- Saldırganlar, uzaktan erişim ve kalıcılık için Cisco ASA güvenlik duvarlarındaki iki sıfır günden yararlanıyor
- Kampanya, tespit edilmekten kaçınmak için günlükleri devre dışı bırakma ve ürün yazılımına müdahale etme gibi gizli taktikler kullanıyor
- Cisco, Güvenli Önyükleme özellikli modellere yükseltme yapılması ve güvenliği ihlal edilmiş cihazların tamamen sıfırlanması çağrısında bulunuyor
Cisco, yakın zamanda “yeni bir saldırı çeşidinin” farkına vararak müşterilerini, bazı hizmetlerini kullanan şirketlere karşı devam eden bir kampanya konusunda uyarıyor.
Yeni bir raporda şirket, Cisco ASA 5500-X Serisi ve Secure’u hedefleyen devam eden bir kampanya gözlemlediğini söyledi. Güvenlik duvarı cihazlar. Saldırganlar, CVE-2025-20333 ve CVE-2025-20362 olarak takip edilen iki kritik sıfır gün güvenlik açığından yararlanıyor; bu güvenlik açığı, uzaktan erişim elde etmelerine, rastgele kod yürütmelerine, kötü amaçlı yazılım dağıtmalarına ve hatta bazen yama uygulanmamış cihazlarda Hizmet Reddi’nin (DoS) yeniden başlatılmasına neden olmalarına olanak tanıyor.
Cisco, saldırıların Mayıs 2025’te başladığını açıkladı ve “yeni varyantın” ayrı bir ürün olmadığını vurguladı. kötü amaçlı yazılımdaha ziyade güncellenmiş bir saldırı tekniği; esasen, 2024’teki ArcaneDoor tehdit aktörüyle bağlantılı aynı etkinliğin gelişmiş bir versiyonu.
Gelişmiş kaçınma teknikleri
Bu saldırılarda tehdit aktörleri, VPN Güvenli Önyükleme ve Güven Bağlantısı korumasına sahip olmayan eski ASA modellerindeki web hizmetleri, yeniden başlatmalardan sonra bile kalıcılığı korumak için günlükleri devre dışı bırakır ve ROMMON ürün yazılımına müdahale eder.
Cisco, gizli kalmak ve herhangi bir adli soruşturmayı engellemek için tehdit aktörlerinin gizlilik ve gelişmiş kaçınma tekniklerini kullandığını ekledi:
Cisco, “Saldırganların birden fazla sıfır gün güvenlik açığından yararlandıkları ve günlüğe kaydetmeyi devre dışı bırakma, CLI komutlarına müdahale etme ve teşhis analizini önlemek için cihazları kasıtlı olarak çökertme gibi gelişmiş kaçırma teknikleri kullandıkları gözlemlendi” dedi.
“Bu olayın karmaşıklığı ve çok yönlülüğü, Cisco’nun mühendislik ve güvenlik ekiplerinin kapsamlı, çok disiplinli bir müdahalesini gerektirdi.”
Tehdidi azaltmak için Cisco, kullanıcılara etkilenen modelleri ve ürün yazılımlarını belirlemelerini, VPN web hizmetlerinin etkin olup olmadığını kontrol etmelerini, yamalı sürümlere yükseltme yapmalarını veya geçici bir önlem olarak SSL/TSL tabanlı VPN web hizmetlerini devre dışı bırakmalarını ve ardından parolaları, sertifikaları ve anahtarları yenilemeden önce güvenliği ihlal edilmiş cihazları fabrika varsayılanlarına sıfırlamalarını önerir.
Yalnızca daha eski, desteklenmeyen ASA 5500-X cihazlarının tehlikeye girdiği doğrulanırken, daha yeni Güvenli Önyükleme özellikli güvenlik duvarlarının dirençli göründüğünü vurgulayan Cisco, tüm müşterileri yükseltme yapmaya çağırdı.
Aracılığıyla Kayıt
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.