Cisco, Toplantı Yönetimini etkileyen ve uzak, kimliği doğrulanmış bir saldırganın duyarlı örneklerde yönetici ayrıcalıkları kazanmasına izin verebilecek kritik bir güvenlik kusurunu gidermek için yazılım güncellemeleri yayınladı.
CVE-2025-20156 olarak takip edilen güvenlik açığı, 10,0 üzerinden 9,9 CVSS puanına sahip. Bu, Cisco Meeting Management’ın REST API’sinde bir ayrıcalık yükseltme kusuru olarak tanımlanmıştır.
Şirket Çarşamba günü yayınlanan bir danışma belgesinde “Bu güvenlik açığı, REST API kullanıcılarına uygun yetkilendirme uygulanmadığı için ortaya çıkıyor” dedi. “Bir saldırgan, belirli bir uç noktaya API istekleri göndererek bu güvenlik açığından yararlanabilir.”
“Başarılı bir istismar, saldırganın Cisco Meeting Management tarafından yönetilen uç düğümler üzerinde yönetici düzeyinde kontrol elde etmesine olanak tanıyabilir.”
Ağ ekipmanı uzmanı, güvenlik eksikliğini bildirdiği için Modux’tan Ben Leonard-Lagarde’a itibar etti. Cihaz konfigürasyonuna bakılmaksızın ürünün aşağıdaki sürümlerini etkiler:
- Cisco Meeting Management sürüm 3.9 (3.9.1’de yamalı)
- Cisco Meeting Management sürüm 3.8 ve önceki sürümler (Sabit bir sürüme geçiş_
- Cisco Meeting Management sürüm 3.10 (Güvenlik açığı yok)
Cisco ayrıca BroadWorks’ü etkileyen ve belirli Oturum Başlatma Protokolü (SIP) istekleri için uygun olmayan bellek kullanımından kaynaklanan bir hizmet reddi (DoS) kusurunu düzeltmek için yamalar yayımladı (CVE-2025-20165, CVSS puanı: 7,5). Sorun RI.2024.11 sürümünde düzeltildi.
“Bir saldırgan, etkilenen sisteme çok sayıda SIP isteği göndererek bu güvenlik açığından yararlanabilir” dedi.
“Başarılı bir istismar, saldırganın SIP trafiğini yöneten Cisco BroadWorks Ağ Sunucularına ayrılan belleği tüketmesine olanak tanıyabilir. Bellek yoksa, Ağ Sunucuları artık gelen istekleri işleyemez, bu da manuel gerektiren bir DoS durumuyla sonuçlanır iyileşmek için müdahale.”
Cisco tarafından yamalanan üçüncü güvenlik açığı CVE-2025-20128’dir (CVSS puanı: 5.3), ClamAV’ın Nesne Bağlama ve Gömme 2 (OLE2) şifre çözme rutinini etkileyen ve aynı zamanda bir DoS durumuyla sonuçlanabilecek bir tamsayı yetersiz akış hatasıdır.
Kusuru bildirdiği için Google OSS-Fuzz’ı kabul eden şirket, bir kavram kanıtlama (PoC) istismar kodunun varlığından haberdar olduğunu, ancak bunun kötü niyetli bir şekilde istismar edildiğine dair bir kanıt bulunmadığını söyledi.
CISA ve FBI Detayı Ivanti Zincirlerinden Yararlanıyor
Cisco kusurlarına ilişkin haberler, ABD hükümetinin siber güvenlik ve kolluk kuvvetlerinin, Eylül 2024’te Ivanti’nin bulut hizmeti uygulamalarına sızmak için ulus devlet korsan ekipleri tarafından silah haline getirilen iki istismar zincirinin teknik ayrıntılarını yayınlamasının ardından geldi.
Söz konusu güvenlik açıkları aşağıdaki gibidir:
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu’na (FBI) göre saldırı dizileri, bir vakada CVE-2024-8190 ve CVE-2024-9380 ile birlikte CVE-2024-8963’ün kötüye kullanılmasını içeriyordu. ve diğerinde CVE-2024-8963 ve CVE-2024-9379.
İlk istismar zincirinin Ekim 2024’te Fortinet FortiGuard Labs tarafından ifşa edildiğini belirtmekte fayda var. En az bir örnekte, tehdit aktörlerinin ilk tutunma noktasını elde ettikten sonra yanal hareket gerçekleştirdiklerine inanılıyor.
İkinci istismar zincirinin, hedef ağa erişim elde etmek için CVE-2024-8963’ü CVE-2024-9379 ile birlikte kullandığı ve ardından kalıcılık için ağ kabukları yerleştirmeye yönelik başarısız girişimlerde bulunduğu bulundu.
Ajanslar, “Tehdit aktörleri, ilk erişimi elde etmek, uzaktan kod yürütme (RCE), kimlik bilgileri elde etmek ve kurban ağlarına web kabukları yerleştirmek için listelenen güvenlik açıklarını zincirledi” dedi. “Etkilenen Ivanti cihazlarında saklanan kimlik bilgileri ve hassas verilerin tehlikeye atıldığı düşünülmelidir.