Gelişmiş Tehdit Aktörü Citrix Bleed 2 ve Cisco ISE Açıklarını Sıfır Gün Saldırılarında Kullandı: Amazon MadPot Analizi Özel Kötü Amaçlı Yazılımı Ortaya Çıkardı
Amazon Threat Intelligence ekibi, MadPot honeypot verileri üzerinden Citrix’in NetScaler ADC ve Gateway ürünlerindeki “Citrix Bleed 2” (CVE-2025-5777) açığının ve Cisco Identity Service Engine’deki (CVE-2025-20337) kritik güvenlik zafiyetinin kamuya açıklanmadan önce gelişmiş bir tehdit aktörü tarafından sıfır gün olarak kullanıldığını tespit etti. Araştırmada, saldırganların Cisco ISE üzerinde “IdentityAuditAction” adıyla gizlenen özel bir web shell konuşlandırdığı, Java/Tomcat iç yapıları ve yetkisiz yönetici erişim zincirinden yararlandığı belirlendi. Her iki güvenlik açığının haziran ve temmuz aylarında yayımlanan yamalardan önce istismar edildiği doğrulanırken, uzmanlar organizasyonları acil güncelleme ve erişim kısıtlamaları uygulamaya çağırıyor.
Amazon Threat Intelligence, MadPot honeypot platformunda topladığı veriler üzerinden Citrix Bleed 2 (CVE-2025-5777) ve Cisco ISE CVE-2025-20337 açıklarının kamuya açıklanmadan önce saldırganlar tarafından kullanıldığını tespit etti. Ekip, istismar girişimlerinin yama yayımlanmadan önce görülmesinin gelişmiş ve iyi kaynaklı bir aktöre işaret ettiğini bildirdi.
Citrix Açığı Kamuya Açıklanmadan İstismar Edildi
Citrix Bleed 2, NetScaler ADC ve Gateway’de out-of-bounds memory read sorununa dayanıyor ve üretici haziran sonunda düzeltme yayımlamıştı. Üçüncü taraf raporlara rağmen Citrix’in istismarı doğrulaması zaman almış, temmuz ayında exploit kodu yayılmış ve CISA açığı “aktif istismar edilenler” listesine eklemişti. Amazon’un bulguları, saldırganların zafiyeti sürdürülen araştırmalardan önce sıfır gün olarak kullandığını gösteriyor.
Cisco ISE Açığı Gizli Bir Uç Nokta Üzerinden Hedef Alındı
Amazon, Citrix istismarı sırasında saldırganın Cisco ISE üzerinde daha önce belgelenmemiş bir uç noktayı hedefleyen anomal bir yük kullandığını belirledi ve verileri Cisco ile paylaştı. Temmuz ayında en yüksek önem derecesiyle yayımlanan CVE-2025-20337, kimlik doğrulaması olmayan bir saldırganın kötü amaçlı dosyalar yazmasına, kod yürütmesine ve root ayrıcalıkları elde etmesine olanak tanıyor. Yayından sonraki beş gün içinde aktif istismar teyit edilmiş ve araştırmacılar istismar zincirine dair teknik ayrıntıları paylaşmıştı.
Özel Web Shell ile Gizli Kalma Teknikleri Kullanıldı
Saldırganlar Cisco ISE üzerinde ‘IdentityAuditAction’ adını taşıyan ve meşru bir bileşen gibi davranan özel bir web shell yerleştirdi. Bu bileşen, bir HTTP dinleyici olarak çalışarak tüm istekleri yakaladı, Java reflection kullanarak Tomcat iş parçacıklarına enjekte oldu ve standart dışı base64 ile birlikte DES şifreleme kullanarak trafiğini gizledi. Web shell, yalnızca belirli HTTP üstbilgilerini bilen kişiler tarafından erişilebilir durumdaydı ve adli izleri en aza indirecek şekilde tasarlanmıştı.
Gelişmiş Teknikler Geniş Kaynaklı Bir Aktöre İşaret Ediyor
Hem sıfır gün açıkların kullanılması hem de Cisco ISE’nin iç mimarisi hakkında derin teknik bilgi gerektiren yöntemler, operasyonun yüksek kabiliyetli bir tehdit aktörü tarafından yürütüldüğünü düşündürüyor. Ancak Amazon, faaliyeti bilinen bir grubun taktikleriyle ilişkilendiremedi. Buna karşın saldırıların seçici olmayan hedeflemeye sahip olması, tipik APT operasyonlarından ayrışan bir unsur olarak değerlendirildi.
Uzmanlar, kurumların CVE-2025-5777 ve CVE-2025-20337 için yayımlanan düzeltmeleri derhal uygulamasını ve kenar ağ cihazlarına erişimi güvenlik duvarı ve katmanlama ilkeleriyle sınırlandırmasını öneriyor.
Ajans Expres Gazetesi
Tepkiniz Nedir?
