Sofistike bir siber-ihale operasyonunda, UNC5221 olarak bilinen ve Çin-Nexus’a sahip olduğundan şüphelenilen bir grup, Ivanti Connect Secure VPN cihazlarında kritik bir güvenlik açığından yararlandı.
CVE-2025-22457 olarak tanımlanan istismar, Politika Güvenli ve Sıfır Güven Erişim Ağ Geçidi dahil olmak üzere birden fazla Ivanti ürününü etkileyen yığın tabanlı bir tampon taşmasını temsil eder.
Başlangıçta hafife alınan kritik bir kusur
CVE-2025-22457 başlangıçta Ivanti tarafından düşük riskli bir hizmet reddi böceği olarak sınıflandırıldı.
.png
)
Bununla birlikte, daha fazla analiz, Ivanti’nin 3 Nisan 2025’teki güvenlik açığını halka açık bir şekilde ifşa etmesine ve CVSS skoru 9.0 ile kritik olarak yükseltmesine yol açan, kimlik doğrulanmamış uzaktan kod yürütme (RCE) potansiyelini ortaya koydu.
Şubat ayında bir yama yayınlamasına rağmen, UNC5221, sofistike bir istismar yaratmak için altta yatan güvenlik açığını anlayarak BT’yi tersine çevirmeyi başardı.
Bu istismar, saldırganların savunmasız cihazlara özel olarak hazırlanmış HTTP istekleri göndermesine, bir tampon taşmasını tetikleyerek ve yüksek ayrıcalıklarla keyfi kod yürüterek kurbanın dahili ağına etkili bir şekilde bir ağ geçidi açmasına olanak tanır.
UNC5221’in Gelişmiş Taktikleri
İçeri girdikten sonra, UNC5221 çok aşamalı bir kötü amaçlı yazılım dizisi dağıtır. Başlangıçta, bir kabuk komut dosyası damlası, kötü niyetli kodun yüklenmesini düzenleyerek tehlikeye atılan cihazda yürütülür.
Bu kod daha sonra, herhangi bir dosyayı diske kaydetmeden kalıcılık sağlayarak Running Ivanti Connect Secure Web hizmet sürecine bir arka kapı enjekte eder.
Brushfire olarak bilinen bu arka kapı gizli kalır, sadece bellekte mevcuttur ve belirli gelen VPN trafiğine yanıt verir.
Grubun taktikleri, bellek içi kötü amaçlı yazılım implantları gibi teknikler kullanma, günlük kurcalama ve operasyonel altyapılarını gizlemek için tehlikeye atılmış aracı cihazların kullanımı gibi kaçınmaya kadar uzanır.
Picus güvenliğine göre, bu yaklaşım tipik izleme sistemleri tarafından tespit şansını önemli ölçüde azaltır ve UNC5221’in casusluk faaliyetleri için bir dayanak sürdürmesine izin verir.
UNC5221’in kampanyası belirli bir bölge ile sınırlı değildi; ABD tabanlı hedefler de dahil olmak üzere dünya çapında kuruluşları etkiledi.
İstismarın erişimi, ağ altyapısında, özellikle de internetten erişilebilen bu tür güvenlik açıklarının yarattığı küresel tehdidin altını çiziyor.
Ivanti, bu güvenlik açığı nedeniyle birkaç müşterinin ihlal edildiğini ve tüm kullanıcıların yamalı versiyona (ICS 22.7R2.6 veya üstü) güncelleme aciliyetini vurguladığını bildirdi.
Yanıt olarak, güvenlik uzmanları en son sürüme hemen yama yapmayı, yetkisiz erişim denemeleri için uyanık izleme ve saldırı yüzeyini sınırlamak için ağ segmentasyonu gibi ek güvenlik önlemlerinin uygulanmasını önerir.
Kuruluşlar ayrıca, çalınan kimlik bilgilerinden kaynaklanan riskleri azaltmak için kimlik doğrulama ve şifre yönetimi uygulamalarını gözden geçirmeyi düşünmelidir.
Bu olay, internete bakan cihazlara odaklanan devlet destekli aktörlerin kalıcı tehdidi vurgulamakta ve özellikle siber rakipler için birincil giriş noktaları olarak hizmet veren VPN ağ geçitleri gibi kritik altyapıda yazılım güvenlik açıklarına hızlı tepkinin önemini vurgulamaktadır.