Cisco bugün müşterilerini, Güvenli E-posta Ağ Geçidi (SEG) ve Güvenli E-posta ve Web Yöneticisi (SEWM) cihazlarını hedef alan saldırılarda aktif olarak kullanılan yamasız, maksimum önem derecesine sahip Cisco AsyncOS sıfır gün konusunda uyardı.
Henüz yama uygulanmayan bu sıfır gün (CVE-2025-20393), Spam Karantinası özelliği etkinleştirildiğinde ve İnternette kullanıma sunulduğunda yalnızca standart dışı yapılandırmalara sahip Cisco SEG ve Cisco SEWM cihazlarını etkiler.
Şirketin tehdit istihbaratı araştırma ekibi Cisco Talos, kök ile rastgele komutlar yürütmek ve AquaShell kalıcı arka kapılarını, AquaTunnel ve Chisel ters SSH tüneli kötü amaçlı yazılım implantlarını ve AquaPurge adlı bir günlük temizleme aracını dağıtmak için bu güvenlik kusurunu kötüye kullanan saldırıların arkasında UAT-9686 olarak takip edilen Çinli bir tehdit grubunun olduğuna inanıyor. Bu GitHub deposunda uzlaşma göstergeleri mevcuttur.
AquaTunnel ve bu saldırılarda kullanılan diğer kötü amaçlı araçlar, geçmişte UNC5174 ve APT41 gibi Çin devleti destekli diğer bilgisayar korsanlığı gruplarıyla da ilişkilendirilmişti.
Cisco Talos, Çarşamba günü yayınlanan bir danışma belgesinde, “UAT-9686 olarak takip ettiğimiz düşmanın, araç kullanımı ve altyapısı diğer Çin tehdit gruplarıyla tutarlı olan, Çin bağlantılı gelişmiş kalıcı tehdit (APT) aktörü olduğunu orta düzeyde bir güvenle değerlendiriyoruz.” dedi.
“Bu aktivitenin bir parçası olarak UAT-9686, ters tünel açma ve günlükleri temizlemeye yönelik ek araçlarla birlikte AquaShell olarak takip ettiğimiz özel bir kalıcılık mekanizmasını kullanıyor.”
Şirket bu saldırıları 10 Aralık’ta tespit etse de kampanya en azından Kasım 2025’in sonlarından beri aktif.
Savunmasız cihazlara erişimi kısıtlayın
Cisco, bu sıfır gün kusurunu gidermek için henüz güvenlik güncellemeleri yayınlamasa da şirket, yöneticilere güvenlik açığı bulunan cihazların erişimini güvence altına almalarını ve kısıtlamalarını tavsiye etti. Öneriler arasında internet erişiminin sınırlandırılması, güvenilir ana bilgisayarlarla bağlantıların kısıtlanması ve trafiği filtrelemek için cihazların güvenlik duvarlarının arkasına yerleştirilmesi yer alıyor.
Yöneticiler ayrıca posta işleme ve yönetim işlevlerini ayırmalı, olağandışı etkinliklere karşı web günlüklerini izlemeli ve günlükleri soruşturmalar için saklamalıdır.
Ayrıca gereksiz hizmetleri devre dışı bırakmanız, sistemleri en son Cisco AsyncOS yazılımıyla güncel tutmanız, SAML veya LDAP gibi güçlü kimlik doğrulama yöntemleri uygulamanız, varsayılan şifreleri değiştirmeniz ve yönetim trafiğini güvence altına almak için SSL veya TLS sertifikaları kullanmanız önerilir.
Cisco, cihazlarının zaten yüklü olup olmadığını kontrol etmek isteyen müşterilere sordu. Cisco Teknik Yardım Merkezi (TAC) vakası açmak için güvenliği ihlal edilmiştir ve rehberin takip edilmesi önemle tavsiye edilir Bugünkü güvenlik danışma belgesinin Öneriler bölümünde.
Cisco, “Bir cihazın web yönetim arayüzüne veya Spam Karantina bağlantı noktasına sahip olduğu ve internete açık olduğu ve internetten erişilebildiği tespit edilirse, Cisco, mümkün olduğunda cihazı güvenli bir yapılandırmaya geri yüklemek için çok adımlı bir sürecin izlenmesini şiddetle tavsiye eder” diye uyardı.
“Cihazın geri yüklenmesi mümkün değilse Cisco, cihazın güvenliğinin ihlal edilip edilmediğini kontrol etmek için TAC ile iletişime geçmenizi önerir. Güvenliğin ihlal edildiği doğrulanırsa, cihazların yeniden inşa edilmesi şu anda tehdit aktörlerinin kalıcılık mekanizmasını cihazdan ortadan kaldırmak için tek geçerli seçenektir.”
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.