Cisco AsyncOS E-posta Güvenlik Cihazlarında Kritik 0-Gün Açığı ve Aktif İstismarlar

Anasayfa » Cisco AsyncOS E-posta Güvenlik Cihazlarında Kritik 0-Gün Açığı ve Aktif İstismarlar
APT, Olay Müdahale, Zafiyetler
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
Cisco AsyncOS E-posta Güvenlik Cihazlarında Kritik 0-Gün Açığı ve Aktif İstismarlar

Saldırının Genel Çerçevesi

10 Aralık 2025 itibarıyla, Cisco AsyncOS işletim sistemini kullanan e-posta güvenlik cihazlarında kritik bir 0-gün açığı aktif olarak istismar edilmeye başlandı. CVE-2025-20393 olarak takip edilen bu zafiyet, işletim sistemi seviyesinde hatalı giriş doğrulaması nedeniyle saldırganların root ayrıcalıklarıyla rastgele komut çalıştırmasına olanak tanıyor. Etkilenen cihazlar arasında fiziksel ve sanal Cisco Secure Email Gateway ile Cisco Secure Email and Web Manager yer alıyor.

Saldırılar, özellikle Spam Karantina özelliği internete açık ve erişilebilir olan cihazları hedef alıyor. Bu özellik varsayılan olarak kapalı olduğundan, aktif olan cihazlar sınırlı sayıda ancak kritik risk altında bulunuyor. Cisco tarafından yapılan analizlerde, saldırganların ele geçirilen cihazlarda kalıcılık sağlamak için özel mekanizmalar kullandığı tespit edildi.

Saldırı Zinciri ve Teknik Detaylar

İstismar faaliyetleri Kasım 2025 sonlarından itibaren gözlemleniyor. Saldırganlar, ReverseSSH (AquaTunnel) ve Chisel gibi tünelleme araçlarıyla cihazlara uzaktan erişim sağlıyor. AquaTunnel, daha önce Çin merkezli APT41 ve UNC5174 gibi tehdit aktörleri tarafından kullanılmıştır. Ayrıca AquaPurge adlı günlük temizleme aracı ile izler silinmeye çalışılıyor.

İstismar zincirinde AquaShell adlı hafif Python tabanlı bir arka kapı da yer alıyor. Bu arka kapı, kimlik doğrulaması olmayan özel hazırlanmış HTTP POST isteklerini dinleyerek, kodlanmış komutları çözüp sistem kabuğunda çalıştırabiliyor. Bu yöntem, saldırganlara pasif ve gizli bir kontrol kanalı sağlıyor.

Siber Güvenlik Ekipleri İçin Öneriler

Yama henüz yayımlanmadığı için, sistem yöneticilerinin aşağıdaki önlemleri uygulaması kritik önem taşıyor:

  • Spam Karantina özelliğinin internete açık olup olmadığını kontrol edin ve mümkünse kapatın.
  • Cihazları güvenlik duvarı arkasına alarak yalnızca güvenilir IP adreslerinden erişime izin verin.
  • Posta ve yönetim işlevlerini farklı ağ arayüzlerine ayırarak segmentasyon sağlayın.
  • Web yönetim portalında HTTP yerine HTTPS kullanımını zorunlu kılın ve HTTP erişimini devre dışı bırakın.
  • Gereksiz ağ servislerini kapatın ve güçlü kimlik doğrulama yöntemleri (SAML, LDAP) kullanın.
  • Varsayılan yönetici şifrelerini karmaşık ve benzersiz şifrelerle değiştirin.
  • Olay müdahale (incident response) süreçlerinizi gözden geçirerek, anormal web günlük trafiği ve bağlantı denemelerini SIEM ve EDR sistemleriyle izleyin.
  • Onaylanmış ihlal durumunda cihazların tamamen yeniden kurulması, kalıcılık mekanizmalarının temizlenmesi için tek güvenilir yöntemdir.

Regülasyon ve Uyumluluk Boyutu

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE-2025-20393 açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesine ekledi. Federal Sivil Yürütme Dalları (FCEB) ajansları, 24 Aralık 2025 tarihine kadar gerekli önlemleri alarak ağlarını koruma altına almakla yükümlü kılındı. Bu gelişme, kurumsal ağlarda güvenlik politikalarının gözden geçirilmesi ve kritik altyapıların korunması açısından önemli bir uyarı niteliği taşıyor.

Teknik Özet

  • Kullanılan araçlar: ReverseSSH (AquaTunnel), Chisel, AquaPurge, AquaShell arka kapısı
  • Hedef sistemler: Cisco AsyncOS tabanlı Secure Email Gateway ve Secure Email and Web Manager cihazları
  • Zafiyet: CVE-2025-20393, root ayrıcalıklarıyla komut çalıştırmaya izin veren hatalı giriş doğrulaması (NVD Link)
  • Saldırı zinciri: İnternete açık Spam Karantina arayüzü üzerinden istismar → Uzaktan tünelleme ve arka kapı yerleştirme → Günlük temizleme ve kalıcılık sağlama
  • Önerilen savunma: Güvenlik duvarı segmentasyonu, erişim kısıtlamaları, güçlü kimlik doğrulama, HTTP kapatma, düzenli log analizi ve yama uygulaması

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumunda, Cisco Secure Email Gateway cihazının Spam Karantina arayüzü internete açık bırakılmış olsun. Saldırganlar bu zafiyeti kullanarak sisteme sızar, AquaTunnel ile gizli tünel kurar ve AquaShell arka kapısı ile komutlar gönderir. Günlük kayıtları AquaPurge ile temizleyerek tespit edilmekten kaçınırlar. Bu durum, kurumun e-posta güvenliği ve genel ağ segmentasyonu zafiyetlerini ortaya koyar. Olay müdahale ekipleri, SIEM ve EDR çözümleri ile anormal trafik ve komut çalıştırma aktivitelerini tespit edip hızlı müdahale gerçekleştirmelidir.

, , , , , , ,