ABD Siber Güvenlik Ajansı Aktif Olarak İstismar Edilen Ivanti EPMM Güvenlik Açığı Konusunda Uyardı


19 Ocak 2024Haber odasıSiber Tiyatro / Sıfır Gün

Ivanti EPMM Güvenlik Açığı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), perşembe günü Ivanti Endpoint Manager Mobile (EPMM) ve MobileIron Core’u etkileyen yamalanmış kritik bir kusuru Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve bunun vahşi ortamda aktif olarak kullanıldığını belirtti.

Söz konusu güvenlik açığı CVE-2023-35082 (CVSS puanı: 9,8), CVE-2023-35078 (CVSS puanı: 10,0) olarak izlenen aynı çözümdeki başka bir kusur için yama atlaması olan bir kimlik doğrulama atlaması.

Ivanti, Ağustos 2023’te şunları kaydetti: “Bu güvenlik açığı istismar edilirse, yetkisiz, uzak (internete bakan) bir aktörün potansiyel olarak kullanıcıların kişisel bilgilerine erişmesine ve sunucuda sınırlı değişiklikler yapmasına olanak tanır.”

Siber güvenlik

Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 ve 11.8 ile MobileIron Core 11.7 ve önceki sürümlerin tüm sürümleri bu güvenlik açığından etkilenmektedir.

Kusuru keşfeden ve bildiren siber güvenlik firması Rapid7, bir saldırganın cihaza kötü amaçlı web kabuğu dosyaları yazmasına izin vermek için CVE-2023-35081 ile zincirlenebileceğini söyledi.

Şu anda güvenlik açığının gerçek dünyadaki saldırılarda nasıl silah haline getirildiğine dair hiçbir ayrıntı yok. Federal kurumların, satıcı tarafından sağlanan düzeltmeleri 8 Şubat 2024’e kadar uygulamaları önerilir.

Açıklama, Ivanti Connect Secure (ICS) sanal özel ağ (VPN) cihazlarındaki (CVE-2023-46805 ve CVE-2024-21887) diğer iki sıfır gün kusurunun da web kabuklarını ve pasif arka kapıları düşürmek için kitlesel istismara maruz kalmasıyla geldi. Şirketin önümüzdeki hafta güncellemeleri yayınlaması bekleniyor.

Ivanti bir danışma belgesinde, “Tehdit aktörünün, VPN’nin çalışması için önemli sırları içeren sistemin yapılandırmasını ve çalışan önbelleğini hedef aldığını gözlemledik” dedi.

“Bunu her durumda gözlemlememiş olsak da, ihtiyatlı davranmak adına Ivanti, bu sırları yeniden inşa ettikten sonra değiştirmenizi tavsiye ediyor.”

Siber güvenlik

Volexity, bu haftanın başında dünya çapında 1.700’den fazla cihazın ele geçirildiğine dair kanıt bulduğunu açıkladı. İlk istismar, UTA0178 adlı şüpheli bir Çinli tehdit aktörüyle bağlantılı olsa da, daha sonra başka tehdit aktörleri de bu istismar kervanına katıldı.

Assetnote tarafından ikiz kusurlar üzerinde yapılan daha ileri tersine mühendislik, kimlik doğrulama atlama kusurunun (CVE-2023-46805) eski sürümlerde kötüye kullanılabileceği ek bir uç noktayı (“/api/v1/totp/user-backup-code”) ortaya çıkardı. ICS’yi açın ve ters bir kabuk elde edin.

Güvenlik araştırmacıları Shubham Shah ve Dylan Pindur, bunu “göreceli olarak basit güvenlik hatalarının sonucu olarak kendisini geniş çaplı istismara maruz bırakan güvenli bir VPN cihazının başka bir örneği” olarak tanımladılar.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link