Cisco Sıfır Gün Zafiyeti: Çinli Hackerlar Yüzlerce Müşteriyi Hedefliyor

Cisco, bazı kurumsal ürünlerinde Çin hükümeti destekli bilgisayar korsanları tarafından aktif olarak istismar edilen kritik bir sıfır gün güvenlik açığı (CVE-2025-20393) hakkında uyarı yayınladı. Güvenlik araştırmacıları, yüzlerce Cisco müşterisinin bu devam eden siber saldırıya karşı potansiyel olarak savunmasız olduğunu ve tehdidi azaltmak için acil bir yamanın bulunmadığını tahmin ediyor.

Çinli Hackerlar Cisco Sıfır Gün Zafiyetini İstismar Ediyor

Ağ devi, güvenlik açığını ilk olarak Çarşamba günü duyurdu ve aralarında Secure Email Gateway ile Secure Email and Web Manager'ın da bulunduğu en popüler ürünlerinden bazılarını kullanan kurumsal müşterileri hedef alan devlet destekli Çinli bilgisayar korsanlarından oluşan bir grubun olduğunu açıkladı. Cisco, halihazırda tehlikeye atılan müşteri sayısını belirtmemiş olsa da, bağımsız güvenlik araştırmacıları potansiyel ölçek hakkında daha net bir tablo sunuyor.

Güvenlik Açığının Kapsamı

İnterneti siber saldırı kampanyaları açısından aktif olarak izleyen kar amacı gütmeyen Shadowserver Vakfı'nın CEO'su Piotr Kijewski, TechCrunch'a yaptığı açıklamada, maruziyetin "binler veya on binler yerine daha çok yüzlerle ifade edildiğini" söyledi. Kijewski, vakfın yaygın bir etkinlik gözlemlemediğini ve mevcut saldırıların oldukça hedefli olduğunu belirtti.

Shadowserver, CVE-2025-20393'e savunmasız sistemleri takip eden bir genel sayfa tutmaktadır. Basın saati itibarıyla, Hindistan, Tayland ve Amerika Birleşik Devletleri gibi ülkelerde düzinelerce etkilenen sistem tespit edilmiştir.

Bu bulguları daha da doğrulayan, internet siber saldırı faaliyetlerini de izleyen siber güvenlik firması Censys, savunmasız ürünlerden biri olan 220 adet internete açık Cisco e-posta ağ geçidi gözlemlediğini bildirdi. Bu veriler, firmanın yakın zamanda yayınladığı bir blog yazısında paylaşıldı.

Güvenlik Açığı Detayları ve Giderim

Cisco'nun bu hafta başında yayınladığı güvenlik uyarısı, güvenlik açığının Secure Email Gateway ve Secure Email and Web Manager ürünlerini etkilediğini açıkladı. En önemlisi, sistemler yalnızca internetten erişilebilir durumdaysa ve "spam karantinası" özelliği etkinse savunmasızdır. Bu koşulların hiçbiri varsayılan olarak etkin değildir, bu da çevrimiçi olarak gözlemlenen savunmasız sistem sayısının nispeten sınırlı olmasına katkıda bulunmaktadır.

Etkilenen kuruluşlar için önemli bir endişe, hazır bir yamanın bulunmamasıdır. Cisco, herhangi bir ihlali gidermek için müşterilerin "etkilenen bir cihazı silip güvenli bir duruma geri yüklemelerini" birincil yöntem olarak önermektedir. Şirket, bu durumu uyarısında vurguladı:

“Onaylanmış bir ihlal durumunda, cihazları yeniden kurmak, tehdit aktörlerinin kalıcılık mekanizmasını cihazdan tamamen ortadan kaldırmak için şu anda tek uygulanabilir seçenektir.”

Cisco'nun tehdit istihbarat kolu Talos'a göre, bu hedefli siber saldırı kampanyası en az Kasım 2025'in sonlarından bu yana aktif durumda.