CVE-2025-20393, Cisco AsyncOS dağıtımlarına bağlı maksimum önemde bir güvenlik sorunudur. Cisco Güvenli E-posta Ağ Geçidi (SEG) ve Cisco Güvenli E-posta ve Web Yöneticisi (SEWM). Temel risk çok ince değildir: saldırganlar root ayrıcalıkları ile keyfi sistem komutları etkilenen cihazlarda ve kanıtlar gösteriyor ki zaten vahşi doğada istismar ediliyor. (NVD)
Bir savunmacının bakış açısına göre, bu mümkün olan en kötü yerde durmaktadır. SEG/SEWM cihazları güvenilir, yarı şeffaf ve operasyonel olarak "özel" olma eğilimindedir - genellikle emtia sunuculardan daha yavaş yamalanır, daha az kapsamlı bir şekilde izlenir ve posta akışlarına ve yönetim ağlarına geniş erişim izni verilir. Bir uç cihaz saldırgan tarafından kontrol edilen bir ana bilgisayar haline geldiğinde, bu sadece başka bir uç nokta olayı değildir; bir dönüm noktasıdır.
Bu makale, sıkı güvenlik mühendisleri için gerçekten önemli olan şeylere odaklanmaktadır: maruz kalma koşulları, tehlike sonrası ticaret, yüksek sinyal algılama fikirleri ve henüz bir yama mevcut olmadığında bile uygulayabileceğiniz pragmatik sınırlama adımları.
CVE-2025-20393 ne tür bir güvenlik açığıdır?
Sınıflandırma düzeyinde, NVD CVE-2025-20393'ü şu şekilde kaydeder CWE-20: Hatalı Girdi Doğrulamaile CVSS v3.1 temel vektörü ağ saldırısını gösterir, ayrıcalık gerektirmez, kullanıcı etkileşimi yoktur ve tam uzlaşma etkisi. (NVD)
Pratik anlamda, birçok kaynak etkiyi şu şekilde özetlemektedir: root ayrıcalıklarıyla uzaktan, kimliği doğrulanmamış komut yürütme etkilenen bir cihazın temel işletim sistemi üzerinde. (Cisco Talos Blogu)
NVD ayrıca bir CISA KEV güncellemesi de gösteriyor: Eklenme Tarihi: 2025-12-17; Bitiş Tarihi: 2025-12-24satıcı hafifletmelerini uygulamak veya hafifletmeler mevcut değilse kullanımı durdurmak için gerekli eylemlerle birlikte. (NVD)
Etkilenen ürünler ve gerçek maruz kalma koşulları
Önemli olan nüans: AsyncOS sürümleri geniş çapta etkilenmiş olsa da, gözlemlenen istismar bir sınırlı alt küme ile cihazların standart olmayan konfigürasyonlar-özellikle nerede Spam Karantinası etkinleştirilir ve internete maruz bırakılır. (BleepingComputer)
Çeşitli raporlarda şu hususlar vurgulanmaktadır Spam Karantinası varsayılan olarak etkin değildirve dağıtım kılavuzları, ilgili bağlantı noktasının internete açık olmasını gerektirmez - yani birçok ortam yalnızca yapılandırma seçimleri, sürüklenme veya kalıcı hale gelen kolaylık odaklı "geçici" maruz kalma yoluyla savunmasız hale gelecektir. (Net Güvenliğine Yardım Edin)
Etkiyi önceliklendiriyorsanız, tahmin yürütmeyin. İlk işiniz iki soruya kanıtlarla cevap vermektir:
- SEG veya SEWM (fiziksel veya sanal) çalıştırıyor muyuz?
- Spam Karantinası veya web yönetim arayüzüne güvenilmeyen ağlardan erişilebilir mi?
Her ikisinin de cevabı "evet" ise, aksi kanıtlanana kadar bunu bir olay olarak değerlendirin.
Bu CVE operasyonel açıdan neden kötüdür: gözlemlenen saldırı zinciri ve araçları
Cisco Talos, faaliyeti şu şekilde nitelendiriyor orta düzeyde güven) olarak takip ettikleri Çin bağlantılı bir tehdit aktörüne UAT-9686ve kampanyanın en azından şu tarihten beri devam ettiğini belirtiyor Kasım sonu 2025Cisco'nun farkına varması ile 10 Aralık 2025. (Cisco Talos Blogu)
Savunucuyu ilgilendiren kısım, ilk erişimden sonra ne olduğudur. Talos, kalıcılık, tünelleme ve anti-forensikler için oluşturulmuş bir araç zinciri tanımlamaktadır:
- AquaShell: Python tabanlı bir web sunucusu içindeki mevcut bir dosyaya gömülü hafif bir Python arka kapısı. Pasif olarak şunları dinler kimliği doğrulanmamış HTTP POST özel olarak hazırlanmış veriler içeren istekler, içeriğin kodunu çözer ve sistem kabuğunda komutları yürütür. Talos'un belirttiğine göre
/data/web/euq_webui/htdocs/index.py. (Cisco Talos Blogu) - AquaPurge: belirli anahtar sözcükleri içeren günlük satırlarını belirtilen günlük dosyalarından kaldırır.
egrep"temiz" çizgiler tutmak ve bunları geri yazmak için stil filtreleme. (Cisco Talos Blogu) - AquaTunneltabanlı derlenmiş bir Go ikilisi ReverseSSHsaldırgan altyapısına ters SSH bağlantısı oluşturmak için kullanılır. (Cisco Talos Blogu)
- Keski: tek bir HTTP tabanlı bağlantı üzerinden TCP / UDP tünellerini destekleyen açık kaynaklı bir tünelleme aracı, bir uç cihaz üzerinden proxy ve pivotlama için kullanışlıdır. (Cisco Talos Blogu)
Bu önemlidir çünkü yanıt duruşunuzu değiştirir. Aktörün oyun kitabı kalıcılık implantları ve günlük manipülasyonu içerdiğinde, yerel günlüklerde kısmi körlük varsaymalı ve aşağıdakilere güvenmeyi planlamalısınız harici telemetri (güvenlik duvarı günlükleri, proxy günlükleri, NetFlow, DNS günlükleri) cihazın saldırgan altyapısıyla konuşup konuşmadığını doğrulamak için.
Yüksek sinyalli IOC'ler ve onlarla ne yapılmalı
Talos, araçlar (AquaTunnel, AquaPurge, Chisel) ve kampanyayla ilişkili küçük bir IP adresi kümesi için örnek SHA-256 karmaları yayınladı ve tam IOC seti için bir GitHub deposuna işaret etti. (Cisco Talos Blogu)
Pratik bir mühendisin yaklaşımı, IOC'leri şu şekilde ele almaktır hızlı triyaj hızlandırıcılarıkesin bir kanıt değildir:
- Pozitif vuruş araç karmasında veya bilinen IP'de: derhal yükseltin, kanıtları koruyun, bir satıcı davası açın ve yeniden oluşturma/geri yükleme için plan yapın.
- Negatif vuruş: sizi temize çıkarmaz; sadece davranış ve bütünlük tabanlı kontrollere ihtiyacınız olduğu anlamına gelir (çünkü aktörler altyapıyı döndürür ve AquaShell kurbanlar arasında hash-özdeş olmayabilir). (Cisco Talos Blogu)
Aşağıda, istismarı tetiklemeden çalıştırabileceğiniz "güvenli" kontrollere örnekler verilmiştir.
1) Dosya bütünlüğü kontrolleri (başlangıç noktası)
# Talos'un bahsettiği web UI dosyası için zaman damgasını ve izinleri kontrol edin
stat /data/web/euq_webui/htdocs/index.py
# Hash it ve bilinen iyi taban çizginizle karşılaştırın (eğer varsa)
sha256sum /data/web/euq_webui/htdocs/index.py
# Yedekleri/konfigürasyon anlık görüntülerini tutuyorsanız, sürümleri karşılaştırın
diff -u /path/to/known-good/index.py /data/web/euq_webui/htdocs/index.py || trueTalos, bu yolu AquaShell'in yerleştirildiği konum olarak açıkça adlandırır. (Cisco Talos Blogu)
2) Harici günlüklerde giden IOC taraması (önerilir)
# Örnek: dışa aktarılan günlüklerde bilinen IP'ler için grep (yolları telemetri ile değiştirin)
grep -RIn --binary-files=without-match \\
-E "172\\.233\\.67\\.176|172\\.237\\.29\\.147|38\\.54\\.56\\.95" \\
/var/log 2>/dev/null | head -n 200Yukarıdaki IP'ler Talos tarafından kampanya ile ilişkili olarak yayınlanmıştır. (Cisco Talos Blogu)
3) "Olağandışı POST" avı (en iyi çaba, aşırıya kaçmayın)
# Belirtilen yol modeline dokunan web POST etkinliğini arayın (günlükler mevcutsa)
grep -RIn --binary-files=without-match \\
-E "POST|/euq_webui/|/htdocs/index\\.py" \\
/var/log 2>/dev/null | head -n 200Talos'a göre AquaShell'in davranışı, kodlanmış komut içeriği taşıyan kimliği doğrulanmamış HTTP POST isteklerine dayanmaktadır. (Cisco Talos Blogu)
Maruziyet ve öncelik: sahaya hazır bir karar tablosu
| Durum | Uzlaşma olasılığı | Öncelik | Acil eylem |
|---|---|---|---|
| Spam Karantinası etkin ve internet erişilebilir | Çok yüksek | P0 | Maruziyeti şimdi kaldırın; satıcı hafifletmelerini takip edin; IOC'leri avlayın |
| Web yönetim arayüzüne internet üzerinden erişilebilir | Yüksek | P0 | Maruz kalmayı şimdi kaldırın; güvenilir ana bilgisayarlarla/VPN ile kısıtlayın; günlük tutma |
| İnternete açık değil, ancak geniş ortak/satıcı ağlarından erişilebilir | Orta | P1 | ACL kapsamını azaltın; segmentasyonu doğrulayın; anomalileri avlayın |
| Tamamen dahili, sıkı kısıtlanmış, güçlü yönetici kontrolleri | Daha düşük | P2 | Tavsiye güncellemeleri için izleme; temel bütünlük; kontrolleri sıkılaştırma |
Bu önceliklendirme kamuoyundaki uzlaşmayla örtüşmektedir: istismar öncelikle şu yerlerde gözlemlenmektedir Spam Karantinası etkin ve açık ve içinde standart olmayan konfigürasyonlar. (BleepingComputer)
Henüz yama olmadığında hafifletmeler
runZero'nun özeti itibariyle (17 Aralık 2025'te güncellenmiştir), şu anda yamalanmış sabit bir sürüm mevcut değilve satıcı devre dışı bırakılmasını önerir Spam Karantinası ve ağ erişim kontrollerinin arkasındaki savunmasız sistemleri izole etmek. (runZero)
BleepingComputer'ın haberinde de benzer şekilde Cisco'nun yöneticilere erişimi kısıtlama (internet erişimini sınırlama, güvenilir ana bilgisayarlarla sınırlama, cihazları güvenlik duvarlarının arkasına yerleştirme) ve günlükleri saklama, posta işleme ve yönetim işlevlerini ayırma ve güçlü kimlik doğrulama yöntemleri kullanma gibi operasyonel hijyen tavsiyelerinde bulunduğu belirtiliyor. (BleepingComputer)
Stratejik hedef basittir: saldırı yüzeyini daraltın Saldırganın tarayıp kullanabileceğinden daha hızlı.
Ekiplerin bugün uygulayabileceği pratik bir hafifletme dizisi:
- İnternet maruziyetini ortadan kaldırın Spam Karantinasına ve herhangi bir yönetim yüzeyine.
- Yönetim erişimini kısıtlayın dar bir izin listesine (yalnızca VPN + bastion).
- Ayrı roller: yönetim düzlemi posta işleme ile aynı maruz kalma düzlemi olmamalıdır. (BleepingComputer)
- Günlükleri ve harici telemetriyi koruyun herhangi bir şeyi döndürmeden önce-Talos günlük temizleme aracını (AquaPurge) belgeler, bu nedenle yerel eserlerin eksik olabileceğini varsayın. (Cisco Talos Blogu)
- Bütünlük kontrollerini çalıştırın Talos'un bahsettiği web UI yolunda ve tünel araçlarını avlayın. (Cisco Talos Blogu)
- Eğer uzlaşma göstergeleriniz varsa, bir Cisco TAC vakası açın (Cisco ve kapsama alanı, tehlikenin doğrulanması ve yanıtlanması için bu yolu önermektedir). (BleepingComputer)
"Yerinde temizlemek" yerine yeniden inşa etmek: cihaz gerçeği konusunda dürüst olun
Güvenlik mühendisleri "yeniden inşa" kelimesinden nefret eder çünkü yıkıcıdır, ancak çevre cihazları benzersizdir: kalıcılık web bileşenlerine gömüldüğünde ve günlük bütünlüğü şüpheli olduğunda, günlerce "temizlik" yapabilir ve yine de geride bir arka kapı bırakabilirsiniz.
Kamu raporları, Cisco'nun, teyit edilmiş uzlaşma durumlarında, cihazların yeniden inşası şu anda uygulanabilir tek seçenektir kalıcılık mekanizmasını ortadan kaldırmak için. (Net Güvenliğine Yardım Edin)
"Hafifletilmiş" ve "ortadan kaldırılmış "ı farklı durumlar olarak ele alın. Hafifletme kapıyı kapatır. Yok etme saldırganın hala içeride olmadığını kanıtlar.
Yapay zeka odaklı güvenlik iş akışları nerede yardımcı olabilir?
Ortamınızda bölgeler arasında birden fazla SEG/SEWM örneği varsa, en zor kısım nadiren hafifletmenin kendisidir - koordinasyon ve kanıt izidir: hangi örneklerin açığa çıktığı, hangi yapılandırma düğmelerinin değiştiği, hangi günlüklerin tutulduğu, giden bağlantıların yayınlanan IOC'lerle eşleşip eşleşmediği ve nihai güvenlik duruşunun neye benzediği.
Yapay zeka odaklı bir platformun sihir gibi davranmadan gerçekten değer katabileceği yer burasıdır:
- Maruz kalma doğrulamasını ("Spam Karantinasına güvenilmeyen ağlardan erişilebilir mi?") bir programa göre otomatikleştirme
- Yayınlanan IOC'leri SIEM, güvenlik duvarı günlükleri ve uç nokta telemetrisi genelinde tekrarlanabilir avlara dönüştürme
- Hem CISO'nun hem de mühendisin güvenebileceği, kanıt öncelikli bir olay raporu oluşturma
Güvenlik otomasyonu için zaten Penligent kullanıyorsanız, buradaki uyum basittir: doğrulayan tekrarlanabilir bir çalışma kitabı oluşturun yapılandırma + erişilebilirlik + telemetri kontrolleri ve IR için yapılandırılmış bir kanıt paketi yayınlar. En iyi sonuç "yapay zeka sömürüsü" değildir - daha az kör nokta ve daha hızlı, daha yüksek güvene sahip kararlardır.
Referanslar
https://nvd.nist.gov/vuln/detail/CVE-2025-20393
https://www.cve.org/CVERecord?id=CVE-2025-20393
https://blog.talosintelligence.com/uat-9686
https://www.runzero.com/blog/cisco-secure-email-gateway
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://cwe.mitre.org/data/definitions/20.html
https://github.com/Fahrj/reverse-ssh
