Cisco, güvenli güvenlik duvarı yönetim merkezi yazılımında, kimlik doğrulanmamış saldırganların yüksek ayrıcalıklarla kabuk komutlarını uzaktan yürütmesine izin verebilecek kritik bir güvenlik açığı açıkladı.
CVE-2025-20265 olarak izlenen kusur, maksimum CVSS skoru 10.0 taşır ve güvenlik duvarı yönetimi arayüzleri için yarıçap kimlik doğrulamasını kullanarak kuruluşları etkiler.
Kritik uzaktan kumanda yürütme kusuru keşfedildi
Güvenlik açığı, özellikle 7.0.7 ve 7.7.0 sürümlerini etkileyen Cisco Güvenli Güvenlik Duvarı Yönetim Merkezi (FMC) yazılımının RADIUS alt sistemi uygulamasında bulunur.
Güvenlik araştırmacıları, kimlik doğrulama aşaması sırasında kullanıcı girişinin yanlış kullanılmasının komut enjeksiyon saldırıları için bir fırsat yarattığını belirledi.
| Bağlanmak | Detaylar |
| CVE kimliği | CVE-2025-20265 |
| CVSS Puanı | 10.0 (kritik) |
| CWE | CWE-74 (komut enjeksiyonu) |
Saldırganlar, yarıçap kimlik doğrulama işlemi sırasında özel olarak hazırlanmış kimlik bilgileri göndererek bu zayıflıktan yararlanabilir ve potansiyel olarak herhangi bir kimlik doğrulaması olmadan yüksek seviyeli sistem erişimi elde edebilirler.
Güvenlik açığının kritik derecelendirmesi, etkilenen kuruluşlar üzerindeki ciddi potansiyel etkisini yansıtır.
Başarılı sömürü, saldırganlara güvenlik duvarı yönetim sistemi üzerinde tam kontrol sağlayabilir, potansiyel olarak güvenlik politikalarını değiştirmelerine, duyarlı ağ yapılandırmalarına erişmelerine veya tehlikeye atılan sistemi daha ileri ağ saldırıları için bir başlatma noktası olarak kullanmalarına izin verebilir.
Cisco, yalnızca FMC yazılım sürümleri 7.0.7 ve 7.7.0’ın RADIUS kimlik doğrulaması etkinleştirilmesinin bu saldırıya karşı savunmasız olduğunu doğruladı.
Şirket, Cisco Secure Güvenli Güvenlik Duvarı Uyarlanabilir Güvenlik Cihazı (ASA) yazılımı ve Cisco Güvenli Güvenlik Duvarı Tehdit Savunma (FTD) yazılımının bu güvenlik açığından etkilenmediğini açıkça belirtti. Şu anda, bu güvenlik açığını doğrudan ele alacak hiçbir geçici çözüm yoktur.
Ancak Cisco, kuruluşların yarıçap kimlik doğrulamasını geçici olarak devre dışı bırakmasını ve yamalar uygulanana kadar yerel kullanıcı hesapları, harici LDAP kimlik doğrulaması veya SAML tek oturum açma (SSO) gibi alternatif kimlik doğrulama yöntemlerine geçmesini önerir.
Cisco, bu güvenlik açığını tamamen ele alan ücretsiz yazılım güncellemeleri yayınladı. Etkilenen sürümleri kullanan kuruluşlar, bu kusurun kritik doğası ve etkili geçici çözümlerin olmaması göz önüne alındığında, FMC yazılımlarını derhal güncellemeye öncelik vermelidir.
Şirket, müşterilere özel maruziyetlerini belirlemek ve dağıtımları için uygun sabit yazılım sürümlerini belirlemek için Cisco yazılım denetleyici aracına danışmalarını tavsiye eder.
Kuruluşlar bu güvenlik açığını, derhal ilgi ve iyileştirme çabaları gerektiren yüksek öncelikli bir güvenlik olayı olarak ele almalıdır.
AWS Security Services: 10-Point Executive Checklist - Download for Free