Cisco Adaptive Güvenlik Cihazı (ASA) Birleşik Tehdit Yönetimi (UTM) Ailesinde bulunan güvenlik açıkları yoluyla düzenlenen siber saldırılar kampanyası, kullanıcıların hem İngiliz hem de Amerikan yetkililerinden, modası geçmiş, destek dışı ekipmanı çıkarmaları ve atmaları için uyarılara neden oldu.
Cisco Asa, 2000’li yıllara giriş üzerine, Cisco’nun daha önce güvenlik duvarları, saldırı önleme ve sanal özel ağlar da dahil olmak üzere bağımsız biçimde sunduğu çeşitli işlevleri yerine getiren çok amaçlı bir güvenlik cihazları hattıdır. Bu güne kadar, özellikle küçük ve orta ölçekli işletmeler (KOBİ’ler) arasında kullanımda olmaya devam ediyor.
Uyarı, teknolojideki iki farklı kusurdan kaynaklanmaktadır-CVE-2025-20333, uzaktan kod yürütmeyi (RCE) ve CVE-2025-20362’yi etkinleştirerek ayrıcalıkların (EOP) yükselmesini mümkün kılar. Üçüncü keyfi bir kod yürütme güvenlik açığı olan CVE-2025-20363 de tanımlanmıştır, ancak bu özel uyarı kapsamında değildir.
Cisco, sorunların Cisco ASA 5500-X Serisi modellerini, Cisco ASA yazılım sürümü 9.12 veya 9.14’ü çalıştıran VPN Web Hizmetleri etkinleştirildiğini söyledi. Dahil olan belirli modeller, bazıları 2017’de yaşam sonu durumuna ulaşan 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ve 5585-X’dir. Bunlardan ikisi, 5512-X ve 5515-X 2022’den bu yana desteğin dışında kalmıştır.
Ulusal Siber Güvenlik Merkezi (NCSC), uygulanabilir olduğu yerlerde, önümüzdeki 12 ay boyunca desteğe düşen ASA modellerinin değiştirilmesi ve eski, yaşam sonu donanımının ortaya çıkabileceği önemli risklere dikkat çekmesi gerektiği konusunda şiddetle tavsiye edilir.
NCSC Baş Teknoloji Sorumlusu Ollie Whitehouse, “Kuruluşların, özellikle tespit ve iyileştirme konusunda vurgulanan önerilen eylemleri not etmeleri çok önemlidir” dedi.
“Ağ savunucularını satıcının en iyi uygulamalarını takip etmeye ve soruşturmalarına yardımcı olmak için NCSC’nin kötü amaçlı yazılım analiz raporuyla etkileşime girmeye şiddetle teşvik ediyoruz.
“Yaşam sonu teknolojisi kuruluşlar için önemli bir risk sunuyor. Sistemler ve cihazlar, güvenlik açıklarını ele almak ve dayanıklılığı güçlendirmek için derhal modern sürümlere taşınmalıdır” dedi.
27-28 Eylül hafta sonundan önce yayınlanan bir acil durum direktifinde, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Amerikan Hükümeti içindeki tüm kullanıcıları Cisco ASA cihazlarını ve aynı zamanda etkilenen Cisco Ateş Gücü Cihazlarını hesaba katmaya ve güncellemeye yönlendirdi.
CISA, NCSC’nin uyarısını destekledi ve 30 Eylül 2025 Salı günü veya daha önce düşen bir destek sonu tarihine sahip ASA donanım modellerinin bulunması durumunda, bunların derhal kalıcı olarak bağlantısı kesilmesi gerektiğini söyledi.
“Bu eski platformlar [and/or] Yayınlar mevcut satıcı destek ve güncelleme gereksinimlerini karşılayamaz ”dedi.
Sorun nedir?
Cisco’ya göre, en son güvenlik açıkları, Nisan 2024’te ilk ortaya çıkan ve ulus devlet destekli bir tehdit oyuncusunun çalışması olduğu düşünülen Arcanedoor kampanyasının arkasındaki tehdit oyuncusu tarafından sömürülüyor.
Bu etkinliğin bundan birkaç ay önce, Cisco’nun Talos Tehdit Intel Birimi’nin Kasım 2023’te aktif olan saldırgan kontrollü altyapı ve o yılın Temmuz ayında önceki istismarlar için olası test ve geliştirme faaliyetlerini belirlediği düşünülmektedir.
Cisco, devlet kurumları da dahil olmak üzere etkilenen birden fazla müşteriyle bir süredir en son saldırı serisini araştırmaya çalıştığını söyledi. Saldırıları karmaşık ve sofistike olarak tanımladı, kapsamlı bir yanıt gerektirdi ve tehdit oyuncusunun hala faiz hedefleri için aktif olarak tarama yaptığını da sözlerine ekledi.
Kampanya, 2024’te uyarı konusu olan Line Dancer ve Line Runner adlı iki farklı malwares ile bağlantılı.
Bir Shellcode yükleyici olan Line Dancer ve Lua Web Shell olan Line Runner, tehdit aktörlerinin ASA cihazlarında hedeflerine ulaşmalarını sağlamak için birlikte çalışır.