Perşembe gecesi, ABD BT güvenlik kurumu CISA, “Bilinen İstismara Uğrayan Güvenlik Açıkları” kataloğuna üç güvenlik açığı ekledi. Bunlar, Cisco'nun Güvenli E-posta Ağ Geçidi ve Güvenli E-posta ve Web Yöneticisi, Sonicwall SMA1000 cihazları ve Ausus Live Update yazılımındaki kritik güvenlik açıklarıdır. Saldırganlar sızıntılara saldırıyor, yöneticilerin artık mevcut güncellemeleri yüklemesi gerekiyor.
Reklamdan sonra devamını okuyun
CISA, “KEV” kısaltılmış listesindeki saldırıya uğrayan güvenlik açıkları konusunda uyarıyor. En ciddi güvenlik açığı Cisco'nun Güvenli E-posta Ağ Geçidi ve Web Yöneticisi'ndedir. Cisco'nun güvenlik tavsiyesine göre şirket, 10 Aralık gibi erken bir tarihte, bu cihazlar için Cisco'nun AsyncOS yazılımının belirli bağlantı noktalarını hedef alan bir saldırı kampanyası gözlemledi. Yapılan analize göre Cisco, saldırganları Çin ortamından bir grupta tespit ediyor. Saldırılar sırasında failler, işletim sistemindeki kök ayrıcalıklarıyla internetten keyfi komutlar çalıştırabildiler. Bu, saldırganların kendilerini de cihazlara yerleştirdiği anlamına geliyor. Ancak Cisco henüz güvenlik açığının kendisiyle ilgili herhangi bir ayrıntı sunmuyor (CVE-2025-20393, CVSS 10.0riski”kritik“).
Cisco, yazılım güncellemeleri sağlamaz ancak güvenlik açığı olan cihazlara (yani web yönetimi arayüzünü veya İnternet'teki spam karantina portunu açığa çıkaran cihazlara) sahip BT yöneticilerine, cihazların yapılandırmasını güvenli bir duruma getirmelerini tavsiye eder. Buna yedek sanal cihazların indirilmesi ve kurulması da dahildir. Yöneticiler ayrıca analizde bazı uzlaşma göstergeleri (IOC'ler) de buluyor. Cisco herhangi bir geçici karşı önlemden bahsetmiyor.
Daha fazla güvenlik açığı saldırıya uğradı
Kötü niyetli aktörler Sonicwall'un SMA1000 cihazlarındaki bir güvenlik açığına da saldırıyor. Yeni güvenlik açığı, saldırganların SMA1000 Cihaz Yönetim Konsolu'ndaki (AMC) (CVE-2025-40602, CVSS) yetersiz kimlik doğrulaması nedeniyle ayrıcalıklarını yükseltmesine olanak tanıyor 6.6riski”orta“). Sonicwall, güvenlik duyurusunda, saldırganların bu güvenlik açığını, güncellenmiş yazılımın Ocak ayından bu yana yama yapılabilen kritik bir seri durumdan çıkarma güvenlik açığıyla ilişkilendirdiğine dikkat çekiyor. Yeni güvenlik açığı, SMA1000 12.4.3-03245, 12.5.0-02283 ve daha yeni sürümlere yapılan güncellemelerle kapatılıyor. Güncellemeler yüklenene kadar, yöneticiler AMC vb.'ye erişimi ciddi şekilde sınırlamalıdır. Yalnızca VPN veya sabit IP'ler yoluyla SSH erişimine izin ver Sonicwall, SSL VPN yönetim arayüzünü ve İnternet'ten SSH erişimini devre dışı bırakın veya SSL VPN'in Sonicwall güvenlik duvarlarından etkilenmediğini belirtir.
Kötü niyetli aktörlerin hedef aldığı üçüncü güvenlik açığı, PC ve dizüstü bilgisayarlardaki üretici yazılımını güncellemeye yönelik eski bir Asus yazılımı olan Asus Live Update ile ilgilidir. Asus, o dönemde yaptığı bir uyarıda, 2019'da devlet siber suçlularının canlı güncelleme sunucularına sızmayı ve güvenliği ihlal edilmiş yazılımları dağıtmayı başardığını, bunun da belirli hedeflerle sınırlı olduğunu yazmıştı. Asus, güvenlik açığı açıklamasında (CVE-2025-59374, CVSS) “Değiştirilen yapılar, belirli koşulları karşılamaları durumunda cihazların istenmeyen eylemler gerçekleştirmesine neden olabilir” diye yazıyor 9.3riski”kritik“). Yalnızca bu kısıtlamaları karşılayan ve güvenliği ihlal edilmiş yazılımın yüklü olduğu cihazlar etkilenir. Uygulama, Ekim 2021'den bu yana artık desteklenmiyor; bu, şirket tarafından daha da kısıtlanarak, hâlâ destek alan mevcut Asus cihazlarının hiçbirinin savunmasız olmadığı anlamına geliyor.
Cisco dışında Cisa ve üreticiler, saldırılar ve bunların kapsamı hakkında herhangi bir ayrıntı vermiyor. Yöneticiler sistemlerini kontrol etmeli ve üreticinin spesifikasyonlarına göre güvence altına almalıdır.
Reklamdan sonra devamını okuyun
(dmk)
Bir yanıt yazın