Shadowserver Vakfı’nın bugün yaptığı açıklamaya göre, CVE-2025-0282 yoluyla saldırıya açık, internete açık Ivanti Connect Secure örneklerinin sayısı son dört günde 2.048’den 800’e düştü.
Bu arada, Birleşik Krallık alan adı kaydı Nominet, yakın zamanda yamalanan Ivanti sıfır gününü kullanan saldırganların kamuya açık ilk kurbanı oldu.
CVE-2025-0282 sıfır gün saldırıları
CVE-2025-0282, kimliği doğrulanmamış saldırganların bir dizi (hala kamuya açıklanmayan) kuruluşlar tarafından kullanılan VPN cihazlarını ihlal etmesine ve bu erişimden yararlanmasına olanak tanıyan yığın tabanlı bir arabellek taşması güvenlik açığıdır:
- Bilinen ve bilinmeyen kötü amaçlı yazılımları yükleyin
- Cihazlara gizlice müdahale edin, güncellenmelerini engelleyin ve kullanılmış gibi görünmelerini sağlayın
- Ağ keşfine ve yanal harekete katılın.
Madiant araştırmacıları, saldırıları daha önce Ivanti Connect Secure sıfır günlerinden yararlanan Çinli tehdit aktörleriyle ilişkilendirdi ve Ivanti ve CISA ile birlikte istismar riskinin nasıl azaltılacağı, potansiyel güvenlik açıklarının nasıl araştırılacağı ve olumlu bir bulgu durumunda düzeltme yapılması konusunda tavsiyelerde bulundu. .
O zamanlar bir sıfır gün kusuru olan güvenlik açığının istismar edildiği ilk kez Aralık 2024’ün ortasında fark edildi. Mandiant, bir veya daha fazla grubun kuruluşlara sızmak için CVE-2025-0282’den yararlanıp yararlanmadığını ayırt edemedi.
Müşteri bildirimi ve güvenlik açığının ayrıntılı incelemesi
Nominet’in geçen haftanın sonlarında müşterilere gönderdiği müşteri bildirimine göre, müşteriler bundan bir hafta önce (yani Ocak 2025’in ilk haftasında) ağlarında şüpheli etkinlikten haberdar oldular.
“Giriş noktası, Ivanti tarafından sağlanan ve çalışanlarımızın sistemlere uzaktan erişmesine olanak tanıyan üçüncü taraf VPN yazılımı aracılığıyla oldu. ISPreview tarafından bildirildiği üzere, bildirimde ağımıza izinsiz girişte sıfır gün güvenlik açığından yararlanıldığı belirtildi.
Birleşik Krallık alan adı tescili, saldırıyı hala araştırdıklarını ancak şu ana kadar bir veri ihlali veya sızıntısına dair kanıt bulamadıklarını veya ağlarına giden herhangi bir arka kapıyı veya yolu ortaya çıkarmadıklarını söyledi.
Ayrıca Ivanti’nin sağladığı yamaları uyguladıklarını ve ek güvenlik önlemleri aldıklarını da söylediler.
Bu arada Watchtowr Labs araştırmacıları, CVE-2025-0282’ye yönelik iki bölümlü teknik derinlemesine inceleme yayınladı ancak kavram kanıtını (PoC) 16 Ocak’a kadar paylaşmaktan kaçındı.
Ivanti Policy Secure ve ZTA ağ geçitlerine yönelik yamalar halen üzerinde çalışılıyor ancak Ivanti, bu çözümlerin saldırganlar tarafından hedef alınmadığını, bunun nedeninin muhtemelen internete yönelik olmaları (Ivanti Policy Secure) veya üretim sırasında istismar edilememeleri olduğunu savunuyor ( ZTA Ağ Geçitleri için Ivanti Nöronları).