siber Güvenlik Merkezi, İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) soruşturmayı desteklediği için kredilendirdi.
CISA Acil Durum Direktifi ED 25-03
Ayrı bir uyarıda CISA, federal kurumları hemen etkili bir şekilde potansiyel uzlaşmaları tanımlamaya, analiz etmeye ve hafifletmeye çağıran acil bir direktif yayınladığını söyledi. Buna ek olarak, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna her iki güvenlik açığı eklenmiştir ve ajanslara gerekli hafifletmeleri uygulamak için 24 saat vermiştir.
Ajans, “CISA, Cisco uyarlanabilir güvenlik cihazlarını (ASA) hedefleyen gelişmiş bir tehdit oyuncusu tarafından devam eden bir sömürü kampanyasının farkında.”
Diyerek şöyle devam etti: “Kampanya yaygındır ve ASA’larda kimliği doğrulanmamış uzaktan kod yürütme kazanmak için sıfır gün güvenlik açıklarından yararlanmanın yanı sıra yeniden başlatma ve sistem yükseltmesi yoluyla devam etmek için salt okunur belleğin (ROM) manipüle edilmesini içerir. Bu aktivite kurban ağları için önemli bir risk oluşturur.”
Ajans ayrıca, etkinliğin, daha önce Cisco da dahil olmak üzere çeşitli satıcıların Line Runner ve Line Dancer gibi kötü amaçlı yazılım aileleri sunmak için çevre ağı cihazlarını hedefleme olarak tanımlanan Arcanedoor olarak adlandırılan bir tehdit kümesiyle bağlantılı olduğunu belirtti. Etkinlik, UAT4356 (AKA Storm-1849) olarak adlandırılan bir tehdit aktörüne bağlandı.
CISA, “Bu tehdit oyuncusu ASA ROM’u en azından 2024 gibi başarılı bir şekilde değiştirme yeteneği gösterdi.” “Cisco ASA platformundaki bu sıfır gün güvenlik açıkları da Cisco Ateş Gücü’nün belirli sürümlerinde bulunur. Ateş gücü cihazlarının güvenli botu ROM’un belirlenen manipülasyonunu tespit edecektir.”