Araştırmacılar, Ivanti Cloud Services Appliance (CSA) kullanıcılarını hedef alan karmaşık bir saldırı kampanyasını ortaya çıkardı.
Ulus devlet aktörleri, kurbanların ağlarına yetkisiz erişim sağlamak ve daha sonraki kötü niyetli faaliyetler için bir dayanak oluşturmak amacıyla CSA’daki çok sayıda sıfır gün güvenlik açığından yararlanıyor.
FortiGuard Labs, yakın zamanda gerçekleşen bir olay müdahale çalışmasında, saldırganların CSA kurulumlarını tehlikeye atmak için üç güvenlik açığını (CVE-2024-8190 ve önceden bilinmeyen iki kusur) zincirlediğini keşfetti.
Saldırı ilk olarak 9 Eylül 2024’te iç sistemler ile kötü amaçlı bir IP adresi arasında şüpheli iletişimlerin gözlemlenmesiyle tespit edildi.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Olay, tehdit aktörlerinin hedeflenen ağlarda tutunacak bir yer oluşturmak için sıfır gün güvenlik açıklarını zincirleme yeteneklerini ortaya koyuyor.
Ulus-Devlet Hackerları Ivanti CSA Zero-days’ı İstismar Ediyor
- CVE-2024-8190: Kimliği doğrulanmış bir komut ekleme güvenlik açığı DateTimeTab.php kaynak, yama 518 ve önceki sürümlerle birlikte CSA 4.6’yı etkiliyor.
- CVE-2024-8963: Kaynakta yol geçiş güvenlik açığı /client/index.phpKısıtlı kaynaklara yetkisiz erişime izin vererek.
- CVE-2024-9380: Reports.php kaynağını etkileyen, kimliği doğrulanmış bir komut ekleme güvenlik açığı.
Saldırganların, muhtemelen diğer tehdit aktörlerinin aynı sistemleri tehlikeye atmasını ve operasyonlarına müdahale etmesini önlemek amacıyla, istismar ettikleri bazı güvenlik açıklarını “yamaladıkları” gözlemlendi.
Ivanti, bu güvenlik açıklarını gideren güvenlik güncellemeleri yayınladı ve tüm CSA kullanıcılarının derhal 5.0.2 veya sonraki bir sürüme yükseltme yapmalarını şiddetle tavsiye ediyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna CVE-2024-8190’ı ekleyerek federal kurumların etkilenen sistemlere derhal yama yapmalarını zorunlu kıldı.
Ivanti CSA’yı kullanan kuruluşlara şunları yapmaları tavsiye edilir:
- Hemen en son yamalı sürüme yükseltin.
- Yetkisiz kullanıcı hesapları ve şüpheli dosyalar da dahil olmak üzere, güvenlik ihlali belirtileri açısından sistemleri inceleyin.
- Olağandışı ağ etkinliğini ve potansiyel veri sızdırma girişimlerini izleyin.
- Sağlam erişim kontrolleri ve ağ bölümlendirmesi uygulayın
- Gelişmiş izleme için uç nokta algılama ve yanıt (EDR) araçlarını devreye alın
Bu kampanya, siber tehditlerin giderek daha karmaşık hale geldiğini gösterdiğinden, kuruluşların tetikte kalmaları ve kritik varlıklarını ve verilerini korumak için zamanında yama uygulama ve en iyi güvenlik uygulamalarına öncelik vermeleri gerekiyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)