Breach Roundup: Ivanti Patch koşu bandı

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

Ayrıca: Patch Salı, Skandal Figürü Ölümleri ve Polimorfik Uzatma Saldırısı Eşitleyin

Anviksha More (Anvikshamore) •
13 Mart 2025

Her hafta, Bilgi Güvenliği Medya Grubu, dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta: ABD federal hükümeti Ivanti müşterilerini Yama, Microsoft Patch Salı, sahte uzantılar meşru eklentileri taklit etmesi, İtalya’nın Eşzamanlı Skandalında önemli bir figürün kalp krizinden öldüğü ve çok ikna edici sahte tarayıcı uzantılarını taklit etmesi konusunda uyardı. Ayrıca, Apache Camel Kususu, Vaka Duyarlı Başlık Bypass ile RCE’yi etkinleştirir, Openai’nin ajanı kimlik avı otomatikleştirebilir ve Apple yılın üçüncü sıfır gününü yamalayabilir.

Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi

Ivanti müşterileri şimdiye kadar yamaya acil uyarılar için bir litan için kullanılmalıdır. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Şubat ayında bir konsept kanıtı yayınlanmasının ardından Pazartesi günü kazıklara eklendi ve kimlik doğrulanmamış bir saldırganın bir röle saldırısında kullanılacak Ivanti Endpoint Manager hesap kimlik bilgilerini zorlamasına izin verdi.

CISA tarafından bilinen sömürülen güvenlik açıkları kataloğuna-CVE-2024-13159, CVE-2024-13160 ve CVE-2024-13161-eklenmesi, federal ajansları kusurları değiştirdiklerinden emin olmak için üç haftalık bir son tarihe koyar. Dünyanın geri kalanında bunların ciddi kusurlar olduğu konusunda uyarıyor.

Horizon3.i araştırmacısı Zach Hanley tarafından Ekim 2024’te keşfedilen ve Ocak ayında Ivanti tarafından yamalanan deve RCE kusuru, Horizon3.ai konsept kanıtını yayınladıktan sonra daha tehlikeli hale geldi.

Ivanti ürünleri, geçtiğimiz yıl tekrar tekrar sömürüldü, şüpheli Çin bağlantılı tehdit aktör, UNC5221’in bu yılın başlarında Ivanti Connect Secure VPN cihazlarını bağlayarak ve sıfır gün saldırıları yoluyla Dryhook ve Fazjam kötü amaçlı yazılımları dağıttı.

Microsoft’un March Patch dökümü, halihazırda aktif sömürü altında altı sıfır günlük kusur da dahil olmak üzere 57 güvenlik açığını ele aldı. Güncelleme ayrıca Edge tarayıcısındaki 17 güvenlik açığı için düzeltmeler de içeriyordu.

Sıfır günlerin en şiddetli, CVE-2025-24985’tir, Windows Fast Fat Dosya Sistemi sürücüsünde yetkisiz kod yürütülmesine izin veren bir tamsayı taşma hatasıdır. Diğer üç sıfır gün, NTFS dosya sistemini hedefleyerek uzaktan kod yürütme ve bilgi açıklamasını sağlıyor. Böyle bir kusur olan CVE-2025-24993, keyfi kod yürütmek için yığın tabanlı bir tampon taşmasından yararlanır. Saldırganlar, kullanıcıları kötü niyetli sanal sert diskler monte etmeye ikna ederek bu NTFS güvenlik açıklarından yararlanabilir.

Başka bir kusur olan CVE-2025-24983, Windows Win32 Çekirdek alt sisteminde kullanılmayan bir hata. Saldırganların ayrıcalıkları sistem yöneticisi seviyelerine yükseltmesini sağlar. Sömürüsünü Asya ve Suudi Arabistan’daki kuruluşlara yönelik hedefli saldırılarda kullanılan pipemagik arka kapıya bağlayan ESET araştırmacıları tarafından keşfedildi.

Son sıfır gün, izlenen CVE-2025-26633, Microsoft yönetim konsolunu etkiler ve saldırganların güvenlik özelliklerini atlamasını sağlar. Tehdit grubu şifreleme ile bağlantılı olduğuna inanılıyor.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bu güvenlik açıklarını bilinen sömürülen güvenlik açıkları kataloğuna ekleyerek federal ajansları 1 Nisan’a kadar bunları düzeltmeye çağırdı.

Squarex’teki siber güvenlik araştırmacıları, kötü amaçlı tarayıcı uzantılarının meşru olanları taklit etmesini sağlayan yeni bir saldırı tekniği ortaya çıkardı ve saldırganların kimlik bilgilerini toplamasını ve çevrimiçi hesapları kaçırmasını sağladı.

“Polimorfik Uzatma Saldırısı” olarak adlandırılan yöntem, Google Chrome, Microsoft Edge, Cesur ve Opera dahil tüm krom tabanlı tarayıcıları etkiler. Rogue uzantısı, gerçek uzantıyı geçici olarak devre dışı bırakırken hedefin simgesini, HTML açılır penceresini ve iş akışlarını taklit eder. chrome.management API, kullanıcılar için son derece ikna edici hale getirir.

Saldırı, hedef uzantılarla ilgili belirli Web kaynakları için kötü niyetli uzatma taramasının “Web Kaynağı Vuruşu” kullanıldı. Tespit edildikten sonra, kullanıcıları bilmeden kimlik bilgilerini girmeye kandırarak, daha sonra saldırganlar tarafından çalınan mükemmel bir kopyaya dönüşür.

Bu sosyal mühendislik saldırısı, çoğu insan uzantıları tarayıcı araç çubuğuna sabitlediğinden, kullanıcıların görsel ipuçlarına güvenmesinden yararlanır. Meşru uzatma araç çubuğundan kaybolurken, sahte olanı bir özgünlük yanılsaması yaratır.

Veri hırsızlığı skandalında, Ekim 2024’te İtalyan seçkinlerini sallayan önemli bir figür, Milan kamu savcılığı tarafından emredilen bir soruşturma, Milan’ın evinde doğal nedenlerden öldü.

66 yaşındaki eski bir “Süper Cop” olan Carmine Gallo, geçen yıl diğer üç şüpheliyle birlikte, polis veritabanlarından 800.000 kişi hakkında veri aldığından şüphelenilen Gallo tarafından yönetilen özel bir soruşturma firması olan Hacking To To Equality’ye bağlı olduğu iddia edilen rollerinden dolayı tutuklandı.

Gallo Pazar günü ölü bulunurken, davaya yapılan soruşturma devam etti. Çarşamba günü, bir otopsi kalp krizinden öldüğünü buldu, dedi Il Giorno. Yetkililer artık toksikolojik analizleri bekliyorlar.

Gallo, hassas verilere erişmek için İtalyan kolluk kuvvetlerine rüşvet vermeyi kabul etti. Ayrıca, operasyonları eşitlemek için bağlantılı politikacılar ve girişimcilerin isimlerini de açıklamıştı. Ölümü, dava hakkında daha fazla bilgi açıklaması beklendiği için geldi.

Savcılar, eşitlenmenin İtalyan ve dış istihbarat hizmetlerinde ve İtalyan organize suçlarında üst düzey desteğe sahip olduğunu iddia ediyor. Çalışanların veri alabilecekleri polis güçlerinde ve kamu kurumlarında temas kurmaları bekleniyordu.

Firma tarafından satılan verilerin, eski İtalyan Başbakanı Matteo Renzi ve Senato Başkanı Ignazio La Russa da dahil olmak üzere işadamlarına ve politikacılara şantaj yapmak için kullanıldığı iddia edildi (bakınız: Özel firma İtalyan Govt Veritabanı: Savcılar).

Apache Camel’in başlık doğrulama mekanizmasında kritik bir güvenlik açığı, izlenen CVE-2025-27636, saldırganların vaka duyarlı başlık enjeksiyonundan yararlanarak keyfi sistem komutlarını yürütmelerini sağlar.

Kusur, Exec bileşen. Gibi karışık kasa başlıkları kullanarak CAmelExecCommandExecutablesaldırganlar filtreleri atlayabilir ve statik komutları geçersiz kılabilir, bu da uzaktan kod yürütülmesine yol açar.

Bir kavram kanıtı, tehdit aktörlerinin meşru komutları nasıl değiştirebileceğini gösterir. exec:whoami Kötü niyetli yüklerle, ağ keşif ve yanal hareket sağlar. Kusur, düşük saldırı karmaşıklığı ve yüksek etkisi nedeniyle CVSS skoru 9.8 taşır.

Apache sorunu yamaladı ve vaka duyarsız başlık filtrelemesini uyguladı. Güvenlik uzmanları derhal yükseltmeyi, tüm başlıklar için Regex filtreleri uygulamayı ve deve uç noktalarına erişimi sınırlamayı önerir.

Openai’nin yeni AI ajanı Operatörü, güvenlik kısıtlamaları ile tasarlandı, ancak Symantec araştırmacıları bunları akıllı antrip mühendisliği ile atlamayı başardı ve ajanın minimum insan gözetimi ile kimlik avı saldırısı yapmasını sağladı.

Kontrollü bir ortamda, araştırmacılar operatöre belirli bir çalışanı tanımlamaları, e -posta adreslerini almaları, bir PowerShell komut dosyası oluşturmaları ve bir kimlik avı e -postası göndermeleri talimatını verdiler. Başlangıçta, AI güvenlik ve gizlilik endişeleri nedeniyle bunu reddetti. Acente, araştırmacılar hedefin talebe izin verdiğini ima etme istemini değiştirdiğinde uydu. Hatta saldırıyı yürütmeden önce yaklaşımını iyileştirmek için PowerShell komut dosyası hakkında birden fazla web sayfasını bile ziyaret etti.

Deney, AI ajanlarının keşiften kötü amaçlı yazılım yaratmaya ve bir ağ içindeki kalıcılığa kadar tam siber saldırı zincirini özerk bir şekilde ele alma potansiyelini göstermektedir. Openai, bilgi güvenliği medya grubunun yorum talebine yanıt vermedi.

Apple, son derece sofistike saldırılarda aktif olarak sömürülen CVE-2025-24201’i izleyen Webkit motorunda sıfır günlük bir güvenlik açığını yamalamak için kritik bir güvenlik güncellemesi yayınladı.

Bounds dışı bir yazma sorunu olan kusur, saldırganların kötü niyetli web içeriği hazırlayarak web içeriği sanal alanından çıkmasına izin verebilir. Apple, güvenlik açığını geliştirilmiş kontrollerle ele aldığını ve istismarın iOS 17.2’den önce eski iOS sürümlerini çalıştıran belirli bireyleri hedeflediğini doğruladığını söyledi.

Bu, Apple’ın CVE-2025-24085 ve CVE-2025-24200 yamalarını takiben 2025’te üçüncü aktif olarak sömürülen sıfır gün düzeltmesini işaret ediyor.

Geçen haftadan diğer hikayeler

Bilgi Güvenliği Medya Grubu’nun Bengaluru, Hindistan’daki Rashmi Ramesh ve Güney İngiltere’deki Akshaya Asokan’ın raporlarıyla.