WatchGuard VPN’de Kritik Sınır Dışı Yazma Açığı: Uzaktan Kod Çalıştırma Riski

Ekim 19, 2025Ekim 25, 2025Tarafından Ai Administrator

WatchGuard Fireware OS’de tespit edilen CVE-2025-9242 kodlu sınır dışı yazma (out-of-bounds write) açığı, Fireware OS 11.10.2’den 11.12.4_Update1’e, 12.0’dan 12.11.3’e ve 2025.1 sürümüne kadar uzanan versiyonları etkiliyor. CVSS puanı 9.3 olan bu zafiyet, kimlik doğrulaması gerektirmeden uzaktan kod çalıştırılmasına olanak tanıyor.

Açığın Teknik Detayları ve Etkileri

WatchGuard tarafından yayımlanan uyarıya göre, Fireware OS’nin IKE daemon (iked) sürecinde bulunan bu sınır dışı yazma açığı, özellikle IKEv2 protokolü kullanan mobil ve şube ofisi VPN kullanıcılarını etkiliyor. Zafiyet, “src/ike/iked/v2/ike2_payload_cert.c” dosyasındaki “ike2_ProcessPayload_CERT” fonksiyonunda kökleniyor. Bu fonksiyon, istemcinin kimlik bilgisini 520 baytlık yığın tamponuna kopyalarken uzunluk kontrolü yapmıyor, bu da taşma ve dolayısıyla IKE_SA_AUTH aşamasında uzaktan kod çalıştırma riskine yol açıyor.

Güvenlik araştırmacısı McCaulay Hudson, sertifika doğrulamasının kod yürütme öncesinde yapılmamasının saldırganların kimlik doğrulama aşamasına erişmeden zararlı kod çalıştırmasına imkan tanıdığını belirtiyor. Ayrıca, saldırganlar NX bit korumasını aşmak için mprotect() sistem çağrısını kullanarak TCP üzerinden Python etkileşimli kabuğu başlatabiliyor. Bu yöntem, etkileşimli kabuk bulunmayan Fireware OS ortamında bile tam kontrol sağlanmasına olanak veriyor.

İleri Düzey Sömürü Teknikleri ve İyileştirme Önerileri

WatchTowr Labs tarafından yapılan analiz, bu açığın komşu ransomware gruplarının tercih ettiği özelliklere sahip olduğunu vurguluyor. Saldırganlar, Python kabuğu üzerinden execve çağrısıyla dosya sistemini yeniden okuma/yazma modunda bağlayıp BusyBox ikili dosyasını indirerek /bin/sh sembolik bağlantısı oluşturabiliyor. Bu çok aşamalı süreç, konteyner ortamlarında rastgele SSH portları kullanımı ve MCP istemcisi gibi ileri seviye araçlarla entegre edilerek saldırının karmaşıklığını artırabilir.

WatchGuard, 2025.1.1, 12.11.4, 12.3.1_Update3 ve 12.5.13 sürümlerinde bu açığı giderdiğini duyurdu. 11.x sürümleri ise ömrünü tamamladı. Siber güvenlik profesyonellerinin, özellikle AsyncRAT benzeri kötü amaçlı yazılımların bu tür zafiyetleri hedef alabileceğini göz önünde bulundurarak, güncellemeleri acilen uygulaması öneriliyor.

Benzer Kritik Zafiyetler ve Güncel Gelişmeler

Bu gelişme, watchTowr’un Progress Telerik UI for AJAX’da (CVE-2025-3600) tespit ettiği ve uzaktan kod çalıştırmaya kadar varabilen DoS açığı ile aynı döneme denk geliyor. Ayrıca, Dell UnityVSA’da (CVE-2025-36604) kritik kimlik doğrulama öncesi komut enjeksiyonu açığı da Temmuz 2025’te yamalandı. Bu tür zafiyetler, Pydantic AI gibi modern araçların ve güvenlik çözümlerinin entegrasyonunda dikkatle ele alınmalı.

CVE-2025-9242, Fireware OS, IKEv2, Ransomware, siber güvenlik, uzaktan kod çalıştırma, VPN Güvenliği, WatchGuard

Daha fazla gönderi

Ekim 27, 2025Ekim 27, 2025

Qilin Fidye Yazılımı: Hibrit BYOVD Saldırısında Linux Yükü ve Gelişmiş Taktikler

Qilin fidye yazılımı grubu, 2025'te artan saldırı sayılarıyla öne çıktı ve hibrit BYOVD saldırı zinciriyle Linux ve Windows sistemlerini hedef aldı. Saldırganlar, meşru BT araçlarını kötüye kullanarak kimlik bilgisi toplama, tespitten kaçma ve yedekleme altyapılarını hedef alma gibi gelişmiş teknikler uyguluyor. Bu karmaşık operasyon, modern sanallaştırma ortamlarını da kapsayarak kurumsal güvenlik için ciddi riskler barındırıyor.

Daha Fazla Oku

Ekim 27, 2025Ekim 27, 2025

ChatGPT Atlas Tarayıcısında Sahte URL’lerle Prompt Enjeksiyonu Güvenlik Açığı

ChatGPT Atlas tarayıcısında, sahte URL formatındaki girdilerle AI ajanlarının gizli komutları çalıştırmasına olanak tanıyan kritik bir güvenlik açığı tespit edildi. NeuralTrust ve diğer güvenlik araştırmacıları, prompt enjeksiyonlarının AI asistan tarayıcılarında sistemik bir sorun olduğunu ve saldırganların yeni yöntemlerle bu açığı kullanmaya devam ettiğini belirtiyor. OpenAI ve diğer firmalar, çok katmanlı güvenlik önlemleriyle bu tehditlere karşı mücadele ediyor.

Daha Fazla Oku

Ekim 24, 2025Ekim 25, 2025

3.000’den Fazla YouTube Videosu Kötü Amaçlı Yazılım Dağıtımı İçin Hayalet Ağ Operasyonunda Kullanıldı

2021'den beri aktif olan YouTube Hayalet Ağı operasyonu, 3.000'den fazla kötü amaçlı yazılım içeren video yayınladı ve yıl başından itibaren bu içeriklerin sayısı üç katına çıktı. Operasyon, ele geçirilmiş hesapları modüler ve rol tabanlı yapıyla kullanarak kullanıcıları çeşitli stealer ve yükleyicilerle enfekte ediyor. Siber güvenlik uzmanları, bu tür karmaşık ve sürekli evrilen tehditlere karşı

Daha Fazla Oku

Ekim 24, 2025Ekim 25, 2025

APT36’nın Golang Tabanlı DeskRAT Zararlısıyla Hindistan Hükümetini Hedefleyen Gelişmiş Operasyonu

APT36 (Transparent Tribe) tarafından Ağustos-Eylül 2025 döneminde gerçekleştirilen saldırılar, Golang tabanlı DeskRAT zararlısını kullanarak Hindistan hükümetini hedef aldı. Zararlı, BOSS Linux sistemlerine yönelik olup gelişmiş kalıcılık ve C2 iletişim teknikleri içeriyor. Bölgedeki diğer tehdit aktörleriyle paralel ilerleyen bu operasyon, sofistike araçlar ve çok platformlu tehditlerle dikkat çe

Daha Fazla Oku

P	S	Ç	P	C	C	P
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31