Dünya çapında güvenlik ekipleri, saldırganların Cisco Adaptive Güvenlik Cihazı (ASA) 5500-X Serisi güvenlik duvarlarında yeni keşfedilen sıfır gün kırılganlıklarından yararlanmaya başladıktan sonra uyarıldı.
İhlal, bilgisayar korsanlarının, Rayinitiator ve Line Viper olarak adlandırılan sofistike kötü amaçlı yazılımlar dağıtmasına izin vererek potansiyel olarak etkilenen cihazların tam kontrolünü sağlıyor.
Bugün, GCHQ’nun bir parçası olan Ulusal Siber Güvenlik Merkezi (NCSC), savunucuların bu tehdidi tanımlamasına ve engellemelerine yardımcı olmak için ayrıntılı rehberlik yayınladı.
NCSC, son danışmanlığında derinlemesine bir kötü amaçlı yazılım analiz raporu sağladı ve kuruluşları ağlarını güvence altına almak için hızlı hareket etmeye çağırdı.
Cisco, geçen yılki ASA saldırılarının arkasındaki aynı tehdit aktörünün 5500-X serisindeki güvenlik açıklarını kullanmak için yeni teknikler geliştirdiğini doğruladı.
Tahsis edildikten sonra, saldırganlar keyfi komutlar yürütebilir, kötü amaçlı yükler yükleyebilir ve hassas verileri çıkarabilir.
Cisco’nun Güvenlik Güncelleme sayfası, sömürülen deliği kapatmak için önerilen yamalar ve yapılandırma değişikliklerini içerir.
NCSC’nin Rayinitiator ve Line Viper hakkındaki raporu, kötü amaçlı yazılımın nasıl çalıştığını özetliyor. Rayinitiator, güvenlik duvarı yapılandırmalarını değiştirerek ve gizli yönetici hesapları oluşturarak bir dayanak oluşturur.
Line Viper daha sonra, ortak algılama araçlarını tetiklemeden uzaktan komut yürütme ve veri açığa çıkmasını sağlayan bir arka kapı sağlar.
Ağ savunucuları, uzlaşma göstergelerini tespit etmek için tam analiz raporunu ve algılama kurallarını indirebilir.
Etkilenen kuruluşlara aşağıdakilere tavsiye edilir:
- Cisco’nun güvenlik yamalarını hemen uygulayın. Desteklenmeyen veya yaşam sonu bellenimi hokkabazlık riski arttırır, bu nedenle en son yazılım sürümüne güncelleme esastır.
- Güvenlik duvarı günlüklerini yakından izleyin. Olağandışı yönetim girişleri, açıklanamayan yapılandırma değişiklikleri veya tanıdık olmayan harici ana bilgisayarlara bağlantılar arayın.
- Ağ segmentasyonunu uygulayın. Kritik sistemlerin patlayan güvenlik duvarlarından patlama yarıçapını sınırlamak için izole edildiğinden emin olun.
- Olayları NCSC’ye bildirin. Erken raporlama, tehdit oyuncunun yöntemlerini izlemeye ve toplu savunmaları iyileştirmeye yardımcı olabilir.
NCSC ayrıca bazı ASA 5500-X modellerinin Eylül 2025 ve Ağustos 2026 arasında destek sonu ulaşacağını vurguladı.
Eski cihazlarda genellikle güvenlik güncellemeleri yoktur, bu da onları saldırganlar için ana hedefler haline getirir. Hala bu modelleri kullanan kuruluşlar, yedek veya yükseltme yollarını gecikmeden planlamalıdır.
NCSC baş teknoloji sorumlusu Ollie Whitehouse aciliyeti vurguladı:
“Kuruluşların satıcının tespit ve iyileştirme konusunda en iyi uygulamalarını takip etmeleri kritik öneme sahiptir. Yaşam sonu teknolojisi önemli bir risk sunar. Sistemler ve cihazlar, güvenlik açıklarını ele almak ve dayanıklılığı güçlendirmek için derhal modern versiyonlara taşınmalıdır.”
Bu uyarı, geçen yıl yayınlanan ve daha önceki Cisco ASA kötü amaçlı yazılım suşlarını, hat dansçısını ve hat koşucusunu inceleyen ortak bir danışma belgesine dayanıyor.
Yeni Rayinitiator ve Line Viper araçları, saldırgan yeteneklerinde ciddi bir yükseliş işaret ederek daha fazla gizli ve esneklik sergiliyor.
Cisco ayrıca web sitelerinde bir algılama kılavuzu yayınladı ve ASA dağıtımlarını güvence altına almak ve sürekli saldırılara karşı savunmak için adım adım tavsiyelerde bulundu.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.