Amazon Entegre Güvenlik ekibi, Cisco Identity Services Engine (ISE) ve Citrix NetScaler ürünlerindeki kritik sıfırıncı gün açıklarını hedef alan gelişmiş saldırı kampanyalarını tespit etti. Bu saldırılar, kimlik ve ağ erişim kontrol altyapılarını hedef alarak, işletmelerin güvenlik politikalarını uygulamak ve kimlik doğrulama süreçlerini yönetmek için kullandığı temel sistemlerde ciddi riskler oluşturuyor.

Saldırıların Teknik Detayları ve Kullanılan Açıklar

Amazon’un raporuna göre, saldırganlar iki önemli güvenlik açığını kullanıyor:

CVE-2025-5777 (Citrix Bleed 2): Citrix NetScaler ADC ve Gateway’de yetersiz giriş doğrulama zafiyeti. CVSS skoru 9.3 olan bu açık, saldırganların kimlik doğrulama mekanizmasını atlayarak sisteme yetkisiz erişim sağlamasına olanak tanıyor. Citrix, bu açığı Haziran 2025’te yamalamıştır. Bu tür zafiyetler, özellikle kimlik doğrulama süreçlerinde kullanılan MCP istemcisi gibi bileşenlerde kritik öneme sahiptir.
CVE-2025-20337: Cisco ISE ve ISE Passive Identity Connector (ISE-PIC) üzerinde kimlik doğrulaması olmadan uzaktan kod çalıştırma açığı. CVSS skoru 10.0 olan bu kritik zafiyet, saldırganların root yetkisiyle işletim sisteminde rastgele kod çalıştırmasına imkan tanıyor. Cisco, Temmuz 2025’te bu açığı kapatmıştır.

Amazon, Mayıs 2025’te CVE-2025-5777 için sıfırıncı gün istismarlarını tespit etmiş ve daha sonra anormal trafik analizleriyle CVE-2025-20337 üzerinden Cisco ISE cihazlarına yönelik saldırıları ortaya çıkarmıştır. Saldırganlar, IdentityAuditAction adlı meşru Cisco ISE bileşeni olarak gizlenen özel bir web kabuğu dağıtmışlardır. Bu web kabuğu, tamamen bellekte çalışan, Java reflection teknikleriyle kendini çalışan iş parçacıklarına enjekte eden ve Tomcat sunucusundaki HTTP isteklerini dinleyerek standart dışı Base64 kodlaması ve DES şifrelemesi kullanarak tespiti zorlaştıran gelişmiş bir yapıya sahiptir.

Gelişmiş Saldırı Araçları ve Teknik Yöntemler

Saldırganların kullandığı araçlar, sadece hazır malware değil; kurumsal Java uygulamalarının, Tomcat iç yapılarının ve Cisco ISE’nin çalışma prensiplerinin derinlemesine analiz edilmesiyle geliştirilmiş özel arka kapılar içeriyor. Bu durum, tehdit aktörlerinin yüksek kaynaklı olduğunu, yani gelişmiş zafiyet araştırma yeteneklerine veya halka açık olmayan zafiyet bilgilerine erişim sağladığını gösteriyor. Ayrıca, saldırılarda konteyner ortamlarında rastgele SSH portlarının kullanılması ve Pydantic AI gibi modern kod doğrulama kütüphanelerinin istismar edilme potansiyeli de göz önünde bulundurulmalıdır.

Bu kapsamda, saldırıların AsyncRAT gibi uzaktan erişim araçlarıyla benzerlik gösterdiği, ancak daha sofistike ve hedef odaklı olduğu belirtiliyor. Bu tür saldırılar, ağ uç cihazlarına yönelik saldırıların devam ettiğini ve ayrıcalıklı yönetim portallarına erişimin katmanlı güvenlik önlemleriyle korunmasının önemini bir kez daha ortaya koyuyor.

Kurumsal Güvenlik İçin Öneriler

Amazon’un raporu, ön kimlik doğrulama aşamasında gerçekleşen bu istismarların, iyi yapılandırılmış ve düzenli bakımı yapılan sistemlerin bile hedef alınabileceğini vurguluyor. Bu nedenle, derinlemesine savunma stratejileri uygulanmalı ve olağandışı davranış kalıplarını tespit edebilen gelişmiş algılama sistemleri kullanılmalıdır.

Özellikle, Cisco ISE ve Citrix NetScaler gibi kritik ağ bileşenlerinde güncel yamaların uygulanması, erişimlerin katmanlı güvenlik duvarları ve ağ segmentasyonu ile sınırlandırılması gerekmektedir. Ayrıca, MCP istemcisi ve benzeri kimlik doğrulama modüllerinin güvenliği için düzenli kod incelemeleri ve konteyner güvenlik politikalarının sıkılaştırılması tavsiye edilir.

Daha fazla teknik detay ve CVE kayıtları için aşağıdaki bağlantılar ziyaret edilebilir:

Sonuç olarak, bu saldırılar kurumsal ağ güvenliği için ciddi bir uyarı niteliğindedir. Siber güvenlik profesyonelleri, bu tür gelişmiş tehditlere karşı hazırlıklı olmalı ve güvenlik mimarilerini sürekli olarak güncelleyerek tehdit algılama yeteneklerini artırmalıdır.

Daha fazla gönderi

Aralık 28, 2025Aralık 28, 2025

Türkiye Firmaları İçin Safetica DLP: Veri Kaybını Önlemede Kritik Bir Çözüm

Safetica DLP, Türkiye'deki firmalar için veri kaybını önlemede kritik bir çözüm sunar. KVKK uyumu ve iç tehditlere karşı geliştirilmiş teknik özellikleriyle, kurumların veri güvenliğini sağlamada önemli bir rol oynar.

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

İki Zararlı Chrome Uzantısı 170’ten Fazla Site Üzerinden Kimlik Bilgisi Çalıyor

Son analizler, iki farklı Chrome uzantısının kullanıcıların kimlik bilgilerini gizlice çalmak için man-in-the-middle (MitM) proxy saldırısı gerçekleştirdiğini ortaya koyuyor. Özellikle geliştiriciler ve dış ticaret çalışanları hedef alınırken, uzantılar 170'ten fazla yüksek değerli alan adından geçen trafiği kontrol altına alıyor. Bu durum, tarayıcı tabanlı tehditlerin kurumsal ve bireysel kullanı

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

n8n İş Akışı Platformunda Kritik CVE-2025-68613 RCE Açığı ve Riskleri

n8n otomasyon platformunda CVE-2025-68613 kodlu, CVSS 9.9 şiddetinde kritik bir uzaktan kod çalıştırma (RCE) açığı tespit edildi. Kimlik doğrulaması yapılmış saldırganların iş akışları üzerinden sistemde tam kontrol sağlamasına imkan veren bu zafiyet, dünya genelinde 100 binden fazla örneği etkiliyor. Güvenlik ekiplerinin hızlı yama uygulaması ve erişim kısıtlamalarıyla saldırı riskini azaltması ö

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

Digiever DS-2105 Pro NVR Cihazlarında Kritik Uzaktan Kod Çalıştırma Açığı Aktif İstismar Ediliyor

Digiever DS-2105 Pro ağ video kayıt cihazlarındaki CVE-2023-52163 numaralı kritik uzaktan kod çalıştırma açığı, aktif olarak kötü amaçlı botnetler tarafından hedefleniyor. Güvenlik yamalarının bulunmaması ve cihazların kullanım ömrünün sonuna yaklaşması nedeniyle, kurumların riskleri azaltmak için acil önlemler alması gerekiyor.

Daha Fazla Oku

P	S	Ç	P	C	C	P
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31