CVE-2025-20124 (CVSS 9.9) & CVE-2025-20125 (CVSS 9.1): Cisco ISE’deki Kritik Zafiyetler: Uzaktan Komut Çalıştırma, Yetki Atlaması ve Sömürü Kontrolü

1. Giriş

Cisco Identity Services Engine (ISE), ağ güvenlik politikası yönetiminde geniş olarak kullanılan güçlü bir platformdur. Ancak, yakın zamanda keşfedilen iki kritik zafiyet – CVE-2025-20124 (insecure Java deserialization) ve CVE-2025-20125 (authorization bypass) – sistemlerin uzaktan yetkisiz erişime ve komut çalıştırmaya açık olduğunu göstermektedir. Bu makalede, zafiyetlerin teknik detayları, etkilenen ürünler, nasıl korunulması gerektiği ve aynı zamanda sistemin sömürüldüğüne dair izlerin (indikator of compromise) nasıl tespit edilebileceği ve örnek sömürü senaryoları ele alınmaktadır.

2. Zafiyetlerin Teknik Detayları

CVE-2025-20124: Güvensiz Java Nesne Serileştirmesi (CVSS 9.9)

• Kaynak: Bu zafiyet, Cisco ISE’in belirli bir API’sinde, kullanıcı tarafından sağlanan Java byte stream’lerinin güvenli olmayan biçimde serileştirilmesinden kaynaklanmaktadır.
• Sömürü Yöntemi: Bir saldırgan, geçerli (okuma yetkili) yönetici kimlik bilgilerine sahip olduktan sonra, kötü amaçlı olarak hazırlanmış serileştirilmiş bir Java nesnesini ilgili API’ye gönderir. Bu işlem, ISE servisinin root yetkileriyle çalıştığı ortamda keyfi komutların çalıştırılmasına ve yetki yükseltmesine yol açabilir.

CVE-2025-20125: Yetkilendirme Atlaması (CVSS 9.1)

• Kaynak: Belirli bir API’de yetersiz yetkilendirme kontrolleri ve kullanıcı tarafından gönderilen verinin yetersiz doğrulanması sonucu ortaya çıkan bu zafiyet, saldırganların hassas bilgilere erişmesine, sistem yapılandırmalarını değiştirmesine ve hatta node’un yeniden başlatılmasına olanak tanır.
• Sömürü Yöntemi: Saldırgan, geçerli ancak yalnızca okuma yetkisine sahip kimlik bilgilerini kullanarak, özel olarak hazırlanmış bir HTTP isteği gönderir. Bu istek, yetkilendirme kontrollerini atlayarak hassas veri erişimine ve konfigürasyon değişikliklerine yol açar.

3. Etkilenen Ürünler ve Düzeltme Sürümleri

Cisco, aşağıdaki ürün ve sürümlerde bu zafiyetlerin bulunduğunu bildirmiş; ilgili düzeltme yamaları ise belirtilen sürümlerde mevcuttur:

Her iki zafiyet de Cisco ISE ile Cisco ISE Passive Identity Connector (ISE-PIC) ürünlerini etkilemektedir. Bu nedenle, etkilenen sistemlerde Cisco’nun sunduğu en güncel yamaların uygulanması kritik öneme sahiptir.

4. Sömürü Belirtileri ve Etki Kontrolü

Komut Satırı ve Arayüz Üzerinden İzleme

Sistem yöneticileri, aşağıdaki yöntemlerle Cisco ISE’nin zafiyetten etkilenip etkilenmediğini veya sömürüldüğünü tespit edebilir:

• CLI Komutları:
  • Yazılım Sürüm Kontrolü: “show version” veya benzeri komutlarla cihazın hangi sürümde çalıştığını kontrol ederek, yama uygulanmamış (vulnerable) sürümde olup olmadığını belirleyebilirsiniz.
  • Log Analizi: “show logging” komutu veya ISE’nin log dosyalarına erişim sağlayarak, API isteklerinde olağan dışı veya şüpheli serileştirilmiş nesne içeren kayıtlar, beklenmeyen komut çalıştırma girişimleri veya konfigürasyon değişikliklerini inceleyebilirsiniz.
  • Sistem İzleme: “show application status” veya “show run” gibi komutlarla, sistemde beklenmeyen yeniden başlatmalar ya da yapılandırma değişiklikleri varsa bunları gözlemleyin.
• Web Arayüzü Üzerinden Kontrol:
  • ISE’nin yönetim arayüzünde, güvenlik olayları veya uyarı bildirimleri bölümünü inceleyerek, şüpheli API çağrıları ve anormal aktiviteye ilişkin bildirimler kontrol edilebilir.
  • Dosya bütünlüğü izleme sistemleriyle, önemli konfigürasyon dosyalarında beklenmeyen değişiklikler olup olmadığı denetlenebilir.

Bu tür anormallikler, zafiyetin sömürüldüğüne dair erken uyarı işaretleri verebilir.

5. Örnek Sömürü Senaryosu

CVE-2025-20124 için Örnek Senaryo

1. Hazırlık:
   • Saldırgan, Cisco ISE üzerinde geçerli ancak sadece okuma yetkisine sahip bir yönetici hesabına sahiptir.
   • Hedef API’yi belirler (örneğin, Java nesne serileştirme mekanizmasını kullanan bir API).
2. Sömürü Adımları:
   • Kötü amaçlı hazırlanmış serileştirilmiş Java nesnesi oluşturulur. (PoC kodları genellikle bu adımda Java tabanlı araçlar kullanılarak oluşturulur.)
   • Bir HTTP POST isteği ile bu kötü amaçlı nesne, hedef API’ye gönderilir.
   • ISE, bu nesneyi işlerken, saldırganın hazırladığı komutların sistem tarafından root yetkileriyle çalıştırılması sağlanır.
3. Kontrol:
   • Saldırı sonrası, sistem loglarında normalde görülmeyen komut çalıştırma girişimleri veya konfigürasyon değişiklikleri tespit edilebilir.
   • “show logging” komutuyla bu anormallikler incelenebilir.

CVE-2025-20125 için Örnek Senaryo

1. Hazırlık:
   • Saldırgan, yine geçerli ancak sınırlı yetkiye sahip bir hesap kullanmaktadır.
   • Hedef API’de yetkilendirme kontrollerinin yetersiz olduğu tespit edilir.
2. Sömürü Adımları:
   • Özel olarak hazırlanmış bir HTTP isteği (örneğin, zararlı parametreler içeren JSON payload) oluşturulur.
   • Bu istek, hedef API’ye gönderilir; yetkilendirme atlanarak hassas veri okunabilir, sistem konfigürasyonları değiştirilebilir veya node yeniden başlatılabilir.
3. Kontrol:
   • ISE loglarında, normalde beklenmeyen yapılandırma değişiklikleri veya API çağrıları tespit edilebilir.
   • Web arayüzünde veya CLI üzerinden yapılan denetimlerde, API erişim kayıtları incelenerek şüpheli etkinlikler belirlenebilir.

6. Korunma Yolları

• Güncelleme:
  • Cisco’nun sunduğu en son yamaları (ör. 3.1P10, 3.2P7, 3.3P4 ve 3.4’ün etkilenmediği sürümleri) hemen uygulayın.
• Yetki Yönetimi:
  • Okuma yetkisiyle sınırlı olan hesapların parolalarını ve erişim izinlerini gözden geçirin.
  • Gereksiz yüksek yetkili erişimlerin kısıtlandığından emin olun.
• Güvenlik İzleme:
  • SIEM sistemleri ve log analizi araçları kullanarak anormal API çağrıları ve konfigürasyon değişiklikleri izleyin.
  • Dosya bütünlüğü izleme sistemleriyle, kritik konfigürasyon dosyalarında beklenmeyen değişiklikleri tespit edin.
• Düzenli Denetim:
  • Cisco ISE’nin CLI ve web arayüzü üzerinden periyodik güvenlik denetimleri yapın.

7. Sonuç

CVE-2025-20124 ve CVE-2025-20125 zafiyetleri, Cisco ISE’nin güvenlik mimarisinde yer alan ciddi aksaklıkları ortaya koymaktadır. Bu zafiyetlerin sömürüldüğüne dair izlerin (örneğin, olağan dışı log kayıtları, beklenmeyen komut çalıştırmaları veya yapılandırma değişiklikleri) erken tespiti, sistem yöneticilerinin hızlı müdahale edebilmesi açısından kritik öneme sahiptir. Güncellemelerin uygulanması, yetki yönetiminin sıkılaştırılması ve düzenli denetimlerle, bu tür saldırıların önüne geçilebilir.

Bu makale, Cisco ISE ortamlarında görev yapan güvenlik profesyonellerine, hem zafiyetlerin sömürü senaryolarını anlamada hem de sistemin etkilenip etkilenmediğini kontrol etmede rehberlik etmeyi amaçlamaktadır. Sürekli gelişen tehdit ortamına karşı, proaktif izleme ve düzenli güncellemeler en iyi savunma yöntemleridir.

CiscoISE #CVE202520124 #CVE202520125 #AğGüvenliği #SiberGüvenlik #NetworkSecurity #GüvenlikAçıkları #ZafiyetAnalizi #JavaDeserialization #AuthorizationBypass #CiscoGüncelleme #SistemGüvenliği

About the Author

melih can altan

Administrator

View All Posts