ABD siber güvenlik kurumu CISA, Perşembe akşamı “bilinen istismar edilen güvenlik açıkları” kataloğuna üç güvenlik açığı ekledi. Bunlar, Cisco'nun Güvenli E-posta Ağ Geçidi ve Güvenli E-posta ve Web Yöneticisi, Sonicwall SMA1000 ekipmanı ve Ausus Live Update yazılımındaki kritik güvenlik açıklarıdır. Saldırganlar sızıntılara saldırıyor; yöneticilerin artık mevcut güncellemeleri yüklemesi gerekiyor.
Duyurudan sonra devamını okuyun
CISA raporları, kısaltılmış “KEV” listesindeki güvenlik açıklarına saldırdı. En ciddi güvenlik açığı Cisco'nun Güvenli E-posta Ağ Geçidi ve Web Yöneticisi'nde bulunuyor. Cisco'nun güvenlik tavsiyesine göre şirket, 10 Aralık gibi erken bir tarihte, bu cihazlar için Cisco'nun AsyncOS yazılımındaki belirli bağlantı noktalarını hedef alan bir saldırı kampanyası gözlemledi. Yapılan analize göre Cisco, Çin ortamından bir gruptaki saldırganları tespit ediyor. Saldırılar sırasında saldırganlar, işletim sistemindeki kök haklarıyla internetten keyfi komutlar çalıştırabildiler. Bu, saldırganların cihazlara da sızdığı anlamına geliyor. Ancak Cisco henüz güvenlik açığının kendisiyle ilgili herhangi bir ayrıntı sunmuyor (CVE-2025-20393, CVSS 10.0risk”eleştirmen“).
Cisco, yazılım güncellemeleri sağlamaz ancak güvenlik açığı olan cihazlara (yani web yönetimi arayüzünü veya İnternet spam karantina bağlantı noktasını açığa çıkaranlara) sahip BT yöneticilerine, cihazların yapılandırmasını güvenli bir duruma getirmelerini tavsiye eder. Buna yedek sanal cihazların indirilmesi ve kurulması da dahildir. Yöneticiler ayrıca analizde bazı uzlaşma göstergeleri (IOC) de buluyor. Cisco herhangi bir geçici karşı önlemden bahsetmiyor.
Diğer güvenlik açıklarına saldırı düzenlendi
Saldırganlar ayrıca Sonicwall'un SMA1000 cihazlarındaki bir güvenlik açığına da saldırıyor. Yeni güvenlik açığı, saldırganların SMA1000 Cihaz Yönetim Konsolu'ndaki (AMC) yetersiz kimlik doğrulaması nedeniyle ayrıcalıkları yükseltmesine olanak tanıyor (CVE-2025-40602, CVSS) 6.6risk”orta“). Sonicwall, güvenlik duyurusunda, saldırganların bu güvenlik açığını, güncellenmiş yazılımın Ocak ayından bu yana yama yapılabilen kritik bir seri durumdan çıkarma güvenlik açığıyla ilişkilendirdiğine dikkat çekiyor. Yeni güvenlik açığı, SMA1000 12.4.3-03245, 12.5.0-02283 ve daha yeni sürümlere yapılan güncellemelerle kapatılıyor. Güncellemeler yüklenene kadar, yöneticilerin AMC vb.'ye erişimi ciddi şekilde kısıtlaması gerekiyor. SSH erişimine yalnızca VPN veya sabit IP üzerinden izin verin yöneticiler için veya SSL VPN yönetim arayüzünü ve İnternet'ten SSH erişimini devre dışı bırakın Sonicwall, SSL VPN'in Sonicwall güvenlik duvarlarından etkilenmediğini belirtir.
Saldırganların hedef aldığı üçüncü güvenlik açığı, üreticinin PC ve dizüstü bilgisayarlarındaki yazılımını güncellemeye yönelik eski bir Asus yazılımı olan Asus Live Update ile ilgilidir. Asus, o dönemde yaptığı bir uyarıda, 2019 yılında devlet siber suçlularının gerçek zamanlı güncelleme sunucularına sızmayı ve saldırıya uğramış yazılımları dağıtmayı başardığını, ardından bunu belirli hedeflerle sınırlandırdığını yazmıştı. Asus, güvenlik açığı açıklamasında (CVE-2025-59374, CVSS) “Değiştirilmiş yapılar, belirli koşulları karşılamaları durumunda cihazların istenmeyen eylemler gerçekleştirmesine neden olabilir” diye yazıyor 9.3risk”eleştirmen“). Yalnızca bu kısıtlamaları karşılayan ve güvenliği ihlal edilmiş yazılımın yüklü olduğu cihazlar etkilenir. Uygulama Ekim 2021 itibarıyla artık desteklenmemektedir; bu, hâlâ destek alan mevcut Asus cihazlarının hiçbirinin savunmasız olmadığı anlamına gelir; şirket daha fazla sınırlama getirir.
Cisa ve Cisco dışındaki üreticiler, saldırılar ve kapsamları hakkında ayrıntılı bilgi vermiyor. Yöneticiler sistemlerini izlemeli ve üreticinin spesifikasyonlarına göre güvenlik altına almalıdır.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın