Binlerce Ivanti Connect Secure ve Policy Secure uç noktası, ilk kez bir aydan uzun bir süre önce açıklanan ve satıcının kademeli olarak yamaladığı çok sayıda güvenlik sorununa karşı savunmasız olmaya devam ediyor.
Kusurlar CVE-2024-22024, CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 ve CVE-2024-21888’dir. Önem dereceleri yüksek ile kritik arasında değişir ve kimlik doğrulamayı atlama, sunucu tarafı istek sahteciliği, rastgele komut yürütme ve komut ekleme sorunlarıyla ilgilidir.
Bu güvenlik açıklarından bazılarının, çok çeşitli tehdit aktörleri tarafından daha büyük ölçekte kullanılmadan önce ulus devlet aktörleri tarafından istismar edildiği rapor edildi.
CVE-2024-22024 ile başlayan sorun, Ivanti Connect Secure, Policy Secure ve ZTA ağ geçitlerinin SAML bileşeninde, kısıtlı kaynaklara yetkisiz erişime izin veren bir XXE güvenlik açığıdır.
İlk olarak geçen hafta açıklanan ve henüz aktif bir istismarın onaylanmadığı satıcı, herhangi bir yama yoksa mevcut güvenlik güncellemelerini veya hafifletici önlemleri hemen uygulamanın kritik önem taşıdığını bildirdi.
Tehdit izleme hizmeti Shadowserver, internet taramalarının CVE-2024-22024’e karşı savunmasız 3.900’den fazla Ivanti uç noktası gösterdiğini bildirdi. Bunların çoğu Amerika Birleşik Devletleri’ndedir (1.262).
Kuruluş, kimliği doğrulanmış yöneticilerin özel hazırlanmış istekler göndererek savunmasız cihazlar üzerinde keyfi komutlar yürütmesine olanak tanıyan bir kusur olan CVE-2024-21887’ye karşı hâlâ savunmasız yaklaşık 1000 Ivanti uç noktası gördü.
Güvenlik açığı ilk olarak 10 Ocak 2024’te sıfır gün olarak açıklandı ve Çinli bilgisayar korsanları tarafından bir kimlik doğrulama atlama sorunu olan CVE-2023-46805 ile birlikte kullanıldığı bildirildi.
Yutaka SejiyamaMacnica’da bir güvenlik araştırmacısı olan , Shodan tarama sonuçlarını bugün erken saatlerde BleepingComputer ile paylaştı ve 15 Şubat 2024 00:15 UTC itibarıyla CVE-2024-21893, CVE için henüz yama uygulamayan 13.636 Ivanti sunucusunun bulunduğunu bildirdi. -2024-21888, CVE-2023-46805 ve CVE-2024-21887.
Bu dört güvenlik açığına ilişkin güvenlik güncellemeleri Ivanti tarafından bir aydan uzun bir süre önce 31 Ocak 2024’te kullanıma sunuldu.
Araştırmacıya göre internete açık Ivanti sunucularının toplam sayısı 24.239, yani bunların yarısından fazlası yamasız durumda.
8 Şubat 2024’te açıklanan ve düzeltilen CVE-2024-22024 ile ilgili olarak Sejiyama’nın araştırması, bugün itibarıyla küresel yama yüzdesinin yalnızca %21,1 olduğunu ve 19.132 sunucunun tehlikeli yetkisiz erişim kusuruna maruz kaldığını gösteriyor.
Ne yazık ki, Ivanti ürünlerini etkileyen kusurlar kısa bir sürede ortaya çıktı ve yöneticiye yamaları uygulamaya hazırlanmak için çok az zaman tanındı.
Bu durum, iyileştirme çabalarını karmaşık hale getiriyor ve Ivanti sistemlerinin uzun süre boyunca savunmasız kalması riskini artırıyor; bu da tehdit aktörlerine geniş bir potansiyel kurban listesi sağlıyor.