- Cisco, Çin bağlantılı aktörler tarafından kullanılan Güvenli E-posta cihazlarında sıfır günü (CVE‑2025‑20393) doğruladı
- Saldırganlar kalıcılık sağlamak için Aquashell arka kapısını, tünel açma araçlarını ve günlük temizleme yardımcı programlarını kullandı
- CISA, KEV’e kusur ekledi; ajansların 24 Aralık’a kadar kullanımı düzeltmesi/durdurması gerekiyor
Çin’e bağlı bir tehdit aktörü, temel sisteme erişim sağlamak ve kalıcılık sağlamak için birden fazla Cisco e-posta cihazındaki sıfır gün güvenlik açığını kötüye kullanıyor.
Cisco haberi bir blog yazısı ve bir güvenlik tavsiyesi ile doğrulayarak kullanıcıları sağlanan önerileri uygulamaya ve ağlarını güçlendirmeye çağırdı.
Cisco yaptığı duyuruda, etkinliği ilk olarak 10 Aralık’ta tespit ettiğini ve en azından Kasım 2025’in sonlarında başladığını belirlediğini söyledi. Kampanyada, UAT-9686 olarak takip edilen tehdit aktörü, Cisco AsyncOS Yazılımındaki bir hatayı kötüye kullandı. Cisco Güvenli E-posta Ağ Geçidive Cisco Güvenli E-posta ve Web Yöneticisi, sistem düzeyinde komutları yürütmek ve kalıcı Python tabanlı bir uygulama dağıtmak için arka kapı Aquashell denir.
İki grup
Güvenlik açığı artık CVE-2025-20393 olarak izleniyor ve 10/10 (kritik) önem puanı veriliyor.
Grubun ayrıca AquaTunnel (ters SSH tüneli), keski (başka bir tünel açma aracı) ve AquaPurge (kütük temizleme aracı) kullandığı da görüldü.
Kullanılan araçlar ve altyapı göz önüne alındığında Cisco, saldırıların APT41 ve UNC5174 olarak takip edilen en az iki grup tarafından gerçekleştirildiğine inanıyor. Her ikisi de çok aktif ve oldukça tehlikelidir; yasal bulut hizmetlerini kötüye kullanır, VPN’leri, güvenlik duvarlarını ve diğer araçları ihlal ederler ve öncelikle siber casuslukla meşgul olurlar.
Aynı zamanda, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bunu Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek vahşi doğada kötüye kullanımı doğruladı. Federal Sivil Yürütme Organı kurumlarının 24 Aralık’a kadar sağlanan düzeltmeleri uygulaması veya savunmasız ürünlerin kullanımını tamamen durdurması gerekiyor.
Danışmanlık belgesinde Cisco, müşterilerin internete açık cihazları güvenli bir yapılandırmaya geri yüklemeleri gerektiğini söyledi. Bunu yapmaları engellenirse, güvenliklerinin ihlal edilip edilmediğini öğrenmek için Cisco’ya başvurmaları gerekir.
Cisco, “Uzlaşmanın doğrulanması durumunda, cihazların yeniden inşa edilmesi şu anda tehdit aktörlerinin kalıcılık mekanizmasını cihazdan ortadan kaldırmak için tek geçerli seçenektir” dedi. “Ayrıca Cisco, bağlantı noktalarının güvenli olmayan ağlara maruz kalmamasını sağlamak için cihaza erişimin kısıtlanmasını ve güçlü erişim kontrol mekanizmalarının uygulanmasını şiddetle tavsiye ediyor.”
Aracılığıyla Kayıt
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.