CISA, ABD federal kurumlarına Cisco Adaptive Security Appliances (ASA) ve Firepower güvenlik duvarlarında aktif olarak yararlanılan iki güvenlik açığını (CVE-2025-20333, CVE-2025-20362) tam olarak ele almalarını emretti.
“CISA’nın kurum tarafından rapor edilen verilere ilişkin analizinde, CISA, raporlama şablonunda ‘yamalı’ olarak işaretlenen ancak aşağıda belirtilen tehdit faaliyetlerine karşı hala savunmasız olan bir yazılım sürümüne güncellenen cihazları tespit etti. [Emergency Directive 25-03, released on September 25, 2025]Ajans çarşamba günü şunları söyledi.
“CISA, bu savunmasız sürümlerin aktif olarak kullanılmasını izliyor. [Federal Civilian Executive Branch] ajanslar. CISA, gerekli yazılım sürümlerine henüz güncellenmemiş ASA veya Firepower cihazlarına veya 26 Eylül 2025’ten sonra güncellenen cihazlara sahip kurumlar için, devam eden ve yeni tehdit faaliyetlerini azaltmak için ek eylemler önermektedir.
Geçtiğimiz hafta Cisco, iki güvenlik açığına ilişkin uyarıları güncelleyerek, bunlardan yararlanan yeni bir saldırı çeşidinin farkına vardıklarını bildirdi.
CVE-2025-20333 ve CVE-2025-20362
Uzaktan kod yürütülmesine izin veren CVE-2025-20333 ve ayrıcalık yükseltmeyi mümkün kılan CVE-2025-20362’nin bu yılın başlarında sıfır gün olarak kullanıldığı tespit edildi.
Eylül ayı sonlarında CISA ve diğer bazı siber güvenlik kurumları saldırılar konusunda uyarıda bulundu ve saldırıları 2023 ve 2024 yıllarında ArcaneDoor saldırı kampanyasını gerçekleştiren devlet destekli bir tehdit aktörüne bağladı.
Bu saldırılar aynı zamanda sıfır gün kusurlarının kullanımını da içeriyordu. Tehdit aktörü, günlüğe kaydetmeyi devre dışı bırakmak ve kilitlenme dökümü oluşturulmasını önlemek için özel kötü amaçlı yazılım kullandı ve yükledikleri özel bir arka kapının kalıcılığını sağlamak için ASA işletim sisteminden önce çalışan ROMMON programını değiştirdi.
Güvenlik açıklarının azaltılmasının tamamlanması
Shadowserver Vakfı, Ekim ayının başlarında, defalarca yapılan uyarılara rağmen, ağırlıklı olarak ABD’de olmak üzere, internete yönelik yaklaşık 48.000 yama yapılmamış cihazı tespit edebildiklerini belirtti. Bu sayı daha sonra 32.000’in biraz üzerine düştü.
CISA, yalnızca halka açık olanlar değil, tüm ASA ve Firepower cihazlarının her ikisini de düzelten bir ürün yazılımı sürümüne güncellenmesi gerektiğine dikkat çekti. Eski/desteklenmeyen cihazlar kullanımdan kaldırılmalı ve daha yeni, güncel cihazlarla değiştirilmelidir.
Ajans, “CISA bu soruna sahip bir kurum tespit ederse, bu önlemlerin alındığını doğrulamak için konuyu takip edeceğiz” diye ekledi.
Yeni kılavuz, her iki güvenlik açığını da azaltmak için gereken ürün yazılımı sürümlerini listeliyor.
CISA aynı gün Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna üç yeni güvenlik açığı ekledi ve ABD FCEB kurumlarına 3 Aralık 2025’e kadar bu güvenlik açıklarını gidermeleri talimatını verdi.
Bunlar şunları içerir:
- CVE-2025-12480, Gladinet Triofox güvenli dosya paylaşımı ve uzaktan erişim platformunu etkiliyor
- CVE-2025-62215, Microsoft tarafından Salı günü düzeltilen Windows Çekirdeği ve
- CVE-2025-9242, Eylül ayında yamalanan ve 21 Ekim’de aktif olarak kullanıldığı doğrulanan, WatchGuard’ın Firebox ağ güvenlik cihazlarındaki kritik bir kimlik doğrulama öncesi RCE kusuru.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!