Bilgisayar korsanları, VPN’lerdeki Sıfır Gün kusurlarından yararlanır; çünkü bu güvenlik açıkları yazılım satıcısı tarafından bilinmez ve bu açıkların hemen yamalanması zorlaşır.
Bu, güvenli çevrimiçi iletişim için VPN’lere (Sanal özel ağlar) artan bağımlılıktan yararlanmak isteyen tehdit aktörleri için özellikle kazançlı olabilir.
Son zamanlarda, Google’ın Mandiant’ındaki siber güvenlik araştırmacıları, APT korsanlarının Ivanti connect güvenli VPN’lerinin yeni sıfır gün kusurundan aktif olarak yararlandığını keşfetti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Ivanti Connect Secure VPN Yeni Sıfır Gün Kusuru
Ivanti’deki güvenlik analistleri, Ivanti Connect Secure VPN ve Ivanti Policy Secure cihazlarını etkileyen aşağıdaki iki güvenlik açığını keşfetti: –
Bu güvenlik açıklarından başarıyla yararlanılması, kimlik doğrulamanın atlanmasına ve ağ güvenliğinin aşılmasına olanak tanıyan komut enjeksiyonuna yol açabilir.
UNC5221’in sıfır gün kullanımı Aralık 2023’te başlarken Ivanti, Mandiant ile birlikte sorunları ele alıyor ve hafifletici önlemler sağlıyor.
Yukarıda belirtilen güvenlik açıklarından yararlanan UNC5221, dosyaları truva atı haline getirerek CS’de özel kötü amaçlı yazılım kullandı. PySoxy ve BusyBox, kullanım sonrasını etkinleştirirken.
UNC5221, bir kabuk komut dosyası bırakıcısı olan THINSPOOL’u konuşlandırarak salt okunur bölümleri yeniden bağlamak için bir Perl komut dosyası (sessionserver.pl) kullandı.
Bu, LIGHTWIRE web kabuğunu diğer araçlarla birlikte meşru bir Connect Secure dosyasına yazar.
THINSPOOL, Mandiant için UNC5221’in saldırılarında kalıcılığı ve kaçınmayı sağlayan önemli bir araçtır. LIGHTWIRE ağ kabuğu için ilk damlalık görevi görür ve kullanım sonrasında yardımcı olur.
LIGHT WIRE ve WIREFIRE kabukları, CS cihazlarına sürekli erişim için hafif dayanaklar sağlayarak hedeflenen kalıcılığı gösterir.
Özel Kötü Amaçlı Yazılım Keşfedildi
Aşağıda, keşfedilen tüm özel kötü amaçlı yazılımlardan bahsettik: –
- ZIPLINE Pasif Arka Kapı
- THINSPOOL Damlalık
- LIGHTWIRE Web Kabukları
- WIREFIRE Web Kabukları
- WARPWIRE Kimlik Bilgisi Biçerdöver
Mandiant’taki güvenlik analistleri, yetersiz veri nedeniyle bu tehdit aktörünün kökenini tespit edemedi. Bunun yanı sıra, uç altyapıyı sıfır günle hedeflemek yaygın bir taktiktir; zira Mandiant, APT aktörlerinin cihaza özel kötü amaçlı yazılım kullandığını zaten görmüştür.
UNC5221, sıfır günler, güvenliği ihlal edilmiş cihazlar ve kaçan tespitlerin casusluk imzaları olması nedeniyle ağ uçlarında yaşamanın casuslar için hâlâ cazip bir hedef olduğunu gösteriyor.
Bir öneri olarak siber güvenlik uzmanları, kullanıcıların bu gibi tehditleri azaltmak için mevcut güvenlik yamalarını derhal uygulamalarını şiddetle tavsiye ediyor.
IOC’ler
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.