Cisco Systems, ağ oluşturma ve güvenlik ürün portföyü boyunca Internet Key Exchange 2 (IKEV2) özelliğinde çok sayıda kritik güvenlik açıklarını ele alan yüksek öncelikli bir güvenlik danışmanlığı yayınladı.
14 Ağustos 2025’te yayınlanan danışmanlık, kimlik doğrulanmamış uzak saldırganların etkilenen cihazlara karşı hizmet reddi saldırıları başlatmasını sağlayarak potansiyel olarak sistem çökmelerine ve hizmet kesintilerine neden olabilecek altı ayrı güvenlik açıklarını uyarıyor.
Kritik Kusurlar Uzak DOS’u mümkün kılar
CVE-2025-20224, CVE-2025-20225, CVE-2025-20252, CVE-2025-20252, CVE-2025-20252, CVE-2025-20252, CVE25-2025-20252, CVE-2025-20254, CIV2 paketlerinin uygulamalı işlenmelerinden STEM uygulamalarında izlenen güvenlik açıkları.
En şiddetli güvenlik açığı olan CVE-2025-20253, etkilenen sistemler üzerinde önemli etki potansiyeli ile yüksek bir şiddet gösteren 8.6 CVSS taban skoru taşır.
Bu kusurlar çeşitli saldırı vektörleri ve potansiyel etkiler sunar:
- Saldırı yöntemi: Saldırganlar, savunmasız cihazlara özel hazırlanmış paketler göndererek IKEV2 protokolünden yararlanabilir.
- Kaynak tükenmesi: Başarılı sömürü, egzoz sistemi kaynaklarına neden olan sonsuz döngülere neden olabilir.
- Hafıza Sorunları: Saldırılar sistem istikrarsızlığına yol açan bellek sızıntılarını tetikleyebilir.
- İOS/iOS XE Etkisi: Cisco IOS ve iOS XE yazılımı için saldırılar derhal cihaz yeniden başlatmalarını zorlayabilir.
- ASA/FTD Etkisi: Cisco Güvenli Güvenlik Duvarı ASA ve FTD yazılımı kısmi bellek tükenmesi yaşayabilir, yeni VPN oturum kurulmasını önleyebilir ve kurtarma için manuel sistem yeniden başlatmaları gerektirebilir.
Güvenlik açıkları özellikle ilgilidir, çünkü kimlik doğrulaması gerektirmezler ve ağ bağlantıları üzerinden uzaktan sömürülebilirler.
Cisco’nun ürün güvenliği olay müdahale ekibi, hiçbir kamu sömürüsü gözlenmemiş olsa da, danışmanlıkta verilen teknik detayların potansiyel olarak kötü niyetli aktörler tarafından kaldırılabileceğini doğruladı.
Etkilenen birden fazla ürün, tespit mevcut
Güvenlik açıkları, iOS yazılımı, iOS XE yazılımı, güvenli güvenlik duvarı uyarlanabilir güvenlik cihazı (ASA) yazılımı ve Güvenli Güvenlik Duvarı Tehdit Savunma (FTD) yazılımı dahil olmak üzere birden fazla Cisco ürün ailesini etkiler.
Bununla birlikte, kapsam spesifik CVE’ye göre değişir, bazıları dört ürün hattını da etkilemektedir, bazıları ise sadece ASA ve FTD sistemleri ile sınırlıdır.
Potansiyel olarak etkilenen sistemleri çalıştıran kuruluşlar için Cisco, ayrıntılı algılama yöntemleri sağlamıştır. IOS ve iOS XE kullanıcıları, IKE işleminin etkin olup olmadığını ve ardından IKEV2 kullanımını onaylamak için “Kripto Haritası Göster” i belirlemek için “UDP | 500’i show” komutunu kullanarak güvenlik açığı maruziyetini kontrol edebilirler.
ASA ve FTD dağıtımları için yöneticiler, IKEV2’nin herhangi bir arayüzde etkin olup olmadığını belirlemek için “Running-Config Crypto IKEV2 |
Özellikle, güvenlik açıkları Cisco’nun iOS XR yazılımını, Meraki ürünlerini, NX-OS yazılımını veya Güvenli Güvenlik Duvarı Yönetim Merkezi (FMC) yazılımını etkilemez ve Cisco’nun daha geniş ürün ekosistemindeki potansiyel etki kapsamını sınırlar.
Mevcut güncellemeler, geçici çözüm yok
Cisco, belirlenen tüm güvenlik açıklarını ele alan kapsamlı yazılım güncellemeleri yayınladı ve yamaları aktif hizmet sözleşmeleri olan müşteriler için standart destek kanalları aracılığıyla kullanılabilir hale getirdi.
Şirket, bu güvenlik açıkları için hiçbir geçici çözüm bulunmadığını ve yazılım güncellemelerini tek etkili azaltma stratejisi haline getirdiğini vurgulamaktadır.
Networking Giant, müşterilerin savunmasız sürümleri belirlemelerine ve uygun yükseltme yollarını belirlemelerine yardımcı olmak için yazılım denetleyici aracını dağıttı.
Yüksek şiddet derecelendirmeleri ve alternatif koruyucu önlemlerin eksikliği göz önüne alındığında, kuruluşlara bu güncellemelere öncelik vermeleri şiddetle tavsiye edilir.
Servis sözleşmeleri olmayan müşteriler, ücretsiz güvenlik güncellemelerine hak kazanmanın kanıtı olarak Cisco’nun Teknik Yardım Merkezine güvenlik danışmanlığının kanıtı ile iletişime geçerek gerekli yamaları alabilirler.
AWS Security Services: 10-Point Executive Checklist - Download for Free