Senato Sağlık, Eğitim, Çalışma ve Emeklilik (HELP) Komitesi Başkanı ABD Senatörü Bill Cassidy, Cisco Systems’den yaygın olarak kullanılan ağ ekipmanlarındaki son sıfır gün güvenlik açıklarına ilişkin yanıtlar talep etti.
CEO Chuck Robbins’e gönderilen 10 Ekim 2025 tarihli mektup, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) hızlı bir acil durum talimatının ardından ulusal güvenlik ve ekonomiye yönelik potansiyel riskleri vurguluyor.
FBI’ın tahminlerine göre siber suçların Amerikalılara maliyeti yalnızca 2024’te 16 milyar doların üzerindeyken, olay Çin, Rusya ve İran gibi ülkelerden gelen devlet destekli aktörler tarafından yaygın istismar korkularını artırıyor.
Cisco 0 Günlük Güvenlik Duvarı Açıkları
CVE-2025-20333 ve CVE-2025-20362 olarak tanımlanan güvenlik açıkları, Cisco’nun Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) cihazlarını etkileyerek, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine ve ayrıcalık yükseltmeye olanak tanıyor.
En azından 2024’ün başından bu yana ArcaneDoor tehdit aktörüyle bağlantılı bir kampanyada istismar edilen bu kusurlar, saldırganların salt okunur belleği (ROM) manipüle ederek yeniden başlatma ve yükseltmelerden sağ kurtulabilen kalıcı kötü amaçlı yazılım yerleştirmesine olanak tanıyor.
CISA’nın 25 Eylül 2025’te yayınlanan Acil Durum Direktifi 25-03, federal kurumların etkilenen tüm cihazların envanterini çıkarmasını, çekirdek dökümleri aracılığıyla adli analiz yapmasını ve 24 saat içinde yamaları uygulamasını veya kullanım ömrü sona eren donanımın bağlantısını tamamen kesmesini zorunlu kıldı.
Raporlar, en az bir federal kurumun bir ihlale maruz kaldığını ve bu durumun acil sınırlama önlemleri alınmasına ve 26 Eylül’e kadar CISA’nın kötü amaçlı yazılım portalına başvurulara yol açtığını gösteriyor.
Cassidy’nin mektubu, sağlık hizmetlerine erişim ve eğitim platformları gibi temel hizmetler için Cisco’nun araçlarına güvenen federal kurumlara ve sayısız işletmeye hizmet veren, dünyanın en büyük ağ altyapısı sağlayıcısı olarak Cisco’nun önemli rolünü vurguluyor.
Kendisi, ele alınmayan kusurların milyonlarca kişinin operasyonlarını aksatabileceği, özellikle de özel bir siber güvenlik liderliği olmadan hassas sektörlerin operasyonlarını kesintiye uğratabileceği konusunda uyarıyor. ABD şirketlerinin %45’inde Bilgi Güvenliği Baş Sorumlusu bulunmuyor.
Senatör, Cisco’nun özel müşterilere yönelik tehditleri tespit edip etmediği ve yamaları veya tavsiyeleri nasıl yaydığı hakkında ayrıntılı bilgi istiyor.
Diğer sorular proaktif iletişimleri, eski cihazların CISA’nın federal talimatlarına benzer şekilde yükseltilmesine yönelik önerileri ve Sağlık ve İnsani Hizmetler, Eğitim ve Çalışma gibi kurumlara yönelik hedefli desteği araştırıyor.
Cisco, Mayıs 2025’e kadar uzanan istismarları kabul ederek federal müdahale ekipleriyle işbirliği yaptıkça, odak noktası federal olmayan kullanıcılar için daha geniş korumalara kayıyor.
Küçük işletmeler, okullar ve sağlık hizmeti sağlayıcıları, cihazların uzaktan erişim ve VPN’lerin güvenliğinde her yerde bulunması göz önüne alındığında daha yüksek risklerle karşı karşıyadır.
Cassidy’nin, YARDIM Komitesi’nin siber savunmalara yönelik devam eden soruşturmalarını bilgilendirmek için 27 Ekim 2025’e kadar yanıt vermesi gerekiyor. Uzmanlar, benzer krizlerin önlenmesi için tüm kuruluşlara Cisco tavsiyelerini gözden geçirmelerini ve risk azaltıcı önlemleri derhal uygulamaya çağırıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
