Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Cisco’nun iOS ve iOS XE yazılımı SNMP alt sistemindeki tehdit aktörleri tarafından aktif olarak kullanılmayan kritik güvenlik açıkları hakkında bir uyarı yayınladı.
Basit Ağ Yönetimi Protokolü (SNMP) uygulamasında yığın tabanlı bir tampon taşması içeren CVE-2025-20352, CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna resmi olarak eklenmiştir.
Ağ savunucuları ve güvenlik ekipleri, bu danışmanlığı en büyük öncelik olarak ele almaları ve etkilenen altyapıyı korumak için derhal harekete geçmeleri istenir.
Cisco ilk olarak 17 Eylül 2025’te CVE-2025-20352’yi açıkladı ve hatalı formlu bir SNMP paketinin IOS ve iOS XE’nin etkilenen sürümlerinde yığın tabanlı bir tampon taşmasını nasıl tetikleyebileceğini açıkladı.
Başarılı bir istismar iki saldırı yolu ile sonuçlanabilir: düşük ayrıcalıklı rakipler, cihazın yeniden yüklenmesine neden olabilir, bu da bir hizmet reddi (DOS) koşuluna yol açabilirken, yüksek ayrıcalıklı saldırganlar kök seviyesi izinleri ile keyfi kod uygulayabilir ve potansiyel olarak sistem üzerinde tam kontrol elde edebilir. Güvenlik açığı CWE-121: Yığın Tabanlı Tampon Taşması altında izlenir.
Yabancı sömürü kanıtı, güvenlik telemetrisi ve tehdit istihbarat yemlerinden ortaya çıkmıştır, bu da kötü niyetli aktörlerin internette maruz kalan SNMP uç noktalarını tanımlamak için otomatik tarama araçlarından yararlandığını göstermektedir.
Belirli bir tehdit grubunun veya fidye yazılımı kampanyasının yalnızca sorumlu olup olmadığı belirsiz olmasına rağmen, Cisco yönlendiricilerinin ve işletme ve hizmet sağlayıcı ağlarındaki anahtarların yaygınlığı göz önüne alındığında risk profili önemlidir.
CISA’nın CVE-2025-20352’yi KEV kataloğuna dahil etmesi, organizasyonları, rakipler tarafından silahlandırılan güvenlik açıkları üzerindeki işlem yapılabilir zeka ile donatma taahhüdünün altını çiziyor. KEV kataloğu, gerçek dünya saldırılarında onaylanmış sömürü ile güvenlik açıkları için kesin depo görevi görür.
Güvenlik ekiplerine, KEV kataloğunu güvenlik açığı yönetimi süreçlerine entegre etmesi ve önceliklendirme ve yamalama faaliyetlerini artırmak için kullanmaları tavsiye edilir.
Etki ve risk
- Hizmet Reddetme: Kimlik doğrulanmamış bir saldırgan, ağ kullanılabilirliğini bozarak cihazı çökerp yeniden yüklemek için özel olarak hazırlanmış bir SNMP isteği gönderebilir.
- Uzaktan Kod Yürütme: İmtiyazlı bir saldırgan veya önceki uzlaşma yoluyla yüksek erişim elde eden bir düşman, kök altyapının gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atarak kök kullanıcı olarak keyfi kod yürütebilir.
- Potansiyel Yanal Hareket: Kontrol elde edildikten sonra, saldırganlar dahili kaynaklara dönebilir, ek kötü amaçlı yazılımlar kullanabilir veya hassas verileri dışarı atabilir.
Cisco, iOS ve iOS XE’deki SNMP arabellek taşma sorunlarını ele alan yazılım güncellemeleri yayınladı. Yöneticiler aşağıdaki adımları gecikmeden uygulamalıdır:
- CVE-2025-20352 için Cisco Güvenlik Danışmanlığı’nı gözden geçirin ve etkilenen yazılım sürümlerini belirleyin.
- Satıcı tarafından sağlanan yamaları veya yazılım sürümlerini indirin ve yükleyin.
- Anında yama mümkün değilse, SNMP’yi devre dışı bırakın veya erişim kontrol listeleri (ACL’ler) aracılığıyla SNMP erişimini yalnızca güvenilir yönetim ana bilgisayarlarına kısıtlayın.
- Aktif sömürü girişimlerini gösteren olağandışı SNMP trafik modelleri için ağ cihazlarını izleyin.
- CISA’nın Bitiş Noktası Koruması ve Günlük Gereksinimlerini Uygulamak için Paylaşılan ve Bulut Hizmetleri için 22-01 Kılavuzunu İzleyin.
Azaltma, pratik olmayan-desteklenmeyen eski donanım gibi-organizasyonların etkilenen ürünlerin kullanımını durdurmayı veya ağ segmentasyonu, katı ACL uygulaması ve bant dışı yönetim dahil olmak üzere sağlam telafi kontrollerini uygulamayı düşünmelidir.
Ağ savunucuları için öneriler
KEV kataloğunu bir güvenlik açığı yönetimi çerçevesine entegre etmek, görünürlüğü altyapının karşılaştığı en kritik tehditlere geliştirir.
Yama döngülerini ve risk değerlendirmelerini KEV girişleriyle hizalayarak, ekipler CVE-2025-20352 gibi yüksek etkili güvenlik açıklarının hemen dikkat çekmesini sağlayabilir.
Ağ yapılandırmalarını düzenli olarak denetlemek, en az ayrıcalık ilkesini uygulamak ve güncel ürün yazılımını sürdürmek en iyi uygulamalardır.
Etkili olay müdahale planları, DOS ve RCE senaryoları için oyun kitaplarını içermeli ve Cisco desteği ve CISA kaynaklarına açık yükseliş yolları.
Güvenlik operasyonları, ağ mühendisliği ve üst düzey liderlik arasındaki işbirliği, hızlı iyileştirme için kaynakları tahsis etmek için hayati önem taşır.
CVE-2025-20352’nin CISA’nın KEV kataloğuna eklenmesi, ağ altyapısını hedefleyen gelişen tehdit manzarasını göstermektedir. Cihazları proaktif olarak güncelleyen, katı SNMP kontrollerini uygulayan ve yetkili güvenlik açığı istihbaratından yararlanan kuruluşlar, bu yüksek şiddetli saldırılara maruz kaldıklarını önemli ölçüde azaltacaktır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.