Cisco, Çarşamba günü popüler ürünlerinde kritik bir güvenlik açığını hackerların sömürdüğünü duyurdu. Bu açık, etkilenen cihazların tamamen ele geçirilmesine olanak tanıyor ve şu an için yama mevcut değil.
Şirket güvenlik uyarısında, 10 Aralık’ta Cisco AsyncOS yazılımını hedef alan bir hacker kampanyasını tespit edildiğini belirtti. Kampanya özellikle Cisco Secure Email Gateway, Cisco Secure Email ve Web Manager fiziksel ile sanal cihazlarını etkiliyor. Etkilenen cihazlarda “Spam Quarantine” özelliği etkinleştirilmiş ve internetten erişilebilir durumda olması gerektiği kaydedildi. Cisco, bu özelliğin varsayılan olarak kapalı olduğunu ve internete maruz bırakılması gerekmediğini ifade etti.
UCLA Health Sciences’ta kıdemli siber güvenlik araştırmacısı Michael Taggart, TechCrunch’a yaptığı açıklamada, “internet tabanlı yönetim arayüzü gerekliliği ile belirli özelliklerin etkinleştirilmesinin bu güvenlik açığının saldırı yüzeyini sınırlayacağını” belirtti.
Siber güvenlik araştırmacısı Kevin Beaumont ise kampanyanın özellikle sorunlu olduğunu aktardı. Beaumont, birçok büyük kuruluşun etkilenen ürünleri kullandığını, yama bulunmadığını ve hackerların sistemlerdeki arka kapıların ne kadar süredir aktif tutulduğunun belirsiz olduğunu vurguladı. Cisco, etkilenen müşteri sayısını açıklamadı.
Cisco sözcüsü Meredith Corley, şirketin konuyu aktif olarak incelediğini ve kalıcı bir çözüm geliştirdiğini kaydetti. Corley, ek soruları yanıtsız bıraktı. Şirketin şimdilik önerisi, etkilenen cihazların yazılımlarını silip yeniden kurmak yönünde. Cisco, “onaylanmış ihlal durumunda, cihazlardaki tehdit aktörlerinin kalıcılık mekanizmasını ortadan kaldırmanın şu anki tek geçerli yolu cihazları yeniden kurmaktır” şeklinde yazdı.
Cisco Talos tehdit istihbarat ekibi, hackerların Çin’e bağlı olduğunu ve bilinen Çin hükümeti bağlantılı gruplarla ilişkili olduğunu tespit etti. Ekip blog yazısında, kampanyanın en az Kasım 2025 sonundan beri devam ettiği ve sıfırıncı gün açığının kalıcı arka kapılar yüklemek için kullanıldığı belirtildi.
