Cisco AsyncOS’ta Çin Bağlantılı APT Tarafından Kullanılan Kritik Zero-Day RCE Açığı ve Korunma Yöntemleri

Anasayfa » Cisco AsyncOS’ta Çin Bağlantılı APT Tarafından Kullanılan Kritik Zero-Day RCE Açığı ve Korunma Yöntemleri
APT, Siber Güvenlik, Zafiyetler
Ocak 21, 2026Ocak 21, 2026Tarafından Cybernews.TR
0
Cisco AsyncOS’ta Çin Bağlantılı APT Tarafından Kullanılan Kritik Zero-Day RCE Açığı ve Korunma Yöntemleri

Son analizler, Cisco’nun Secure Email Gateway ve Secure Email and Web Manager ürünlerinde, Çin bağlantılı gelişmiş kalıcı tehdit (APT) aktörü UAT-9686 tarafından kullanılan kritik bir zero-day uzaktan kod yürütme (RCE) açığının (CVE-2025-20393) tespit edilip yamalandığını ortaya koydu. Bu zafiyet, Spam Karantina özelliğinin HTTP isteklerini yetersiz doğrulaması sonucu ortaya çıkıyor ve saldırganlara etkilenen cihazlarda root yetkileriyle rastgele komutlar çalıştırma imkanı sağlıyor.

Saldırının Genel Çerçevesi

Açığın istismarı için üç temel koşulun sağlanması gerekiyor: cihazın savunmasız bir Cisco AsyncOS sürümünü çalıştırması, Spam Karantina özelliğinin etkin olması ve bu özelliğin internetten erişilebilir olması. UAT-9686, Kasım 2025 sonlarından itibaren bu açığı kullanarak AquaTunnel (ReverseSSH) ve Chisel gibi tünelleme araçlarıyla AquaPurge adlı günlük temizleme aracını hedef sistemlere yükledi. Ayrıca, AquaShell adlı hafif Python tabanlı bir arka kapı ile kodlanmış komutları çalıştırarak kalıcılık sağladı.

Hangi Sistemler Risk Altında?

Etki alanı, Cisco AsyncOS yazılımının çeşitli sürümlerini kapsıyor. Özellikle 14.2 ve öncesi, 15.0, 15.5 ve 16.0 sürümlerinde bulunan zafiyetler, aşağıdaki güncellemelerle giderildi:

  • 15.0.5-016 (14.2 ve 15.0 için)
  • 15.5.4-012 (15.5 için)
  • 16.0.4-016 (16.0 için)
  • Secure Email and Web Manager için 15.0.2-007, 15.5.4-007 ve 16.0.4-010 sürümleri

Bu yamalar, saldırı kampanyasında kullanılan kalıcılık mekanizmalarının cihazlardan kaldırılmasını sağladı.

Saldırı Zinciri ve Teknik Detaylar

Bu saldırı kampanyasında kullanılan teknikler ve araçlar şunlardır:

  • Zafiyet: CVE-2025-20393, Spam Karantina HTTP istek doğrulama hatası (CVSS 10.0)
  • APT Grubu: UAT-9686, Çin bağlantılı gelişmiş kalıcı tehdit aktörü
  • Kullanılan Araçlar: AquaTunnel (ReverseSSH), Chisel tünelleme araçları, AquaPurge günlük temizleyici, AquaShell Python arka kapısı
  • Saldırı Adımları: Zafiyetin istismarı → Tünelleme araçlarıyla kalıcı erişim → AquaShell ile komut yürütme
  • Hedef Sektörler: Kurumsal e-posta altyapıları, özellikle güvenlik duvarı arkasında olmayan ve internetten erişilebilir cihazlar

Siber Güvenlik Ekipleri İçin Öneriler

  • İlgili Cisco AsyncOS sürümlerini en kısa sürede güncelleyin.
  • Spam Karantina özelliğinin internetten erişilebilirliğini sınırlandırın veya devre dışı bırakın.
  • Güvensiz ağlardan cihazlara erişimi engellemek için ağ segmentasyonu uygulayın.
  • Güçlü kimlik doğrulama yöntemleri (SAML, LDAP) kullanarak yönetici erişimini sınırlandırın.
  • HTTP yerine HTTPS kullanarak yönetim portallarının güvenliğini artırın.
  • Gereksiz ağ servislerini kapatın ve cihaz trafiğini sürekli izleyin.
  • EDR ve SIEM çözümleri ile anormal aktiviteleri tespit edin ve olay müdahale süreçlerini hazır tutun.
  • Varsayılan şifreleri güçlü ve benzersiz şifrelerle değiştirin.

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumunda, Cisco Secure Email Gateway üzerinde güncellenmemiş AsyncOS sürümü kullanıldığını düşünelim. Spam Karantina özelliği internetten erişilebilir durumda ve saldırganlar CVE-2025-20393 zafiyetini kullanarak AquaTunnel ile gizli tünel oluşturuyor. Bu sayede kurumun iç ağına sızan saldırganlar, AquaShell arka kapısı ile komut çalıştırarak hassas finansal verilere erişim sağlıyor. Bu durum, hem veri sızıntısı hem de fidye yazılımı saldırılarına zemin hazırlayabilir.

Bu tür risklere karşı, kurumların e-posta güvenliği politikalarını gözden geçirmeleri, ağ segmentasyonu ve Zero Trust prensiplerini uygulamaları kritik önem taşıyor.

, , , , , , ,