ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA, Cisco ASA ile Firepower cihazlarında aktif olarak istismar edilen güvenlik açıkları için federal kurumlara ek uyarı yaptı. CISA, bazı kurumların yamaları uyguladığını düşündüğünü ancak gerçekte savunmasız sürümleri kullandığını belirtti. Ajans, hatalı güncellemelerin kritik risk oluşturduğunu açıkladı.
CISA Kritik Cisco Açıkları İçin Yeni Uyarı Yayınladı
CISA, Cisco ASA ile Firepower cihazlarında tespit edilen CVE-2025-20362 ile CVE-2025-20333 kodlu iki zafiyetin aktif saldırılar altında olduğunu bildirdi. Saldırganlar kimlik doğrulama olmadan kısıtlı URL uç noktalarına erişebiliyor. Zincirlenen açıklar uzaktan kod yürütme tehdidi oluşturuyor. Bu risk, saldırganlara güncellenmemiş cihazlar üzerinde tam yetki sağlıyor.
Güvenlik açığı bulunan Cisco cihazları çevrim içi olarak açığa çıktı
Cisco, eylül ayında paylaştığı güvenlik güncellemesinde iki açığın sıfır gün olarak kullanıldığını açıklamıştı. Açıkların özellikle VPN web servisleri aktif durumda olan 5500-X serisi cihazları hedef aldığı ifade edilmişti. Şirket, saldırıların ArcaneDoor kampanyasıyla bağlantılı olduğunu duyurmuştu.
CISA tarafından yapılan son değerlendirme, bazı kurumların cihazlarını güncel olarak raporladığını ancak savunmasız sürümlerin hâlen kullanımda olduğunu ortaya koydu. Ajans, yamaların eksik uygulanmasının ciddi bir zaaf oluşturduğunu vurguladı. CISA, hatalı güncelleme yapan kurumların risk altında olduğunu belirtti.
CISA yaptığı açıklamada bazı cihazların güncel olarak işaretlendiğini fakat aslında saldırıya açık sürümlerde kaldığını belirtti. Ajans, bu durumun FCEB kurumlarında devam eden saldırılar sırasında tespit edildiğini açıkladı.
CISA, zafiyet zincirinin oluşturduğu riski azaltmak için yeni bir rehber yayımladı. Ajans, tüm ASA ile Firepower cihazlarının yalnızca internetten erişilebilenlerin değil kurum ağı içindeki tüm cihazların güncellenmesi gerektiğini bildirdi. Federal kurumlara hatalı güncelleme riskini ortadan kaldırmak için sürüm kontrolü yapmaları yönünde çağrı yapıldı.
Acil Durum Direktifi 25-03 kapsamında kurumlara 24 saat içerisinde güncelleme zorunluluğu getirildi. Ayrıca cihazların yönetim arayüzlerinin kamusal ağa açık bırakılmaması gerektiği hatırlatıldı. Kurumlara erişimlerin yalnızca güvenilir ağlar veya VPN üzerinden sağlanması önerildi.
CISA aynı hafta içinde Samsung cihazlarında kullanılan LandFall casus yazılım saldırıları için yamaların zorunlu hale geldiğini duyurdu. Ajans, WatchGuard Firebox güvenlik duvarlarında tespit edilen aktif istismarların da acil müdahale gerektirdiğini açıkladı.
