Cisco, Kasım 2025’ten bu yana Güvenli E-posta Ağ Geçidi (SEG) ve Güvenli E-posta ve Web Yöneticisi (SEWM) cihazlarına yönelik saldırılarda istismar edilen maksimum önem derecesine sahip Cisco AsyncOS sıfır gün sorununu nihayet yamaladı.
Cisco’nun Aralık ayında güvenlik açığını (CVE-2025-20393) açıkladığında açıkladığı gibi, Spam Karantinası özelliği etkinleştirildiğinde ve internette açığa çıktığında bu durum yalnızca standart dışı yapılandırmalara sahip Cisco SEG ve Cisco SEWM cihazlarını etkiliyor.
Cisco, “Cisco Güvenli E-posta Ağ Geçidi, Güvenli E-posta, AsyncOS Yazılımı ve Web Yöneticisi cihazları, tehdit aktörlerinin etkilenen bir cihazın temel işletim sistemi üzerinde kök ayrıcalıklarıyla rastgele komutlar yürütmesine olanak tanıyan uygunsuz bir giriş doğrulama güvenlik açığı içeriyor” dedi.
Güvenlik açığı bulunan cihazların sabit bir yazılım sürümüne yükseltilmesine ilişkin ayrıntılı talimatlar bu güvenlik danışma belgesinde mevcuttur.
Şirketin tehdit istihbaratı araştırma ekibi Cisco Talos, UAT-9686 olarak takip edilen Çinli bir bilgisayar korsanlığı grubunun, kök ayrıcalıklarıyla keyfi komutlar yürütme kusurunu kötüye kullanan saldırıların arkasında büyük olasılıkla olduğuna inanıyor.
Saldırıları araştırırken Cisco Talos, tehdit aktörlerinin AquaShell kalıcı arka kapılarını, AquaTunnel ve Chisel ters SSH tüneli kötü amaçlı yazılım implantlarını ve kötü niyetli etkinliklerinin izlerini silmek için AquaPurge günlük temizleme aracını kullandıklarını gözlemledi.
AquaTunnel ve bu kampanyada kullanılan diğer kötü amaçlı araçlar, geçmişte APT41 ve UNC5174 gibi Çin devleti destekli diğer tehdit gruplarıyla da ilişkilendirilmişti.
Cisco Talos, “UAT-9686 olarak takip ettiğimiz düşmanın, araç kullanımı ve altyapısı diğer Çin tehdit gruplarıyla tutarlı olan, Çin bağlantılı gelişmiş kalıcı tehdit (APT) aktörü olduğunu orta düzeyde bir güvenle değerlendiriyoruz” dedi.
“Bu aktivitenin bir parçası olarak UAT-9686, ters tünel açma ve günlükleri temizlemeye yönelik ek araçlarla birlikte AquaShell olarak takip ettiğimiz özel bir kalıcılık mekanizmasını kullanıyor.”
CISA ayrıca 17 Aralık’ta bilinen istismar edilen güvenlik açıkları kataloğuna CVE-2025-20393’ü ekledi ve federal kurumlara, Bağlayıcı Operasyonel Direktif (BOD) 22-01’in zorunlu kıldığı şekilde 24 Aralık’a kadar bir hafta içinde Cisco’nun rehberliğini kullanarak sistemlerini güvence altına almalarını emretti.
CISA, “Maruziyeti değerlendirmek ve riskleri azaltmak için lütfen Cisco’nun yönergelerine uyun. Bu güvenlik açığından etkilenen, internetten erişilebilen tüm Cisco ürünlerinde olası risk işaretlerini kontrol edin. Satıcı tarafından sağlanan son hafifletici önlemleri, kullanılabilir olur olmaz uygulayın.” dedi.
“Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor.”
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.