Cisco, son günlerde güvenlik duvarı yazılımlarında tespit edilen iki ciddi güvenlik açığının artık hizmet reddi (DoS) saldırılarında kullanılmaya başlandığını açıkladı. Şirket, söz konusu açıkların cihazları yeniden başlatma döngüsüne sokarak ağ hizmetlerinde kesintiye neden olabileceğini belirtti.
Cisco Güvenlik Güncellemeleri Yayınladı
Cisco, 25 eylül tarihinde yayımladığı güvenlik güncellemeleriyle CVE-2025-20362 ve CVE-2025-20333 kodlu iki açığı kapattı. Şirket, ilk açığın uzaktaki saldırganların kimlik doğrulama olmadan kısıtlı URL uç noktalarına erişmesine, diğerinin ise doğrulanmış kullanıcıların uzaktan kod çalıştırmasına imkân tanıdığını bildirdi.
Yama uygulanmamış Cisco ASA/FTD güvenlik duvarları (Shadowserver)
Bu iki açık bir araya geldiğinde saldırganlar, yamalanmamış sistemlerin tam kontrolünü ele geçirebiliyor. Aynı gün Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara acil durum talimatı göndererek Cisco güvenlik duvarlarının 24 saat içinde korunmasını zorunlu tuttu.
Tehdit izleme hizmeti Shadowserver, dünya genelinde internet üzerinden erişilebilen 34 binden fazla ASA ve FTD güvenlik duvarının bu açıklar nedeniyle tehlike altında olduğunu bildirdi. Eylül ayında bu sayının 50 bine kadar çıktığı, yapılan güncellemelerle riskli cihaz sayısının azaldığı ifade edildi.
Cisco, 5 kasım 2025 tarihinde bu açıkları hedef alan yeni bir saldırı varyantı tespit ettiğini duyurdu. Şirketin açıklamasına göre, bu saldırı Cisco Secure ASA veya Cisco Secure FTD yazılımını kullanan yamalanmamış cihazlarda beklenmedik yeniden başlatmalara neden oluyor. Bu durum, hizmet reddi saldırılarının önünü açıyor.
CISA ve Cisco, söz konusu saldırıların 2024 yılında ortaya çıkan ArcaneDoor kampanyasıyla bağlantılı olduğunu belirtti. O dönemde devlet destekli olduğu düşünülen tehdit grubu, Line Dancer ve Line Runner adlı kötü amaçlı yazılımlar kullanarak birçok ülkenin ağlarına sızmıştı.
Cisco, eylül ayında ayrıca CVE-2025-20363 kodlu başka bir kritik açığı da kapattı. Bu açık, kimliği doğrulanmamış kişilerin uzaktan kod çalıştırmasına yol açabiliyordu. Şirket, şu ana kadar bu açığın kötüye kullanıldığına dair bir bulgu olmadığını açıkladı.
Sonrasında, CVE-2025-20352 kodlu yeni bir uzaktan kod yürütme açığı da siber saldırganların hedefi hâline geldi. Bu açık sayesinde saldırganların Linux tabanlı sistemlere rootkit yükleyebildiği bildirildi.
Geçtiğimiz günlerde Cisco, Çağrı Merkezi yazılımlarında da benzer güvenlik sorunlarını gideren yeni yamalar yayımladı. Bu yamalar, kimlik doğrulama atlatma ve sistemde yönetici yetkisiyle komut çalıştırma açıklarını ortadan kaldırıyor.
Cisco, tüm kullanıcılarına güvenlik duyurularında yer alan yazılım güncellemelerini hemen uygulamaları çağrısında bulundu. Şirket, yamaların ertelenmesinin ağ güvenliğini tehlikeye atabileceğini, özellikle eski cihazların ise ağlardan ayrılması gerektiğini vurguladı.
