14 Ağustos 2025 | CVSS 10.0 | Kritik Seviye
Cisco, Secure Firewall Management Center (FMC) yazılımında, kimlik doğrulama olmadan uzaktan sistem kontrolü elde edilmesine imkân veren kritik bir güvenlik açığını duyurdu. CVE-2025-20265 olarak kaydedilen bu zafiyet, RADIUS kimlik doğrulama sürecindeki input validation eksikliğinden kaynaklanıyor.
Açığın Özeti
- CVE ID: CVE-2025-20265
- CVSS Puanı: 10.0 (Kritik)
- CWE: CWE-74 (Command Injection)
- Cisco Bug ID: CSCwo91250
- Keşif: Brandon Sakai – Cisco iç güvenlik testleri
- Saldırı Vektörü: Ağ/Uzaktan (Remote)
- Authentication: Gerekmiyor
Cisco’nun açıklamasına göre:
“RADIUS subsystem implementasyonundaki bir zafiyet, kimliği doğrulanmamış uzak saldırganların cihaz üzerinde arbitrary shell komutları çalıştırmasına olanak tanır.”
Teknik Detaylar ve Sömürü Mekanizması
Açık, FMC’nin RADIUS authentication sürecinde kullanıcı girişlerinin yeterince filtrelenmemesi nedeniyle ortaya çıkıyor. Saldırgan özel hazırlanmış kimlik bilgilerini göndererek komut enjeksiyonu yapabiliyor.
İstismar adımları:
- Hedef Seçimi: RADIUS aktif FMC örneklerinin tespiti
- Payload Gönderimi: Özel hazırlanmış username/password ile RADIUS isteği
- Komut Çalıştırma: Input validation eksikliği sonucu shell komutu çalıştırma
- Yetki Yükseltme: Komutlar root/admin haklarıyla çalıştırılır
Basit bir örnek payload:
Username: admin'; whoami > /tmp/test.txt; #
Password: any_valueEtkilenen Sistemler
| Ürün | Versiyon | Etkililik Durumu | Ön Koşul |
|---|---|---|---|
| Cisco Secure FMC | 7.0.7 | Etkilenir | RADIUS aktif |
| Cisco Secure FMC | 7.7.0 | Etkilenir | RADIUS aktif |
| Cisco ASA Software | Tüm sürümler | Etkilenmez | N/A |
| Cisco FTD Software | Tüm sürümler | Etkilenmez | N/A |
📌 Not: Sadece RADIUS authentication’ın web veya SSH yönetimi için aktif olduğu sistemler etkilenir.
Tespit ve Kontrol
Sürüm kontrolü:
show version | grep "Version"
RADIUS yapılandırma kontrolü:
show running-config | grep radius
show aaa-server
Log takibi:
grep "RADIUS" /var/log/messages
grep -E "(whoami|id|cat)" /var/log/audit/audit.log
Geçici Önlemler
Bu açık için resmi workaround yok. Cisco, aşağıdaki alternatifleri öneriyor:
- Local User Accounts kullanmak
- LDAP Authentication veya SAML SSO konfigürasyonu
- Yönetim arayüzüne erişimi IP bazlı kısıtlamak
Örnek erişim kısıtlama:
http 192.168.1.0 255.255.255.0 inside
no http 0.0.0.0 0.0.0.0 outside
Kalıcı Çözüm – Yazılım Güncellemesi
Cisco, zafiyeti kapatan yamaları yayımladı:
- FMC 7.0.7 → 7.0.7.1
- FMC 7.7.0 → 7.7.0.1
Yükleme adımları:
copy https://software.cisco.com/path/update.pkg disk0:/
install add disk0:/update.pkg
install activate update.pkg
install commit update.pkg
show version
Risk Değerlendirmesi
Başarılı bir istismar sonrasında:
- Güvenlik duvarı kurallarının değiştirilmesi
- Ağ topolojisinin ve konfigürasyonun sızdırılması
- Lateral movement ile ağın derinliklerine erişim
- Güvenlik servislerinin devre dışı bırakılması
Sonuç
CVE-2025-20265, Cisco FMC için son dönemin en tehlikeli açıklarından biri.
Kimlik doğrulama gerektirmeden, uzaktan ve maksimum CVSS puanıyla istismar edilebilmesi nedeniyle RADIUS aktif tüm FMC’lerde acil güncelleme zorunludur.
About the Author
