Cisco, bilinmeyen bir tehdit oyuncusu tarafından yüksek hedefli saldırılarda kullanıldığı bildirilen güvenli güvenlik duvarı uyarlanabilir güvenlik cihazı (ASA) ve güvenli güvenlik duvarı tehdidi savunma (FTD) yazılımını etkileyen sıfır günlük istismar zinciri için tavsiyeler yayınladı.
RAPID7’ye göre, istismar zinciri, savunmasız cihazlarda kimlik doğrulanmamış uzaktan kod yürütme (RCE) elde etmek için iki güvenlik açığını birleştirir: CVE-2025-20362 ve CVE-2025-20333.
Üçüncü bir güvenlik açığı olan CVE-2025-20363 de yamalandı, ancak kanıtlar sadece ilk ikisinin saldırı zincirinde aktif olarak kullanıldığını gösteriyor.
Sorunun çekirdeği, bir saldırganın kimlik doğrulamasını atlamasına ve daha sonra bir bellek bozulma kusurunu tetiklemesine izin veren istemci olmayan VPN (WebVPN) özelliğinde yer alır.
İki aşamalı istismar zinciri
Saldırı, bir yol geçiş kusurunun neden olduğu bir kimlik doğrulama baypas güvenlik açığı olan CVE-2025-20362 ile başlar. Bu güvenlik açığı, kimlik doğrulanmamış, uzaktan saldırganın normalde kimlik doğrulaması gerektirmesi gereken kısıtlı URL uç noktalarına erişmesini sağlar.
Kusur, daha önce keşfedilen bir güvenlik açığının bir varyantıdır, CVE-2018-0296. Saldırganlar, özel olarak hazırlanmış bir HTTP isteği göndererek bunu kullanabilir, örneğin CSCOU...CSCOEcihazın web sunucusuna.
Bu, güvenlik kontrollerini atlar ve saldırının ikinci kısmı için zemin hazırlayarak kimliği doğrulanmış uç noktalara erişim sağlar. Sunucu “CSRF token uyuşmazlığı” veya “dosya yüklenemedi” ile yanıt verirse başarılı bir bypass tanımlanabilir.
Kimlik doğrulama atlandıktan sonra, saldırgan CVE-2025-20333’ü kullanır, bu da WebVPN özelliğinin dosya yükleme işlemi içinde bir tampon taşma güvenlik açığı.
CWE-120 olarak sınıflandırılan bu kusur (giriş boyutunu kontrol etmeden tampon kopya), dosya yüklemelerini işleyen bir LUA komut dosyasında bulunur. Özellikle, komut dosyası bir HTTP isteğinde “sınır” değerinin boyutunu doğrulayamaz.
Tahsis edilen 8192 bayt tampondan daha büyük bir sınır dizesi ile bir istek göndererek, bir saldırgan arayarak taşıyabilir. HTTPCONTENTTOBUFFER Tamponun kapasitesinden daha büyük bir uzunlukta işlev görür.
Bu bellek yolsuzluğu, CSCOEfilesfileaction.html RAPID7 analizine göre, ilk kimlik doğrulama baypası nedeniyle erişilebilir hale gelen uç nokta.
Hafifletme
Bu iki güvenlik açığının başarılı bir şekilde zincirlenmesi, bir saldırganın etkilenen bir Cisco güvenlik duvarı üzerinde tam kontrol sağlayarak kimlik doğrulanmamış RCE ile sonuçlanır.
İstismar önemsizdir, ancak vahşi doğada aktif olduğu doğrulanmıştır, bu da savunmasız cihazlarda sistem çökmelerine ve yeniden başlatmalarına yol açar. Güvenlik açığı, HTTP (S) isteklerinde kullanıcı tarafından sağlanan girdilerin yanlış doğrulanmasından kaynaklanmaktadır.
Hem Cisco ASA hem de FTD yazılımı, istemci olmayan VPN (WebVPN) portalı etkinleştirildiğinde etkilenir. Cisco, bu kritik güvenlik açıklarını ele almak için ASAV sürüm 9.16.4.85 de dahil olmak üzere yamalı yazılım sürümleri yayınladı.
Yöneticiler, potansiyel sömürü önlemek için sistemlerini derhal güncellemeleri şiddetle tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
