Shadowserver Vakfı, Ivanti tarafından 31 Ocak 2024’te açıklanan sıfır gün güvenlik açığı CVE-2024-21893’ün (CVSS puanı 8,2) artık vahşi ortamda aktif olarak kullanıldığını bildirdi. Rapid7, soruna yönelik bir kavram kanıtı istismarı yayınlamadan önce, 2 Şubat’tan bu yana CVE-2024-21893’ü kullanan saldırılarda bir artış olduğunu kaydetti.
Kâr amacı gütmeyen kuruluş, saldırı girişimlerinde 170’den fazla ayrı IP adresi gördüğünü iddia ediyor. Zafiyet, ZTA için Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons’un SAML bileşeninde yer alıyor ve saldırganların kimlik doğrulaması olmadan kısıtlı kaynaklara erişmesine olanak tanıyor.
Bilginiz olsun diye söylüyorum, Hackread geçen ay VPN cihazlarının birden fazla sıfır gün güvenlik açığına sahip olduğunu, bu açıkların uzaktaki saldırganların komutları yürütmesine ve hatta KrustyLoader adlı Rust tabanlı bir kötü amaçlı yazılım yüklemesine olanak sağladığını bildirdi. CVE-2023-46805 ve CVE-2024-21887’de izlenen güvenlik açıklarından ikisi, Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerinin desteklenen tüm sürümlerini etkiledi.
En son raporlar Ivanti ürünlerini etkileyen toplam dört güvenlik açığını gösteriyor. Bu analiz, Ivanti’nin dört güvenlik açığı için yama yayınladığı raporuna dayanıyor. Dördüncüsü CVE-2024-21888 olarak izleniyor. Şirket ayrıca kuruluşların Ivanti cihazlarını tehlikeye atmak için CVE-2024-21893’ü CVE-2024-21887 ile zincirleyen saldırılara karşı dayanıklılık oluşturmalarına yardımcı olmak için ikinci bir hafifletme yayınladı.
Ancak Rapid7 baş güvenlik araştırmacısı Stephen Fewer gönderildi X’te CVE-2024-21893’ün yeni bir güvenlik açığı olmadığı, ancak xmltooling kitaplığında CVE-2023-36661 olarak izlenen ve Haziran 2023’te yamalanan n gün boyunca keşfedilen bir güvenlik açığı olduğu belirtildi.
Ivanti’nin sıfır günlerini kullanan saldırılar, açığa çıktıklarından bu yana hızla artıyor. Ocak ayı sonlarında tehdit istihbarat şirketi Volexity, özellikle Çin’le bağlantılı UTA0178 grubu tarafından iki Ivanti sıfır gününü kullanan saldırılarda artış olduğunu bildirdi. Ivanti Connect Secure VPN cihazlarını kullanan en az 20 kuruluşun güvenliği ihlal edildi ve Volexity, güvenliği ihlal edilen sistem sayısının muhtemelen keşfedilenden daha yüksek olduğunu doğruladı.
Bildirildiğine göre, UTA0178, Ivanti’nin ilk azaltımını iki sıfır gün boyunca atlamak için CVE-2024-21893’ü kullanıyordu. Bilgisayar korsanları, Ivanti Connect Secure VPN ve Policy Secure ağ erişim kontrolünü tehlikeye atmak için CVE-2023-46805 ve CVE-2024-21887’yi zincir halinde kullanıyorlardı.
İLGİLİ MAKALELER
- APT’ler Yama Kullanılabilirliğine Rağmen WinRAR 0day Kusurundan Yararlanıyor
- CACTUS fidye yazılımı ağları hacklemek için VPN açıklarından yararlanıyor
- UAC-0099 Bilgisayar Korsanları Ukrayna’ya Yapılan Siber Saldırıda Eski WinRAR Kusurunu Kullanıyor
- Flashpoint, Sıfır Günler Dahil 100.000’den Fazla Gizli Güvenlik Açığı Ortaya Çıkardı
- Windows Defender SmartScreen Kusuru Phemedrone Stealer ile Kullanıldı