Siber güvenlik dünyasında endişe verici bir gelişme yaşanıyor. Cisco'nun Çarşamba günü yaptığı açıklamayla, Çin devlet destekli bir hacker grubunun, şirketin popüler ürünlerini kullanan kurumsal müşterilerini hedef aldığı ortaya çıktı. Bu grup, Cisco'nun bazı ürünlerindeki kritik bir güvenlik açığını kullanarak saldırılar düzenliyor.
Geniş Çaplı Bir Tehdit mi?
Cisco, kaç müşterisinin hacklendiği veya savunmasız sistemler kullandığı konusunda henüz net bir bilgi vermezken, güvenlik araştırmacıları yüzlerce Cisco müşterisinin potansiyel olarak hedef alınabileceği uyarısında bulunuyor. Shadowserver Foundation CEO'su Piotr Kijewski, internetteki hackleme kampanyalarını izleyen ve analiz eden bu kuruluşun başkanı, maruz kalan sistemlerin sayısının "binlercesi yerine yüzlerce" civarında göründüğünü belirtti. Kijewski, mevcut saldırıların hedefli olmasından dolayı yaygın bir aktivite görmediklerini de ekledi.
Sıfır Gün Açığı ve Etkilenen Ülkeler
Shadowserver, Cisco tarafından açıklanan ve resmi olarak CVE-2025-20393 olarak adlandırılan bu açıktan etkilenen ve savunmasız kalan sistemlerin sayısını takip ediyor. Bu güvenlik açığı, "sıfır gün" olarak biliniyor çünkü şirket yama yayınlamadan önce keşfedildi. Şu an itibarıyla Hindistan, Tayland ve Amerika Birleşik Devletleri'nde düzinelerce etkilenen sistem bulunuyor. İnternet genelindeki hackleme faaliyetlerini izleyen siber güvenlik firması Censys de sınırlı sayıda etkilenen Cisco müşterisi tespit etti. Censys'in blog yazısına göre, savunmasız olduğu bilinen ürünlerden biri olan 220 adet internete açık Cisco e-posta ağ geçidi gözlemlendi. Cisco'nun bu hafta yayınladığı güvenlik danışmanlığına göre, bu güvenlik açığı Secure Email Gateway ve Secure Email and Web Manager gibi ürünlerde bulunan yazılımlarda yer alıyor. Cisco, bu sistemlerin yalnızca internetten erişilebilir olması ve "spam karantina" özelliğinin etkinleştirilmesi durumunda savunmasız olacağını belirtti. Cisco, bu koşulların varsayılan olarak etkin olmadığını ve bu durumun internette nispeten az sayıda savunmasız sistem olmasını açıklayabileceğini kaydetti. Cisco, Shadowserver ve Censys tarafından görülen sayıları doğrulayıp doğrulayamayacağına dair bir yorum talebine yanıt vermedi. Bu hackleme kampanyasındaki daha büyük sorun ise henüz yamaların mevcut olmaması. Cisco, herhangi bir ihlal durumunda etkilenen bir cihazı "güvenli bir duruma getirmek" ve tehdit aktörlerinin kalıcılık mekanizmasını ortadan kaldırmak için cihazları silip yeniden yüklemeyi öneriyor. Cisco'nun tehdit istihbaratı kolu Talos'a göre, hackleme kampanyası "en azından 2025 yılının sonlarından" beri devam ediyor.
