Dünya çapında 1.700’den fazla Ivanti Connect Secure VPN cihazının güvenliği, şu anda mevcut yama olmadan iki sıfır günden yararlanan saldırganlar tarafından ele geçirildi.
Volexity araştırmacıları, “UTA0178’in ötesindeki ek tehdit aktörlerinin artık bu istismara erişimi var gibi görünüyor ve aktif olarak cihazlardan yararlanmaya çalışıyorlar” dedi.
İlk bulgular
Hem Volexity hem de Ivanti, 10 Ocak’ta bilinmeyen saldırganların, organizasyonları ihlal etmek ve sonuçta iç ve dış ortamlarına web kabukları yerleştirmek için CVE-2023-46805 (kimlik doğrulama atlaması) ve CVE-2024-21887 (komut ekleme güvenlik açığı) açıklarından yararlandığını açıkladı. web sunucuları. Saldırılar aralık başından bu yana sürüyor.
Ivanti Connect Secure VPN cihazlarını kullanan kuruluşlara, mümkün olan en kısa sürede geçici azaltımları uygulamaları, güvenlik ihlali kanıtlarını kontrol etmeleri ve ihlal edilmeleri durumunda saldırganları sistemlerinden çıkarmaları tavsiye edildi.
Kısa bir süre sonra, Mandiant olay müdahale ekipleri, Volexity tarafından UTA0178 takma adı altında takip edilen ve siber casusluk yapan Çin destekli bilgisayar korsanları olduğuna inanılan, tehdit aktörleri tarafından kullanılan özel kötü amaçlı yazılımlara ilişkin risk göstergeleri paylaştı.
Dünya çapında 1.700’ün üzerinde güvenliği ihlal edilmiş Ivanti VPN bulundu
Volexity, bilgileri halka açıkladıktan kısa bir süre sonra, güvenlik açıklarına aşina olduğu anlaşılan biri tarafından yapılan geniş kapsamlı tarama kanıtlarını tespit etmeye başladıklarını ve ayrıca 11 Ocak 2024’te cihazlarının tehlikeye atıldığını fark eden birden fazla kuruluştan raporlar aldıklarını söylüyor.
Bu cihazlara, daha önce tespit edilen olaylarda kullanılan GIFTEDVISITOR web kabuğunun bir çeşidiyle arka kapı kapatılmıştı.
Şirket daha sonra Ivanti Connect Secure VPN cihazları cihazlarında bu web kabuğunun kanıtını bulmak için yeni bir tarama yöntemi geliştirdi ve yaklaşık 30.000 ICS IP adresini taradı.
“14 Ocak 2024 Pazar günü Volexity, GIFTEDVISITOR web kabuğunun güvenliği ihlal edilmiş 1.700’den fazla ICS VPN cihazı tespit etti. Bu cihazların dünyanın her yerindeki kurbanlarla ayrım gözetmeksizin hedef alındığı görülüyor” dedi.
“Kurbanlar küresel olarak dağılmış durumda ve büyüklükleri küçük işletmelerden dünyanın en büyük kuruluşlarına kadar (bunların arasında birçok sektördeki Fortune 500 şirketleri de var) büyük farklılıklar gösteriyor.”
Bu kurbanların UTA0178 tarafından hedef alındığına inanıyorlar, ancak aynı zamanda diğer tehdit aktörleri tarafından “UTA0178’e göre gözle görülür derecede daha zayıf operasyonel güvenlikle” istismar edilmeye çalışıldığına dair kanıtlar da buldular. Öyle görünüyor ki, istismarlar paylaşılmış veya diğer bilgisayar korsanlığı grupları kendilerininkini yaratmayı başarmış (tıpkı güvenlik araştırmacılarının yaptığı gibi).
Ne yapalım?
Ivanti Connect Secure VPN cihazlarını ve Ivanti’nin Policy Secure NAC çözümünü kullanan kuruluşların, yamalar kullanıma sunulana kadar önerilen hafifletme sürümünü uygulamaları konusunda ısrar ediliyor.
“Ancak azaltımların ve yamaların uygulanması geçmişteki uzlaşmaları çözmeyecektir. Volexity araştırmacıları, ICS VPN cihazlarını çalıştıran kuruluşların günlüklerini, ağ telemetrisini ve Bütünlük Denetleyicisi Aracı sonuçlarını (geçmiş ve mevcut) gözden geçirerek başarılı bir uzlaşma belirtisi aramaları önemlidir,” dedi.
Şirket, keşfedilen uzlaşmalara yanıt vermek için bir kılavuz sağladı.
Ayrıca, “Volexity’nin bilinen bir bağlantısı olduğu durumlarda, kendi seçim bölgelerindeki mağdurları bildirmek için ulusal CERT’lerle temasa geçilmiştir” dediler, ancak kuruluşlarla iletişime geçilmeye güvenmemeli ve bir ihlali onaylamak veya reddetmek için kendi soruşturmalarını yapmalılar.
Ivanti ayrıca güncel kurtarma kılavuzunu da yayınladı.