Bilgisayar Korsanları Ivanti VPN’i Sömürmek İçin 0 Günde 250.000’den Fazla Saldırı Başlattı


Bilgisayar Korsanları Ivanti VPN'i Sömürmek İçin 0 Günde 250.000'den Fazla Saldırı Başlattı

Ivanti Connect Secure güvenlik açıkları, Ocak 2024’te tehdit aktörlerinin kurumsal ağlara sızması için potansiyel bir ağ geçidi olarak açıklandı.

CVE-2023-46805 ve CVE-2024-21887 adlı iki güvenlik açığı, kimlik doğrulamayı atlama ve rastgele komut yürütmeyle ilişkilendirildi. Bu ikisinin birleştirilmesi, etkilenen sistemlerde kimliği doğrulanmamış uzaktan komut yürütülmesine neden olabilir.

Ancak Ivanti, güvenlik danışmanlığında bu güvenlik açıklarına değindi. O zamandan beri tehdit aktörleri vahşi doğada birçok istismar girişimiyle karşılaştı.

Açıklamaya ek olarak, Volexity araştırmacıları tarafından bu güvenlik açıklarına ilişkin bir kavram kanıtı da yayımlandı; bu, tehdit aktörlerinin ve güvenlik araştırmacılarının bunları daha kolay bulmasını sağlayacak ek bilgiler sağladı.

Belge

Canlı Hesap Devralma Saldırısı Simülasyonu

Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.


Sömürü Gözlemlendi

Akami’nin paylaştığı raporlara göre Ivanti Connect Secure cihazlarına yönelik günde yaklaşık 250.000 istismar girişimi gözlemleniyor.

Bu, 1000’den fazla müşteriye ve 10.000’den fazla alana ve bu istismara dahil olan 3.300’den fazla benzersiz IP’ye kadar daralmaktadır. Bu saldırılar 18 farklı ülkeden geliyor.

Bu saldırılar, istismar ayrıntılarının açıklandığı ilk 24 saat içinde zirveye ulaştı. Bu saldırıların çoğunda, tehdit aktörleri, uzaktan komut yürütme gerçekleştirmek için saldırganın kontrolündeki etki alanına işaret isteği gönderen bir veri yükü göndermeye çalışır.

Kullanım Kodları:

Araştırmacılar, tehdit aktörlerinin bu Ivanti Connect Secure cihazlarından yararlanmak için kullandığı iki temel yararlanma kodunu buldu. Bu yararlanma kodları, Dizin geçişi tabanlı Yerel Dosya Ekleme saldırıları veya İşletim Sistemi komut ekleme saldırılarıydı.

Kullanım 1:

/api/v1/totp/user-backup-code/../../system/maintenance/archiving/cloud-server-test-connection

Vahşi doğada Exploit 1 (Kaynak: Akamai)
Vahşi doğada Exploit 1 (Kaynak: Akamai)

Kullanım 2:

/api/v1/totp/user-backup-code/../../license/keys-status/

Komuta Enjeksiyonu Kullanımı (Kaynak: Akamai)

Tehdit aktörleri tarafından istismar edilmelerini önlemek için tüm Ivanti Connect Secure kullanıcılarının en son sürümlere yükseltmeleri önerilir.

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link