14 Ağustos 2025 | CVSS 8.6 | High Severity
Cisco, Secure Firewall Threat Defense (FTD) yazılımında yüksek riskli bir güvenlik açığı bildirdi. CVE-2025-20217 olarak takip edilen bu zafiyet, saldırganların uzaktan DoS (Denial of Service) saldırıları ile cihazları geçici olarak işlevsiz hâle getirmesine olanak tanıyor.
Açığın Özeti
CVE-2025-20217, Cisco FTD’nin Snort 3 Detection Engine bileşeninde bulunan bir hata sonucu ortaya çıkıyor. Kritik noktalar:
- CVE ID: CVE-2025-20217
- CVSS Puanı: 8.6 (High)
- CWE: CWE-835 (Loop with Unreachable Exit Condition)
- Cisco Advisory: cisco-sa-ftd-dos-SvKhtjgt
- Saldırı Vektörü: Remote/Network
- Authentication: Gerekmiyor
Cisco’nun resmi açıklaması: “Snort 3 Detection Engine, paket denetimi sırasında özel hazırlanmış trafiği yanlış işleyebilir. Bu durum, cihazın sonsuz döngüye girerek geçici DoS durumuna düşmesine neden olabilir.”
Teknik Detaylar ve Sömürü Yöntemi
Sonsuz Döngü (Infinite Loop) Mekanizması
Açık, Snort 3 motorunun trafik paketlerini analiz ederken döngüden çıkamaması ile tetikleniyor. Saldırganlar bu zafiyeti şöyle kullanabilir:
- Hedef Belirleme: Snort 3 motoru aktif FTD cihazları tespit edilir
- Crafted Trafik Gönderme: Özel hazırlanmış paketler cihaz üzerinden iletilir
- Infinite Loop: Trafik işlenirken Snort 3 motoru sonsuz döngüye girer
- Geçici Denetim Kaybı: Sistem watchdog süreci motoru yeniden başlatsa da, saldırı sırasında güvenlik fonksiyonları aksar
Örnek Sömürü Durumu
- Saldırı uzaktan gerçekleştirilebilir
- Kimlik doğrulama gerekmez
- Paket yoğunluğu ve karmaşıklığına bağlı olarak cihaz geçici olarak işlevsiz hâle gelir
Etkilenen Sistemler ve Ön Koşullar
| Ürün | Risk Durumu | Ön Koşul |
|---|---|---|
| Cisco Secure FTD | Vulnerable | Snort 3 aktif, intrusion policies enabled |
| Cisco ASA | Safe | N/A |
| Cisco FMC | Safe | N/A |
| Diğer Cisco ürünleri | Safe | N/A |
Not: Snort 3 aktif değilse, açık sömürülemez.
Tespit ve Kontrol Yöntemleri
# Snort 3 motoru aktif mi kontrol
show running-config | include snort
show intrusion-policy
- Sistem loglarını inceleyerek geçici işlem kesintilerini gözlemleyebilirsiniz
- Watchdog yeniden başlatmalarına dair uyarılar loglarda görülebilir
Çözüm ve Güncellemeler
Cisco, workaround olmadığını ve tek çözümün yazılım güncellemesi olduğunu bildiriyor.
Güncelleme Adımları
- Cisco Secure FTD cihazlarınız için yayınlanan en güncel sürümleri yükleyin
- Yazılım güncellemeleri Cisco resmi kanallarından ücretsiz olarak sağlanıyor
- Service contract’ı olmayan müşteriler, TAC üzerinden upgrade desteği alabilir
Risk Değerlendirmesi
CVE-2025-20217’in istismar edilmesi durumunda:
- FTD cihazları geçici olarak işlevsiz hâle gelir
- Ağ güvenliği trafiği denetlenemez, güvenlik boşluğu oluşur
- Sophisticated saldırganlar bu sürede ek saldırılar başlatabilir
Sonuç
Snort 3 motorunda bulunan bu yüksek riskli açık, uzaktan, kimlik doğrulama olmadan DoS saldırılarına imkan tanıyor.
Acil Eylem: Snort 3 motoru aktif olan tüm Cisco FTD cihazları derhal güncellenmelidir. Sistemlerinizi korumak için güncellemeleri geciktirmeyin.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #CiscoFTD #Snort3 #DoS #FirewallSecurity #PatchManagement
About the Author
