Cisco Uyarlanabilir Güvenlik Aletleri’nde (ASA) sıfır gün güvenlik açıkları yoluyla kuruluşları ihlal etmeyi amaçlayan yaygın bir kampanya, ABD, İngiltere, Kanada ve Avustralya siber güvenlik ajansları tarafından açıklandı.
Arkasındaki şüpheli devlet destekli tehdit aktörünün, 2023 ve 2024 yıllarında Arcanedoor Saldırı Kampanyası’nı sürdüren, bir kaza dökümü (“hat dansçısı”) oluşturulmasını devre dışı bırakmak ve önlemek için özel kötü amaçlı yazılım kullandıklarında ve yeniden çekimlere ve yükseltmelerine rağmen devam edecek bir arka kapı kurmak (hat koşucusu ”) olduğuna inanılıyor.
Sömürülen güvenlik açıkları
Cisco, Perşembe günü üç güvenlik açıklaması yayınladı ve bunlardan ikisi tehdit oyuncusu tarafından sömürülen üç güvenlik açıkını detaylandırdı:
- CVE-2025-20362 Cisco Güvenli Güvenlik Duvarı Uyarlanabilir Güvenlik Cihazı (ASA) yazılımı ve Cisco Güvenli Güvenlik Duvarı Tehdit Savunma (FTD) yazılımının VPN Web sunucusunu etkiler ve kimlik doğrulanmamış, uzak saldırganların kimlik doğrulaması olmadan kısıtlı URL uç noktalarına erişmesine izin verir
- CVE-2025-20333 Aynı yazılımın VPN Web sunucusunu da etkiler ve kimlik doğrulamalı uzak saldırganların etkilenen bir cihazda keyfi kod yürütmesine izin verir
Cisco, “Toplanan kanıtlar güçlü bir şekilde CVE-2025-20333 ve CVE-2025-20362’nin mevcut saldırı kampanyasında saldırgan tarafından kullanıldığını gösteriyor” dedi.
Onların sömürülebilirliği, etkinleştirilen belirli özelliklere veya belirli konfigürasyonların varlığına bağlıdır.
Üçüncü Bir Uzaktan Kod Yürütme Güvenlik Açığı – CVE-2025-20363 -Yukarıda belirtilen yazılımı, aynı zamanda çeşitli eski ve modern kurumsal netwrking cihazlarında ve üst düzey taşıyıcı sınıf yönlendiricileri üzerinde çalışan iOS, iOS XE ve iOS XR yazılımını da etkiler.
Bu kusur saldırılarla ilgili soruşturma sırasında keşfedilmiş olsa da, sömürüldüğüne dair bir gösterge yoktur.
Saldırılar hakkında daha fazla bilgi
“Mayıs 2025’te Cisco, devlet kuruluşlarına, Cisco Güvenli Güvenlik Cihazı (ASA) 5500-X Serisi cihazlarını, VPN Web Hizmetleri ile Implant Malware’e etkinleştirilen VPN Web Hizmetleri ile CISCO’dan CISCO’dan CISCO’dan Sınırlar” ile çalıştıran saldırıların soruşturulmasını desteklemek için olay müdahale hizmetleri sunan birden fazla devlet kurum tarafından meşgul oldu.
Şirketin araştırmacıları, gelişmiş algılama özelliklerine sahip enstrüman görüntüleri kullandılar, müşterilerin tehlikeye atılan ortamlardan paket yakalamalarını analiz etmesine yardımcı oldu ve enfekte cihazlardan çıkarılan ürün yazılımı analiz ettiler.
Arcane kapı saldırısı kampanyasında olduğu gibi, tehdit oyuncusu birden fazla sıfır günlük güvenlik açıklarından yararlandığını ve tanısal analizi önlemek için günlüğü devre dışı bırakma, CLI komutlarını ele geçirme ve kasıtlı olarak çökme gibi ileri kaçış tekniklerini kullandığını keşfettiler.
Şirket, “Onaylanmış uzlaştırılmış cihazların adli analizimiz sırasında, bazı durumlarda Cisco, yeniden başlatmalar ve yazılım yükseltmeleri arasında kalıcılığa izin vermek için Rommon’u değiştiren tehdit oyuncusunu gözlemledi” dedi.
Rommon, ASA işletim sisteminden önce çalışan ROM’da depolanan düşük seviyeli bootstrap programıdır.
Bu spesifik değişiklikler sadece Cisco ASA 5500-X Serisi platformlarında Güvenli Önyükleme ve Güven Ankraj Technologies’in geliştirilmesinden önce yayınlanmıştır: 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ve 5585-X.
Cisco, bu teknolojileri destekleyen daha yeni Cisco ASA 5500-X serisi modellerinin sıfır günler aracılığıyla tehlikeye atılmadığını ve rommonlarının değiştirilmediğini belirtti. Ayrıca, Cisco Güvenli Güvenlik Duvarı Tehdit Savunma (FTD) yazılımını çalıştıran herhangi bir cihazın başarıyla tehlikeye atıldığına dair bir kanıt yoktur.
Atılacak adımlar
Cisco, savunmasız cihazların yapması gereken kuruluşların yapması gereken eylemleri önerdi ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ABD federal ajanslarını sipariş eden bir acil durum direktifi yayınladı:
- Cisco Asa ve Cisco Ateş Gücü Cihazlarının tüm örneklerini çalıştırın
- 26:59 EST 26 Eylül’e kadar adli analiz için bellek dosyalarını CISA’ya toplayın ve iletin
- Cisco tarafından sağlanan yamaları uygulayın ve destek sonu cihazlarının bağlantısını kesin
- Geri ihlal edilen hesaplar için av
Nasıl yapılacağına dair talimatlar burada bulunabilir.
İngiltere Ulusal Siber Güvenlik Merkezi, saldırganların kullandığı kötü amaçlı yazılım analizlerini paylaştı:
- Rayinitiator-Yeniden başlatmalardan ve ürün yazılımından kurtulan kalıcı çok aşamalı bir bootkit
yükseltmeler ve - Line Viper-İlişkili modüllere sahip, CLI komutlarını yürütebilen, paket yakalamaları gerçekleştirebilen, aktör cihazları için AAA’yı atlayabilen, syslog mesajlarını bastırma, kullanıcı CLI komutlarını hasat etme ve gecikmeli yeniden başlatma zorlama kullanıcı modülleri olan bir kullanıcı modu kabuk kodu yükleyici
Ayrıca varlıklarını tespit etmek için senaryolar sağladılar.
NCSC, “Rayinitiator ve Line Viper kötü amaçlı yazılım, hem sofistike hem de tespitten kaçınma yeteneğinde, önceki kampanyada kullanılan önemli bir evrimi temsil ediyor” dedi.
“Kuruluşlardan Cisco’nun güvenlik güncellemeleri uygulanması da dahil olmak üzere önerilen iyileştirme tavsiyelerini takip etmeleri ve NCSC’ye herhangi bir uzlaşma kanıtını bildirmeleri isteniyor. Bazı Cisco ASA 5500-X Serisi modelleri Eylül 2025 ve Ağustos 2026’dan itibaren destek vermeyecek, NCSC güçlü bir şekilde öneriliyor, bu tür tanımların değiştirilmesi veya yükseltilmesi gerektiğinde.”
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!