Cisco’da kritik zero-day: Çin bağlantılı saldırganlar cihazları ele geçiriyor

Özet

Cisco, bazı popüler ürünlerinde tam cihaz ele geçirmeye imkan tanıyan kritik bir zero-day açığının aktif olarak istismar edildiğini açıkladı. Şirket şu an için bir yama yayımlamamış durumda; etkilenen cihazlara yönelik tek öneri yazılımın silinip yeniden kurulması oldu.

Etkilenen ürünler ve saldırı koşulları

Firma, istismar kampanyasının AsyncOS yazılımını hedeflediğini bildirdi. Özellikle fiziksel ve sanal olarak kullanılan Secure Email Gateway, Secure Email ve Web Manager cihazları risk altında. Zafiyetten yararlanılabilmesi için cihazlarda Spam Quarantine özelliğinin etkin ve cihazların internetten erişilebilir olması gerekiyor.

Not: Spam Quarantine varsayılan olarak etkin değil ve bu özellikle İnternet’e maruz bırakılmaması öneriliyor; bu durum saldırı yüzeyini sınırlayabilir.

Saldırganlar ve kampanyanın boyutu

Şirketin tehdit istihbaratı ekibi, saldırganları Çin bağlantılı gruplarla ilişkilendiriyor ve kampanyanın en azından Kasım 2025 sonlarından beri devam ettiğini bildiriyor. Araştırmacılar, zafiyetin kötüye kullanılmasıyla kalıcı arka kapılar yerleştirildiğini ve bazı büyük kuruluşların etkilendiğini belirtiyor. Ancak şu an için kaç müşterinin etkilendiği açıklanmadı.

Ne yapılmalı?

Cisco, şu anda teyit edilen bir ihlal durumunda cihazların tamamen temizlenmesi ve yazılımın yeniden kurulması gerektiğini söylüyor; bunun dışında kalıcı bir çözüm (patch) henüz mevcut değil. Uzmanlar ayrıca şu adımları öneriyor:

• İnternet üzerinden erişilebilen yönetim arayüzlerini derhal sınırlandırmak veya erişimi kapatmak,
• Spam Quarantine gibi gerekmeyen özellikleri devre dışı bırakmak,
• Ağ trafiğini ve sistem günlüklerini anormal bağlantılar veya kalıcı arka kapı göstergeleri açısından incelemek,
• İhlal onaylanırsa ilgili cihazları yedekten geri yüklemek yerine tamamen silip yeniden kurmak.

Durumun belirsizliği

Şirket, olayı aktif araştırdığını ve kalıcı bir düzeltme geliştirmek için çalıştığını belirtiyor. Ancak açık için henüz yayımlanmış bir yama bulunmaması, kurumların hızlı hareket etmesini ve önleyici tedbirleri uygulamasını zorunlu kılıyor.

Sonuç

Bu gelişme, kritik altyapı yazılımlarında görülen zero-day keşiflerinin işletmeler için ne kadar ciddi risk oluşturduğunu bir kez daha gösteriyor. Cihazlarınıza internet üzerinden erişim sağlanan yönetim arayüzleri veya etkinleştirilmiş ek özellikler varsa, derhal değerlendirme yapın ve gerekiyorsa cihazları çevrimdışı alarak güvenlik süreçlerini başlatın.