CISA ve FBI bugün, saldırganların, savunmasız ağları ihlal etmek için Eylül ayından bu yana yamalanan Ivanti Bulut Hizmet Cihazları (CSA) güvenlik açıklarından yararlanmaya devam ettiği konusunda uyardı.
Bu saldırılarda zincirlenen güvenlik açıkları arasında CVE-2024-8963 (Eylül ayında yamalanan bir yönetici kimlik doğrulama hatası) ve CVE-2024-8190 (aynı ay yamalanan bir uzaktan kod yürütme hatası) yer alıyor. Diğer iki hata olan CVE-2024-9379 (SQL enjeksiyonu) ve CVE-2024-9380 (uzaktan kod yürütme güvenlik açığı) Ekim ayında giderildi.
Dört hatanın tümü daha önce sıfır gün saldırılarında istismar edilmiş olarak etiketlenmişti. CISA, bunları Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna ekledi ve Federal Sivil Yürütme Organı (FCEB) kurumlarına, cihazlarını Bağlayıcı Operasyonel Direktif (BOD) 22-01’in gerektirdiği şekilde güvence altına almalarını emretti.
ABD siber güvenlik kurumu Çarşamba günü yaptığı açıklamada, “CISA ve güvenilir üçüncü taraf olay müdahale verilerine göre, tehdit aktörleri ilk erişim elde etmek, uzaktan kod yürütme (RCE), kimlik bilgileri elde etmek ve kurban ağlarına web kabukları yerleştirmek için listelenen güvenlik açıklarını zincirledi” dedi. .
“Aktörlerin birincil istismar yolları iki güvenlik açığı zinciriydi. Bir istismar zinciri, CVE-2024-8190 ve CVE-2024-9380 ile birlikte CVE-2024-8963’ten yararlanırken, diğeri CVE-2024-8963 ve CVE-2024-9379’dan yararlandı Onaylanmış bir uzlaşmayla oyuncular yan yana iki sunucuya geçtiler.”
CISA ve FBI artık tüm ağ yöneticilerini, sistemlerini hedef alabilecek devam eden saldırıları engellemek için cihazlarını desteklenen en son Ivanti CSA sürümüne yükseltmeye “şiddetle teşvik ediyor”.
Ayrıca, güvenlik ihlali göstergelerini (IOC’ler) ve danışma belgesinde paylaşılan tespit yöntemlerini kullanarak ağlarındaki kötü amaçlı etkinlik işaretlerini “avlamaları” tavsiye edilir.
CISA ve FBI, “Etkilenen Ivanti cihazlarında depolanan kimlik bilgileri ve hassas verilerin tehlikeye atılmış sayılması gerektiği” uyarısında bulundu. “Kuruluşlar, kötü amaçlı faaliyetlere ilişkin günlükleri ve yapıları toplamalı ve analiz etmeli ve bu danışma belgesindeki olay müdahale önerilerini uygulamalıdır.”
Aktif olarak yararlanılan bu güvenlik açıkları akışı, Ivanti’nin test ve dahili tarama yeteneklerini artırması ve güvenlik kusurlarını daha hızlı düzeltmek için sorumlu açıklama sürecini geliştirdiğini söylemesiyle ortaya çıktı.
Geçtiğimiz yıl, savunmasız Ivanti VPN cihazlarına ve ICS, IPS ve ZTA ağ geçitlerine yönelik yaygın saldırılarda diğer bazı güvenlik açıklarından sıfır gün olarak yararlanıldı.
Ayrıca, 2025’in başından bu yana Ivanti Connect Secure VPN cihazları, Çin bağlantılı olduğundan şüphelenilen bir casusluk aktörü (UNC5221 olarak izlenen) tarafından, onlara yeni Dryhook ve Phasejam kötü amaçlı yazılım bulaştıran uzaktan kod yürütme sıfır gün saldırılarında hedef alındı.
Ivanti’nin müşteri listesi dünya çapında sistemleri ve BT varlıklarını yönetmek için ürünlerini kullanan 40.000’den fazla şirketi içermektedir.