Invati Connect Secure (ICS) ve Ivanti Policy Secure Gateway’lerde kimlik doğrulama atlama ve komut eklemeyle ilişkili iki yeni güvenlik açığı keşfedildi.
Bu güvenlik açıklarına yönelik CVE’ler, CVE-2023-46805 ve CVE-2024-21887 olarak atanmıştır. Bu güvenlik açıklarının ciddiyeti sırasıyla 8,2 (Yüksek) ve 9,1 (Kritik) olarak verilmiştir.
Ancak Ivanti, bu güvenlik açıklarını gidermek için ürünlerin yamalı sürümüyle birlikte bir güvenlik tavsiyesi yayınladı.
ZTA ağ geçitlerine yönelik Ivanti nöronlarının üretimde kullanılamayacağı da belirtildi. UTA0178 bu güvenlik açıklarından etkin bir şekilde yararlandı.
Vahşi Doğada Sömürü
Cyber Security News ile paylaşılan raporlara göre, bir tehdit aktörü yapılandırma verilerini çalmak, uzak dosyaları indirmek ve ICS VPN cihazından ters tünel oluşturmak için bu iki güvenlik açığından aktif olarak yararlandı.
Ayrıca tehdit aktörü, ICS bütünlük denetleyicisi aracından kaçınmak için sistemde çeşitli değişiklikler yaptı.
Ayrıca tehdit aktörü, tehlikeye atılan sistem üzerinde komutların yürütülmesini sağlamak için ICS VPN cihazında meşru bir CGI dosyasına arka kapı açtı.
Saldırgan ayrıca Web SSL VPN JavaScript dosyasını keylog’a kaydedecek ve kullanıcıların oturum açma kimlik bilgilerini çıkaracak şekilde değiştirdi.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Olayın Dersleri
Bir curl komutu, ip-api aracılığıyla bir IP Coğrafi Konum hizmetine giden bağlantılar içindi[.]Cloudflare’in 1.1.1.1 IP adresine gidin. Ek olarak, ters SOCKS proxy ve SSH bağlantıları kuruldu ve ele geçirilen Cyberoam cihazlarından indirildi.
RDP, SMB ve SSH aracılığıyla dahili sistemlere bağlanmaya yönelik kimlik bilgilerinin tehlikeye atılması nedeniyle yanal hareketler de fark edildi. Ayrıca, “” olarak adlandırılan birden fazla web kabuğu varyantının aktarımı da vardı.CAM JETON”, İnternet üzerinden erişilebilen web sunucularına ve yalnızca dahili olarak erişilebilen sistemlere.
Saldırgan, analiz sırasında artık diskte bulunmayan sistemin /tmp/ dizininden birkaç dosya oluşturup çalıştırdı. Bütünlük Denetleyicisi Aracı’nın listesinde aşağıdaki yollardan oluşan bir liste hariç tutuldu:
- /tmp/rev
- /tmp/s.py
- /tmp/s.jar
- /tmp/b
- /tmp/kill
Olay sırasında Volexity, çoğu web kabuklarından, proxy yardımcı programlarından ve kimlik bilgilerinin toplanmasına izin veren dosya değişikliklerinden oluşan birkaç kötü amaçlı dosya ve araç dağıttı. Bu, Volexity’nin saldırganın pratikte çoğunlukla karada yaşadığını gözlemlemesine rağmen gerçekleşti.
- Pek çok durumda saldırgan, iş istasyonlarına ve sunuculara girmek ve Görev Yöneticisi aracılığıyla LSASS işlem belleğini diske boşaltmak için ele geçirilen kimlik bilgilerini kullandı.
- Saldırgan bu çıktıyı dışarı sızdırarak daha fazla kimlik bilgisini çevrimdışına çıkardı.
- Saldırgan, etki alanı denetleyicisi yedeği de dahil olmak üzere Sanal Sabit Disk yedeklemelerinin bulunduğu bir sisteme erişti. Bu sanal hard diski mount ettikten sonra Active Directory veritabanı ntds.dit dosyasını çıkartıp 7-Zip kullanarak sıkıştırdılar.
- Saldırgan, çalışan bir Veeam yedekleme yazılımı örneği buldu ve şifreleri çalmak için GitHub betiği kullandı.
- Daha önce de belirtildiği gibi saldırgan, kimlik bilgilerini çalmak için ICS VPN Appliance’ın Web SSL VPN giriş sayfasındaki JavaScript’i güncelledi.
Bu olayla ilgili, tehdit aktörünün faaliyetleri, web kabuğu bilgileri ve diğerleri hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
| Değer | Varlık_türü | Tanım |
| 206.189.208.156 | IP adresi | DigitalOcean IP adresi UTA0178’e bağlı |
| gpoaccess[.]iletişim | ana bilgisayar adı | Etki alanı kayıt modelleri yoluyla şüpheli UTA0178 alanı keşfedildi |
| webb-enstitüsü[.]iletişim | ana bilgisayar adı | Etki alanı kayıt modelleri aracılığıyla şüpheli UTA0178 alanı keşfedildi |
| simantke[.]iletişim | ana bilgisayar adı | Güvenliği ihlal edilmiş cihazlardan kimlik bilgilerini toplamak için kullanılan UTA0178 alanı |
| 75.145.243.85 | IP adresi | UTA0178 IP adresinin güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 47.207.9.89 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 98.160.48.170 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 173.220.106.166 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 73.128.178.221 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 50.243.177.161 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 50.213.208.89 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 64.24.179.210 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 75.145.224.109 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 50.215.39.49 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 71.127.149.194 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
| 173.53.43.7 | IP adresi | UTA0178 IP adresinin Cyberoam proxy ağına bağlı, güvenliği ihlal edilmiş cihazla etkileşimde olduğu gözlemlendi |
Uygun maliyetli penetrasyon testi hizmetleri mi arıyorsunuz? Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’u deneyin. Ücretsiz demo