Ivanti Connect Secure VPN cihazlarındaki kritik bir güvenlik açığı, dünya çapında 2.048 örneği potansiyel istismara maruz bıraktı; ABD, en fazla sayıda güvenlik açığına sahip sisteme ev sahipliği yapıyor.
CVE-2025-0282 olarak takip edilen güvenlik açığından Aralık 2024’ün ortasından bu yana aktif olarak yararlanılıyor.
Güvenlik açığı, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren CVSS puanı 9,0 olan kritik bir yığın tabanlı arabellek taşmasından kaynaklanmaktadır. Bu durum, 22.7R2.5’ten önceki Connect Secure sürümleri, 22.7R1.2’den önceki Policy Secure sürümleri ve 22.7R2.3’ten önceki ZTA ağ geçitleri için Neurons dahil olmak üzere birçok Ivanti ürününü etkiliyor.
Shadowserver dünya çapında 2.048 örneğin savunmasız olduğunu gözlemledi.
Mandiant’ın araştırması, tehdit aktörlerinin sürüme özel yararlanma tekniklerini kullanarak karmaşık saldırılar gerçekleştirdiğini ortaya çıkardı. Saldırı dizisi tipik olarak şunları içerir:
- Cihaz versiyonlarını belirlemek için ilk keşif
- SELinux dahil güvenlik özelliklerinin devre dışı bırakılması
- Yazma erişimi için dosya sistemini yeniden bağlama
- Kalıcılık için web kabuklarının dağıtımı
- Algılanmayı önlemek için günlük girişlerinin kaldırılması
Bu istismar, Çin bağlantılı bir tehdit grubu olan UNC5337 ile bağlantılı olsa da birden fazla tehdit aktörünün olaya dahil olduğu görülüyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Saldırganlar, DRYHOOK ve PHASEJAM dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini konuşlandırarak, kalıcı erişimi sürdürme ve veri hırsızlığını kolaylaştırma konusunda gelişmiş yetenekler sergilediler.
Azaltma Adımları
Ivanti, Connect Secure (sürüm 22.7R2.5) için acil durum yamaları yayınlarken, Policy Secure ve Neurons for ZTA güncellemelerinin 21 Ocak 2025’te yapılması planlanıyor. Şirket, kuruluşlara şunları şiddetle tavsiye ediyor:
- Mevcut yamaları hemen uygulayın
- Bütünlük Denetleyicisi Aracını (ICT) kullanarak sistemleri izleyin
- Hem dahili hem de harici BİT taramaları gerçekleştirin
- En son sürüme yükseltmeden önce fabrika ayarlarına sıfırlama yapın
Bu güvenlik açığının yaygın şekilde kullanılması, büyük kuruluşları ve devlet kurumlarını etkileyen önceki olaylar da dahil olmak üzere, Ivanti ürünlerine yönelik kritik sıfır gün saldırıları modelini takip ediyor.
Binlerce sistem hâlâ savunmasız durumdayken güvenlik uzmanları, hem ulus devlet aktörlerinin hem de siber suç gruplarının istismar girişimlerinde potansiyel bir artış olabileceği konusunda uyarıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!