Yeni Çin destekli saldırı yüzlerce Cisco müşterisini etkileyebilir: CVE-2025-20393 alarmı

Çin destekli grup sıfır gün zafiyetini kullanıyor

Cisco, bazı popüler kurumsal ürünlerinde bulunan bir güvenlik açığının devlet destekli olduğu değerlendirilen Çinli bilgisayar korsanları tarafından istismar edildiğini duyurdu. Güvenlik açığı resmi olarak CVE-2025-20393 olarak kayda geçti ve keşfedildiği anda yama bulunmadığı için sıfır gün (zero-day) olarak sınıflandırılıyor.

Maruz kalma ölçeği: yüzler potansiyel hedef

Güvenlik araştırmacıları, etkilenen sistemlerin sayısının geniş çaplı değil, ancak kayda değer olduğunu belirtiyor. İnterneti tarayan kar amacı gütmeyen bir kuruluş, maruz kalan sistem sayısının binlerce değil, yüzlerle sınırlı olduğunu bildiriyor. Diğer bir siber güvenlik izleme firması ise internetten erişilebilen 220 adet Cisco e-posta ağ geçidi tespit ettiğini aktarıyor.

Araştırmacılar, şu anki saldırıların hedefe yönelik olduğu için geniş çaplı yayılım görülmediğini ve etkinin nispeten sınırlı kaldığını ifade ediyor.

Hangi ürünler etkileniyor?

CVE-2025-20393; Secure Email Gateway ve Secure Email and Web Manager gibi Cisco ürünlerinde yer alan yazılımlarda bulunuyor. Cisco’ya göre bu sistemler yalnızca internete açık olduklarında ve cihazların spam karantinasi (spam quarantine) özelliği etkinse tehlike altında; bu iki koşul varsayılan olarak etkin değil.

Yama yok — kurtarma için yeniden kurulum öneriliyor

Şu anda resmi bir yama mevcut değil. Cisco, doğrulanmış bir ihlal durumunda etkilenmiş cihazların silinip güvenli bir kopyadan geri yüklenmesini öneriyor; şirketin ifadesine göre mevcut durumda cihazların yeniden inşası (rebuild) tehdit aktörlerinin kalıcılık mekanizmasını ortadan kaldırmanın tek güvenilir yolu.

Kampanyanın süresi

Cisco’nun tehdit istihbarat birimi Talos, saldırı kampanyasının en azından Kasım 2025 sonlarından itibaren sürdüğünü raporluyor.

Kurumlar için kısa eylem rehberi

• İnternete açık Cisco e-posta geçitleri ve ilgili yöneticileri belirleyin.
• Varsa spam karantinasi özelliğini geçici olarak devre dışı bırakın ve erişimi sınırlandırın.
• Şüpheli etkinlik tespit edilen cihazları ağdan izole edin ve güvenli bir ortamda yeniden kurun.
• Günlük kayıtlarını (log) dikkatle inceleyin ve olası izinsiz erişim göstergelerini araştırın.
• İç ve dış güvenlik ekipleriyle koordinasyon sağlayın; olay müdahale prosedürlerinizi uygulayın.

Bu gelişmeler, özellikle internete açık ve ilgili özellikleri etkin olan kurumsal Cisco cihazlarına sahip kuruluşların acil olarak kontrol ve önlem alması gerektiğini gösteriyor.