Mayıs 2025’in başlarında Cisco, Kablosuz LAN Denetleyicileri (WLCS) için iOS XE yazılımında bir kusur ele almak için yazılım düzeltmeleri yayınladı. CVE-2025-20188 olarak izlenen güvenlik açığı, 10.0 CVSS puanına sahiptir ve kimlik doğrulanmamış, uzaktan saldırganın keyfi bir sisteme yüklemesini sağlayabilir-ancak gerçek hikaye, bu savunmasızlığın evi, compoded kimliklerle ilişkili kalıcı riskleri, JSON web’de, özellikle JSON WEBED’lerde, oluşturur.
Bu blog yazısında, CVE-2025-20188’i, sert kodlanmış JWT sırlarının eğilimi ve Walarm’ın bu tür sorunları önlemeye nasıl yardımcı olabileceğini keşfedeceğiz.
CVE-2025-20188 nedir?
CVE-2025-20188, WLC’ler için Cisco IOS XE yazılımının bant dışı erişim noktası (AP) görüntü indirme özelliğinde kritik bir güvenlik açığıdır. Temel sorun, yazılımın içine gömülü öngörülebilir, yeniden kullanılabilir bir kimlik doğrulama anahtarı olan sert kodlanmış bir JWT’de yatmaktadır. Saldırganlar, AP görüntü indirme arayüzüne bu sert kodlanmış anahtarı kullanarak API istekleri göndererek bu güvenlik açığını kullanabilir.
Başarılı olursa, istedikleri dosyaları sisteme yükleyebilir, yapmamaları gereken alanlara (yol geçiş olarak bilinen bir teknik) gidebilirler ve hatta tam yönetici (kök) ayrıcalıklarla komutlar yürütebilirler. Bununla birlikte, savunmasız bant dışı AP görüntü indirme özelliğinin varsayılan olarak devre dışı bırakıldığını belirtmek önemlidir, yani bu yalnızca birisi bu özelliği manuel olarak açmışsa bir risktir.
CVE-2025-20188’in potansiyel etkisi
Belirtildiği gibi, CVE-2025-20188, önemli potansiyel etkilere sahip maksimum bir şiddet kusurudur. Bir saldırgan bu güvenlik açığından yararlanacak olsaydı,:
- Hassas bilgilere yetkisiz erişim kazanın
- Ağ hizmetlerini boz
- Kök seviyesi erişimiyle tam sistem uzlaşmasını sağlayın
Şiddet ve potansiyel etki göz önüne alındığında, etkilenen Cisco WLC’leri kullanan kuruluşlar bu kırılganlığı bir aciliyet olarak ele almalıdır.
CVE-2025-20188’den etkilenen ürünler
Bu güvenlik açığından etkilenip etkilemeyeceğinizi merak ediyorsanız, bant dışı AP görüntü indirme özelliğine sahip iOS XE yazılımının savunmasız sürümlerini çalıştırırken aşağıdaki Cisco ürünlerinde mevcuttur:
- Bulut için Catalyst 9800-Cl Kablosuz Denetleyiciler
- Catalyst 9300, 9400 ve 9500 Serisi Anahtarlar için Katalizör 9800 Gömülü Kablosuz Kontrolör
- Catalyst 9800 Serisi Kablosuz Denetleyiciler
- Katalizör erişim noktalarına gömülü kablosuz denetleyici
CVE-2025-20188’i azaltmak için öneriler
Cisco, CVE-2025-20188’den etkilenebilecek kuruluşlar ve bireyler için önerilerde bulundu:
- Cisco yazılımını güncelle: Güvenlik açığını ortadan kaldırmak için iOS XE yazılımı için Cisco tarafından sağlanan en son yamaları uygulayın. Yeni keşfedilen güvenlik kusurlarını ele almak için düzenli güncellemeler gereklidir.
- Özellik yapılandırmasını doğrulayın: Emin olun Bant Dışı Erişim Noktası (AP) Resim İndir özellik engelli açıkça gerekli olmadıkça. Bu özellik varsayılan olarak etkinleştirilmez ve kapatılması potansiyel maruziyeti azaltır.
- Harden cihazları ve saldırı yüzeyini en aza indirin: Sistemin saldırı yüzeyini sınırlamak için gereksiz hizmetleri ve özellikleri devre dışı bırakın. Sektörde en iyi uygulamaları takip edin, örneğin Cisco Cihazları için CIS Kıyaslarıcihaz yapılandırmalarını güvence altına almak ve tutarlı güvenlik politikalarını uygulamak.
Bu adımları atmak sadece bu özel kırılganlığa karşı korunmakla kalmaz, aynı zamanda gelecekte benzer kusurların sömürülmesini önlemeye yardımcı olur.
Sabit kodlanmış JWT sırlarının yaygınlığı
Bununla birlikte, daha önce de belirttiğimiz gibi, hard kodlu JWT anahtarlarının şaşırtıcı yaygınlığı buradaki gerçek hikaye. Wallarm Tehdittats’ın çeyrek 2025 için raporuna göre, sabit kodlanmış sırlar – yanlış yapılandırma ve kimlik doğrulanmamış API erişimi ile birlikte – ilk çeyrekte, özellikle AI ve sağlık sektörlerinde API güvenlik ihlallerinin ezici çoğunluğuna katkıda bulundu.
Bu kusurlar, web uygulamalarından endüstriyel kontrol sistemlerine ve geliştirici araçlarına kadar çeşitli yazılımları etkiler – onları tüm sektörlerdeki yazılım ekipleri için kesişen bir endişe haline getirir. Prevalanslarını bağlam haline getirmek için, son üç yıldan itibaren sert kodlanmış JWT anahtarlarıyla ilgili CVES’den sadece birkaçı:
| CVE kimliği | Ürün adı | Tanım | Ürün türü |
| CVE-2025-26340 | Q-Free Maxtime | Sabit kodlanmış bir JWT anahtarının kullanılması, sahte HTTP istekleri aracılığıyla kimlik doğrulanmamış uzaktan erişime izin verir. | Trafik sistemi |
| CVE-2023-5074 | D-Link D-View 8 | Sabit kodlanmış JWT tuşu kimlik doğrulama bypass ve kısıtlı işlemlere izin verir. | Ağ yazılımı |
| CVE-2023-33371 | Kontrol Kimliği Kimliği | JWT anahtarı, oturum belirteçlerinin sahteciliğine izin vererek kaynak kodunda sabit kodlanmıştır. | Erişim Kontrolü |
| CVE-2023-33236 | Moxa MXSecurity Serisi | Gömülü JWT tuşu ile kimlik doğrulama baypas. | Güvenlik cihazı |
| CVE-2023-27172 | Xpand geri yazma | Zayıf, sert kodlanmış JWT Secret, kullanıcıları taklit etmek için kaba zorlanabilir. | Web Uygulaması |
| CVE-2022-36672 | Yeni artı | Yapılandırma dosyaları, yetkisiz oturumları etkinleştiren sert kodlanmış JWT anahtarı içerir. | Web Uygulaması |
| CVE-2022-35540 | AgileConfig | Bilinen sırrı olan JWT’ler üreterek kazanılan yönetici erişimi. | DevOps Aracı |
| CVE-2022-3214 | Delta Electronics Dienergie | Statik bir JWT anahtarı aracılığıyla yetkilendirilmemiş erişim. | Sanayi |
| CVE-2021-40494 | Adapttivescale lxdui | Yönetim kullanıcı arayüzünde sabit kodlanmış sır ile elde edilen yönetici düzeyinde erişim. | Geliştirici alet |
| CVE-2020-4283 | IBM Güvenlik Bilgisi kuyruğu | JWT Secret, yapılandırma dosyalarında düz metinde saklanır. | Güvenlik aracı |
| CVE-2020-1764 | Kiali | Varsayılan yapılandırma, jeton sahteciliğine yol açan sert kodlanmış JWT anahtarını içerir. | Gösterge paneli |
Bu liste, kapsamlı olmasa da, farklı teknoloji yığınlarında sert kodlanmış JWT sırlarının hem kalıcılığını hem de yaygın doğasının altını çiziyor. Bu doğanın güvenlik açıklarının bu kadar yaygın olmaya devam etmesi, birçok kuruluşun güvenli kalkınma uygulamalarını uygulamak için ilgili ve tutarlı bir başarısızlığı vurgulamaktadır. Bu zayıflıklardan yararlanmak genellikle saldırganlar için çok az çaba gerektirir, ancak ciddi sonuçlara yol açabilir. Peki, kuruluşlar kendilerini bu tür güvenlik açıklarından nasıl koruyabilirler? Wallarm ile.
Wallarm bu sorunları önlemeye nasıl yardımcı olur
Sızan ve sert kodlanmış kimlik bilgileri büyüyen bir tehdittir. Neyse ki, Wallarm’ın Gelişmiş API güvenlik modülü, kuruluşunuzu korumak için hedefli algılama ve izleme özellikleri sağlar. Bunlar şunları içerir:
- API sızıntıları tespit: Bu özellik, güvenlik ekiplerinin kamu depoları, postacı koleksiyonları ve kaynak kodu platformlarında açıkta kalan JWT sırlarını ve diğer kimlik bilgilerini belirlemelerini sağlar.
- JWT Gizli Veritabanı: Wallarm, GitHub-JWT-Secrets’te halka açık olan 100.000’den fazla bilinen JWT imzalama anahtarından oluşan sürekli olarak güncellenmiş bir açık kaynaklı veri kümesini sürdürmektedir. Bu veritabanı, gerçek dünya kodundan kaynaklanan yaygın olarak kullanılan, tehlikeye atılmış veya zayıf anahtarları içerir.
Dahası, algılama modülü artık Wallarm’ın gelişmiş API güvenlik aboneliğine otomatik olarak dahil edilmiştir ve SDLC genelinde kimlik bilgisi sızıntısına gerçek zamanlı görünürlük sağlar.
CVE-2025-20188 ve çok sayıda benzer güvenlik açığı tarafından gösterildiği gibi, sert kodlanmış JWT sırları, modern uygulama güvenliğindeki en ciddi ve kalıcı risklerden birini temsil eder. Bu kusurlar, saldırganların kimlik doğrulamasını atlamalarını, kullanıcıları taklit etmesini ve kritik sistemleri tehlikeye atmalarını sağlar – genellikle minimum çaba ile. Bu sorunun ele alınması, güvenli geliştirme uygulamalarının, otomatik tarama ve kimlik bilgisi sızıntı izlemesinin bir kombinasyonunu gerektirir.Wallarm, güvenlik ekiplerinin bu zorluğu üst üste ulaşmalarını sağlar ve kullanılmadan önce kimlik bilgisi maruziyetlerini tanımlamak ve azaltmak için kapsamlı araçlar sunar. Walarm’ın kuruluşunuzu korumaya nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek ister misiniz? Burada bir demo planlayın.