Siber güvenlik yetkilileri, kuruluşları Cisco Uyarlanabilir Güvenlik Cihazı (ASA) güvenlik duvarlarını hedefleyen sofistike bir casusluk kampanyasının keşfinden sonra derhal harekete geçmeye çağırıyor.
Önemli bir güncellemede, Cisco ve İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), devlet destekli bir tehdit aktörünün, gelişmiş kötü amaçlı yazılımlar dağıtmak, yürütme komutları ve duyarlı veriler için Cisco ASA 5500-X serisi cihazlarında sıfır gün güvenlik açığı (CVE-2025-20333) kullandığını ortaya koydu.
NCSC, ilgili kötü amaçlı yazılımların, Rayinitiator adlı bir bootkit ve Line Viper adı verilen bir bellek yerleşik yükünü içeren bir araç setinin ayrıntılı bir analizini yayınladı.
Kampanya, taktiklerde önceki saldırılara kıyasla “önemli bir evrimi” temsil ederek aktörün derin uzmanlığını ve gelişmiş operasyonel güvenliği gösteriyor.
Sofistike ve kalıcı bir tehdit
Saldırı, kendisini cihazın büyük birleşik önyükleyicisine (GRUB) yanıp sönen son derece kalıcı, çok aşamalı bir bootkit olan Rayinitiator’ın dağıtımıyla başlar.
Bu, kötü amaçlı yazılımların sistem yeniden başlatmalarından ve hatta ürün yazılımı yükseltmelerinden kurtulmasını sağlar ve tehlikeye atılan güvenlik duvarında kalıcı bir taban oluşturur.
Rayinitiator özellikle, birçoğu yaşam sonu tarihlerine yaklaşan güvenli önyükleme teknolojisi olmayan Cisco ASA modellerini hedefliyor. Birincil işlevi, ana yük için bir yol oluşturmaktır.
Kalıcılık elde edildikten sonra, saldırganlar doğrudan cihazın belleğinde yürütülen çok yönlü bir kabuk kodu yükleyici olan Line Viper’ı dağıtır. Line Viper, tehdit oyuncusu, uzlaşmış sistem üzerinde geniş kontrol sağlar ve aşağıdakileri içeren yeteneklerle:
- Komut yürütme: En yüksek ayrıcalık seviyesine sahip keyfi komutları çalıştırmak (Seviye 15) .NCSC-MAR-RAYINITIATOR-LINE-VIPER.PDF
- Veri Defiltrasyonu: Kimlik bilgilerini hasat etmek için RADIUS, LDAP ve TACACS kimlik doğrulama protokolleri gibi hassas ağ trafiğinin gizli paket çekimlerinin gerçekleştirilmesi.
- Savunma Kaçınma: Yöneticilerden kötü niyetli etkinlikleri gizlemek ve bir bellek dökümü veya belirli analiz komutları denenirse cihazı yeniden başlatabilen anti-forensik teknikleri kullanmak için belirli syslog mesajlarını bastırmak.
- Erişim Baypası: Kimlik doğrulama, yetkilendirme ve muhasebe (AAA) kontrollerini atlamak için aktör kontrollü cihazların bir listesini korumak.
Kötü amaçlı yazılımların komut ve kontrol (C2) iletişimi yoğun şekilde şifrelenir ve tespit edilmesi zordur. Birincil yöntem, kurbana özgü jetonlar ve RSA tuşları bağlantıyı sabitleyen HTTPS WebVPN istemci kimlik doğrulama oturumlarını kullanır.
İkincil bir C2 kanalı, bir VPN oturumu içinde tünellenen ICMP isteklerini kullanır ve ham TCP paketleri üzerinden geri gönderilen veriler geri gönderilir.
Hafifletme
Hem Cisco hem de NCSC, ağ savunucularını bu tehdidi derhal ele almaya çağırıyor.
Bir güvenlik danışmanında Cisco, iyileştirme için rehberlik sağlamıştır ve güvenlik açıklarını ele almak için yamalar yayınladı. Kuruluşlara bu güvenlik güncellemelerini gecikmeden uygulamaları şiddetle tavsiye edilir.
NCSC, etkilenen ürünleri kullanan yöneticileri, kötü amaçlı yazılım analiz raporunda sağlanan YARA kurallarını ve algılama rehberliğini kullanarak uzlaşma belirtilerini acilen araştırmaya çağırıyor.
Bir çizgi enflisi enfeksiyonunun önemli bir göstergesi, bir yönetici adli analiz için çekirdek döküm oluşturmaya çalıştığında hemen cihaz yeniden başlatılmasıdır.
NCSC tarafından vurgulanan kritik bir endişe, eski donanımın kullanılmasıdır. Hedeflenen Cisco ASA 5500-X Serisi modellerinin çoğu Eylül 2025 ve Ağustos 2026’da desteksiz olacak.
NCSC, kuruluşların önemli ve doğal bir güvenlik riski sundukları için bu yaşam sonu cihazlarının yerini almasını veya yükseltmesini şiddetle tavsiye eder. Şüpheli uzlaşmalar NCSC’ye veya uygun Ulusal Siber Güvenlik Ajansı’na bildirilmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
