Güvenlik araştırmacıları, saldırganların kimlik doğrulaması yapmadan uzaktan kod yürütülmesine izin veren Cisco Identity Services Engine (ISE) ‘de kritik bir güvenlik açığı için ayrıntılı bir kavram kanıtı yayınladılar.
CVE-2025-20281 olarak izlenen kusur, geniş çapta dağıtılan ağ erişim kontrol platformunu etkiler ve vahşi doğada aktif olarak sömürülmüştür.
Kritik sıfır gün güvenlik açığı maruz kaldı
Güvenlik açığı başlangıçta 25 Ocak 2025’te GDO siber güvenliğinden güvenlik araştırmacısı Kentaro Kawane tarafından 25 Ocak 2025’te Trend Sıfır Günü Girişimi’ne (ZDI) bildirildi.
Kusur, güvenilmez verilerin güvenli olmayan sazizleşmesinin, saldırganların kök ayrıcalıklarıyla keyfi komutları yürütmesi için bir yol oluşturduğu açıklama registrationListener sınıfının etkinleştirme -swantunnel yönteminde bulunur.
Güvenlik açığını analiz eden bir güvenlik araştırmacısı olan Bobby Gould, aynı işlevin ek bir komut enjeksiyon güvenlik açığı içerdiğini keşfetti.
Bu çift tehdit senaryosu, Cisco’yu başlangıçta her iki sorunu da aynı CVE tanımlayıcısına atamaya teşvik etti, ancak daha sonra tüm saldırı vektörlerini tam olarak ele almak için ayrı bir CVE-2025-20337 yayınladılar.
İstismar zinciri özellikle sofistike, saldırganların Java’nın dize tokenleştirme mekanizmalarını atlamasını ve tam sistem uzlaşmasını sağlamak için bir Docker kapsayıcısından kaçmasını gerektiriyor.
Güvenlik açığı, saldırganların /dağıtım-RPC /ENABISTUSTUSTRONGSWANTUNNEL uç noktasına kötü amaçlı serileştirilmiş Java nesneleri göndermesine olanak tanır, bu da girişi doğru doğrulama olmadan işler.
Komut enjeksiyonu, kullanıcı tarafından sağlanan veriler, doğrudan ayrıcalıklara sahip bir kabuk komut dosyasını yürüten bir Sudo komutuna birleştirildiğinde oluşur.
Bununla birlikte, sömürü, tırnak veya backticklere saygı duymadan Whitespace karakterlerindeki komut dizelerini bölen Java’nın StringTokenizer sınıfı nedeniyle zorlayıcı oldu.
Araştırmacılar, Java’nın tokenizasyon işlemi aracılığıyla yük bütünlüğünü korumak için kötü amaçlı komutlardaki boşlukları değiştirerek BASH’ın dahili alan ayırıcısı ($ {ifs}) değişkeninden yararlanarak bu sınırlamayı aştılar.
Bu teknik, configureStrongswan.sh komut dosyası yürütme akışına keyfi komutların enjeksiyonuna izin verdi.
Etkilenen kod, Strongswan-Container adlı ayrıcalıklı bir Docker kapsayıcısı içinde yürüttüğü için güvenlik açığı daha da tehlikeli hale gelir.
Bu konfigürasyondan yararlanan araştırmacılar, Linux cgroup manipülasyon tekniklerini kullanarak eksiksiz bir konteyner kaçışı gösterdiler.
Kaçış yöntemi, bir cgroup dosya sisteminin monte edilmesini, bir serbest bırakma aracı komut dosyasını yapılandırmayı ve cgroup boşaltıldığında ana bilgisayar sistemindeki yürütülmesini tetiklemeyi içerir.
Daha önce güvenlik araştırmalarında belgelenen bu “kullanıcı modu yardımcıları” tekniği, saldırganlara temel ISE sunucusuna kök düzeyinde erişim sağlar.
Cisco Ise, kurumsal ağ güvenliği için bir temel taşı teknolojisidir ve bu güvenlik açığını özellikle dünya çapında kuruluşlar için zorlamaktadır.
Kusurun önceden kimlik doğrulama doğası, saldırganların sömürü girişimlerine başlamak için geçerli bir kimlik bilgileri gerektirmediği anlamına gelir.
Etkilenen Cisco ISE kurulumlarını yürüten kuruluşlar derhal mevcut güvenlik yamalarını uygulamalı ve sistemlerini uzlaşma belirtileri için izlemelidir.
Ayrıntılı istismar kodunun yayınlanması, yaygın saldırılar riskini önemli ölçüde artırarak ağ güvenlik duruşunun korunması için hızlı iyileştirmeyi kritik hale getirir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now