- CVE-2025-20337, Cisco ISE sistemlerinde kimliği doğrulanmamış uzaktan kod yürütülmesine olanak sağlar
- Saldırganlar, gelişmiş kaçınma ve şifreleme tekniklerine sahip özel bellek içi web kabukları dağıttı
- İstismarlar yaygındı ve ayrım gözetilmiyordu; belirli bir sektöre ya da aktöre atıf yapılmıyordu
“Gelişmiş” tehdit aktörleri, özel arka kapıyı dağıtmak için Cisco Identity Service Engine (ISE) ve Citrix sistemlerinde maksimum önem derecesine sahip sıfır gün güvenlik açığını kullanıyor kötü amaçlı yazılımUzmanlar iddia etti.
Amazon‘nin tehdit istihbarat ekibi söz konusu yakın zamanda Cisco ISE dağıtımlarında kullanıcı tarafından sağlanan giriş güvenlik açığının yetersiz doğrulanmasıyla karşılaştı, tehlikeye atılmış uç noktalarda kimlik doğrulama öncesi uzaktan kod yürütülmesini sağladı ve sistemlere yönetici düzeyinde erişim sağladı.
Araştırmacılar izinsiz girişi bir araştırma sırasında keşfettiler Citrix Bleed İki aynı zamanda sıfır gün olarak da istismar edilen güvenlik açığı. Yeni bulunan hata artık CVE-2025-20337 olarak izleniyor ve 10/10 (kritik) önem puanına sahip.
Kötü amaçlı yazılımları özel yazı tiplerinde gizleme
“Cisco ISE ve Cisco ISE-PIC’in belirli bir API’sindeki bir güvenlik açığı, kimliği doğrulanmamış, uzaktaki bir saldırganın temeldeki işletim sistemi kök olarak,” NVD sayfası açıklıyor.
Danışma belgesinde, “Saldırganın bu güvenlik açığından yararlanmak için herhangi bir geçerli kimlik bilgilerine ihtiyacı yok” ifadesi yer alıyor ve saldırganın hazırlanmış bir API isteği göndererek bu güvenlik açığından yararlanabileceği vurgulanıyor.
Amazon, güvenlik açığının, IdentityAuditAction adlı meşru bir Cisco ISE bileşeni olarak gizlenen özel bir web kabuğunu dağıtmak için kullanıldığını açıkladı ve kötü amaçlı yazılımın tipik veya kullanıma hazır olmadığını, daha ziyade özel olarak oluşturulmuş ve Cisco ISE ortamları için özel olarak tasarlandığını belirtti.
Web kabuğu, tamamen bellek içinde çalışma, kendisini çalışan iş parçacıklarına enjekte etmek için Java yansımasını kullanma ve Tomcat sunucusundaki tüm HTTP isteklerini izlemek için bir dinleyici olarak kaydolma dahil olmak üzere gelişmiş kaçınma yetenekleriyle geldi. Ayrıca standart dışı Base64 kodlamasıyla DES şifrelemesi uyguladı ve erişim için belirli HTTP başlıklarına ilişkin bilgi gerektirdi.
Amazon, saldırıları herhangi bir tehdit aktörüne bağlamadı ve saldırıların herhangi bir sektörü veya kuruluşu hedef almadığını söyledi. Bunun yerine, ayrım gözetmeksizin ve mümkün olduğunca çok sayıda kuruluşa karşı kullanıldı.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.