Dalış Özeti:
- FBI, Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü yayınlanan bir tavsiye belgesine göre, Five Eyes istihbarat ortakları, Ivanti Connect Secure ve Policy Secure’daki kritik güvenlik açıklarının hâlâ aktif olarak istismar edilme tehlikesiyle karşı karşıya olduğu konusunda uyarıyor. Küresel uyarı, Ivanti’nin bir güvenlik yaması ve ilgili azaltma kılavuzunu yayınlamasından haftalar sonra geldi.
- Tehdit aktörleri şunları yapabilir: kök düzeyinde kalıcılık kazanınYetkililer, kullanıcı cihazı fabrika ayarlarına sıfırlasa bile bu durumun geçerli olduğunu söyledi. Ortak kurumlar arasında MS-ISAC’ın yanı sıra Birleşik Krallık, Kanada, Avustralya ve Yeni Zelanda’dan siber güvenlik yetkilileri de yer alıyor.
- Tehdit aktörleri ayrıca Ivanti Dürüstlük Denetleyicisi Aracı’nı atlamanın bir yolunu da buldular ve bu araç belirli durumlarda izinsiz girişleri tespit edemeyecek hale geldi.
Dalış Bilgisi:
Tehdit aktörleri, Aralık ayının başından bu yana Ivanti Connect Secure ve diğer ürünlerdeki kritik sıfır gün güvenlik açıklarından yararlanıyor. Danışma belgesi özellikle kimlik doğrulamayı atlama güvenlik açığını işaretler. CVE-2023-46805bir komut enjeksiyon güvenlik açığı, CVE-2024-21887, ve sunucu tarafı istek sahteciliği güvenlik açığı, CVE-2024-21893.
Devlet bağlantılı olduğundan şüphelenilen casusluk aktörleri güvenlik açıklarından yararlandı, kimlik doğrulama yöntemlerini atladı, kalıcı erişim elde etti ve web kabuklarının kurulumu da dahil olmak üzere kötü niyetli faaliyetlerde bulundu.
Tehdit aktörleri kalıcılık sağlamak için arazide yaşama tekniklerini ve yeni kötü amaçlı yazılımları kullandı. Mandiant bu hafta başında şunları söyledi:. Bilgisayar korsanları, müşteriler fabrika ayarlarına sıfırlama, yama uygulama ve sistem yükseltmelerini başlattıktan sonra bile faaliyetlerini maskeledi.
CISA siber güvenlikten sorumlu yönetici direktör yardımcısı Eric Goldstein, danışma belgesiyle ilgili bir açıklamada, “Bu güvenlik açıklarının ilk kez açıklanmasından bu yana, CISA ve ortaklarımız eyleme geçirilebilir rehberlik sağlamak ve etkilenen mağdurlara yardımcı olmak için acilen çalıştı” dedi.
Ivanti, CISA ve diğer yetkililerin bulgularını memnuniyetle karşıladığını ancak müşterilerin fabrika ayarlarına sıfırlama yapması ve güvenlik güncellemelerini tavsiye etmesinden sonra herhangi bir tehdit aktörünün kalıcılık kazandığının farkında olmadığını belirtti. Ivanti, CISA’nın bulgularının altını çizdi normal bir ortamda tekrarlanamayacağını öne sürdüğü laboratuvar ortamındaki testlere dayanıyordu.
Ivanti yaptığı açıklamada, “Mevcut analize dayanarak, laboratuvar ortamı dışında bu eylemin kutuyla bağlantıyı keseceğine ve dolayısıyla canlı müşteri ortamında kalıcılık kazanamayacağına inanıyoruz” dedi.
Ancak Xage Security CEO’su Geoff Mattson, bulgunun önemli endüstrilerde yaygın olarak kullanılan temel güvenlik ürünlerindeki doğal zayıflıklara işaret ettiğini söyledi.
“Bu, kömür madenindeki kanarya,” dedi Mattson e-posta yoluyla. “Eski güvenlik ürünleri, özellikle de VPN’ler modern yazılımlardan çok uzak değil.
Mattson, “Güvenlik açığı araştırmacıları, Ivanti VPN’in, 20 yılı aşkın bir süredir güncellenmeyen, açık kaynak kodlu yürütülebilir yazılım koleksiyonuna sahip modüllere sahip olduğunu gösterdi; bu, yazılım dünyasında tarih öncesidir ve doğası gereği saldırılara karşı savunmasızdır” dedi.