Cisco, yaygın olarak kullanılan IOS ve IOS XE Yazılımında, potansiyel olarak saldırganların cihazları çökertmesine veya uzaktan kod yürütme yoluyla tam kontrolü ele geçirmesine olanak tanıyan ciddi bir güvenlik açığını açıkladı.
Basit Ağ Yönetimi Protokolü (SNMP) alt sisteminden kaynaklanan kusur, saldırganların IPv4 veya IPv6 ağları üzerinden özel hazırlanmış bir SNMP paketiyle tetikleyebileceği yığın taşması durumundan kaynaklanıyor.
Bu sorun tüm SNMP sürümlerini etkiliyor ve halihazırda kullanımda görülüyor; bu da ağ yöneticilerinin hızlı bir şekilde harekete geçmesinin aciliyetini vurguluyor.
Güvenlik açığı iki ana saldırı vektörünü etkinleştirir. SNMPv2c salt okunur topluluk dizeleri veya geçerli SNMPv3 kimlik bilgileriyle donanmış, düşük ayrıcalıklı, kimliği doğrulanmış bir uzak saldırgan, bir hizmet reddi (DoS) durumuna neden olarak etkilenen cihazları yeniden yüklemeye zorlayabilir ve ağ işlemlerini kesintiye uğratabilir.
Daha da endişe verici olanı, yönetim erişimi veya ayrıcalık düzeyi 15 olan yüksek ayrıcalıklı bir saldırganın, IOS XE cihazlarında kök kullanıcı olarak rastgele kod çalıştırarak sistemin tamamen ele geçirilmesine olanak sağlamasıdır.
Cisco’nun Ürün Güvenliği Olayına Müdahale Ekibi (PSIRT), Teknik Yardım Merkezi destek vakası sırasında bunu keşfetti ve gerçek dünyadaki istismarlar, tehlikeye atılan yerel yönetici kimlik bilgilerinin ardından geldi.
Bu kusur, kurumsal altyapılar için gerekli olan yönlendiriciler, anahtarlar ve erişim noktaları da dahil olmak üzere, SNMP etkinleştirilmiş, savunmasız IOS veya IOS XE sürümlerini çalıştıran çok çeşitli Cisco cihazlarını etkilemektedir.
Etkilenen nesne kimliğini (OID) açıkça hariç tutmayan cihazlar risk altında kalır. Özellikle IOS XR Yazılımı ve NX-OS Yazılımının etkilenmemesi, bu platformların kullanıcılarına bir miktar rahatlama sağlıyor.
Potansiyel sonuç oldukça önemlidir: DoS saldırıları kritik hizmetleri durdurabilir; kök düzeyinde kod yürütme ise veri hırsızlığına, ağlarda yanal harekete veya kötü amaçlı yazılım dağıtımına olanak sağlayabilir.
SNMP’nin cihaz izleme için her yerde mevcut olduğu göz önüne alındığında, birçok kuruluş farkında olmadan varsayılan yapılandırmaları olduğu gibi bırakarak kendilerini açığa çıkarır.
Azaltmalar
Cisco, tam bir geçici çözümün mevcut olmadığını ancak hafifletme önlemlerinin acil tehditleri engelleyebileceğini vurguluyor. Yöneticiler SNMP erişimini yalnızca güvenilir kullanıcılarla kısıtlamalı ve “snmp ana bilgisayarını göster” CLI komutu aracılığıyla izleme yapmalıdır.
Önemli bir adım, kısıtlı bir görünüm oluşturmak için “snmp-server view” komutunu kullanarak savunmasız OID’leri devre dışı bırakmayı ve ardından bunu topluluk dizelerine veya SNMPv3 gruplarına uygulamayı içerir. Meraki bulut tarafından yönetilen anahtarlar için bu değişikliklerin uygulanması amacıyla destek ekibiyle iletişime geçilmesi önerilir.
Yamalar artık Cisco’nun Eylül 2025 Altı Aylık Güvenlik Tavsiye Paketi Yayını aracılığıyla edinilebilir. Kullanıcılar, Cisco Yazılım Denetleyicisi aracını kullanarak maruziyeti doğrulayabilir ve sabit sürümleri bulabilir.
SNMP durumunu kontrol etmek için v1/v2c için “show Running-config | include snmp-server Community” veya v3 için “show snmp user” gibi CLI komutlarını çalıştırın.
Cisco, gecikmelerin daha fazla istismara yol açabileceği uyarısında bulunarak, güçlendirilmiş yazılımlara derhal yükseltme yapılması çağrısında bulunuyor. Ağlar birbirine daha fazla bağlı hale geldikçe, bu tür güvenlik açıkları, sıkı SNMP sağlamlaştırma ve proaktif düzeltme eklerine olan ihtiyacın altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
