Ivanti, yöneticileri, hafifletme önlemleri uygulandıktan sonra cihazlara yeni cihaz yapılandırmaları göndermeyi bırakmaları konusunda uyardı çünkü bu, onları iki sıfır gün güvenlik açığından yararlanan devam eden saldırılara karşı savunmasız bırakacaktır.
Şirket ek ayrıntı sunmasa da bunun, bir web hizmetinin durmasına ve uygulanan azaltmanın çalışmayı durdurmasına neden olan yapılandırmaları zorlarken bilinen bir yarış koşulundan kaynaklandığını söyledi.
Ivanti, Cumartesi günü yayınlanan yeni bir güncellemede, “Müşteriler, XML’i mevcut olan cihazlara konfigürasyonları göndermeyi bırakmalı ve cihaz yamalanana kadar konfigürasyonları göndermeye devam etmemelidir.” dedi.
“Yapılandırma cihaza iletildiğinde, bazı önemli web hizmetlerinin çalışmasını durdurur ve azaltma işleminin çalışmasını durdurur. Bu, Pulse One veya nSA aracılığıyla yapılan yapılandırma gönderimleri de dahil olmak üzere, yalnızca yapılandırmaları cihazlara ileten müşteriler için geçerlidir. Bu, ne olursa olsun gerçekleşebilir. tam veya kısmi bir yapılandırma itişinin.”
Ivanti şirketi, azaltım XML’inin yeniden uygulanmasının azaltıcı önlemlerin çalışmayı durdurmasına neden olup olmadığını henüz paylaşmadı; ancak bu durum, yeni konfigürasyonların bir cihaza her gönderildiğinde yarış durumunun meydana geldiği göz önüne alındığında muhtemel görünüyor.
Uyarı, CISA’nın ABD kurumlarına birden fazla tehdit aktörünün yaygın saldırılarında kullanılan iki Ivanti Connect Secure ve Policy Secure sıfır gün kusuruna yönelik hafifletici önlemleri derhal uygulamasını emreden 2024’ün ilk acil durum direktifini yayınlamasının ardından geldi.
Ivanti ICS ve IPS cihazları, en az Aralık ayından beri CVE-2023-46805 kimlik doğrulama bypassını ve CVE-2024-21887 komut ekleme hatalarını zincirleyen büyük ölçekli saldırıların hedefi oluyor.
Zincirlendiğinde, iki sıfır gün, saldırganların güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmesine, verileri toplayıp sızdırmasına ve arka kapıları konuşlandırarak ihlal edilen cihazlara kalıcı sistem erişimi kurmasına olanak tanır.
Şirket henüz güvenlik yamalarını yayınlamamış olsa da, saldırı girişimlerini engellemesi gereken hafifletici önlemler ve yöneticilerin etkilenen cihazları geri yüklemesine ve tekrar hizmete sokmasına yardımcı olmak için tasarlanmış kurtarma talimatlarını yayınladı.
Binlerce cihaz çevrimiçi ortamda açığa çıktı, yüzlercesi zaten saldırıya uğradı
Tehdit izleme platformu Shadowserver şu anda Amerika Birleşik Devletleri’nde 6.300’den fazla olmak üzere 21.400’den fazla İnternet’e açık ICS VPN cihazını izliyor (Shodan ayrıca 18.500’den fazla Ivanti ICS cihazının çevrimiçi olarak açığa çıktığını görüyor).
Gölge sunucusu ayrıca izler Yalnızca 21 Ocak’ta keşfedilen 700’den fazla güvenliği ihlal edilmiş cihazla dünya çapında her gün kaç Ivanti Connect Secure VPN örneğinin güvenliği ihlal ediliyor.
Tehdit istihbarat şirketi Volexity, iki sıfır günü aktif olarak kullanan saldırganlardan birinin (UTA0178 olarak takip edilen ve ayrıca Mandiant tarafından UNC5221 olarak izlenen Çin devleti destekli şüpheli bir tehdit grubu) GIFTEDVISITOR web kabuğunu kullanarak 2.100’den fazla Ivanti cihazına arka kapı açtığını söyledi. varyant.
Volexity ve GreyNoise’a göre saldırganlar ayrıca XMRig kripto para madencilerini ve Rust tabanlı kötü amaçlı yazılım yüklerini ele geçirilen cihazlara da yerleştirdi.
Mandiant ayrıca, kimlik bilgilerini çalmak, ek kötü amaçlı yükleri düşürmek ve web kabuklarını dağıtmak için ihlal edilen müşterilerin sistemlerine dağıtılan beş özel kötü amaçlı yazılım türü buldu.
Saldırganlar, dünya çapındaki hükümet ve askeri kuruluşlar, ulusal telekom şirketleri, savunma yüklenicileri, teknoloji şirketleri, bankacılık, finans ve muhasebe kuruluşları ile havacılık, havacılık ve mühendislik dahil olmak üzere birçok kurbanın ele geçirilen ağlarından hesap ve oturum verilerini topluyor ve çalıyor. firmalar.
Ayrıca, küçük işletmelerden dünya çapındaki en büyük organizasyonlardan bazılarına kadar, çok çeşitli endüstri sektörlerindeki birden fazla Fortune 500 şirketi de dahil olmak üzere büyüklükleri de önemli ölçüde farklılık göstermektedir.