CVE-2025-4427 ve CVE-2025-4428-Geçen hafta sıfır gün olarak vahşi doğada sömürülen ve Ivanti tarafından yamalanan iki Ivanti Endpoint Management mobil (EPMM) güvenlik açıkları, en az 2023’ün en azından 2023’ü güçlendirilen bir Çin siber esponaj grubu tarafından kullanılmaktadır.
Bu kampanyada hedeflenen varlıklar arasında:
- Birleşik Krallık’ta yerel bir yönetim otoritesi ve sağlık kuruluşları;
- Almanya’da bir araştırma enstitüsü, hukuk firması, bir telco ve bir üretici;
- İrlanda’da bir havacılık kiralama şirketi;
- bir sağlık hizmeti sağlayıcısı, bir tıbbi cihaz üreticisi, bir ateşli silah üreticisi ve hatta ABD’de mobil tehdit savunması ve kurumsal cihaz güvenliği konusunda uzmanlaşmış bir siber güvenlik firması;
- Güney Kore’de faaliyet gösteren çok uluslu bir banka;
- Japon otomotiv parçaları tedarikçisi.
Saldırı Kampanyası
İki güvenlik açıkını zincirleyerek, saldırganlar, önce kendilerini doğrulamak zorunda kalmadan internete maruz kalan Ivanti EPMM dağıtımlarında uzaktan kod yürütme sağlayabilirler.
Sakinleştirilen sistemler üzerinde ters bir kabuk kurdular, kamuya açık Amazon AWS S3 kovalarından, şeridi arka kapı/implanttan ve açık kaynaklı ters proxy aracından indirilen KrustyLoader kötü amaçlı yazılımları dağıttılar.
Ayrıca Ivanti EPMM veritabanlarından veri çıkarmayı başardılar: yönetilen mobil cihazlarla (IMEI, telefon numaraları, konum vb.),
Eclecticiq, tehlikeye atılan örneklerin kuruluşlar tarafından şirket içi veya bulut ortamlarında konuşlandırılıp konuşlandırılmadığından bahsetmez, ancak bazı örtüşen uzlaşma göstergelerine bakıldığında, Wiz araştırmacıları UNC5221 olarak izlenen aynı Çin tehdit oyuncusu tarafından aynı faaliyetleri tespit ettiler.
“Bulduğumuz olayın, şirket içi bir cihaz değil, bulut barındırılan sanal cihazlarda olduğunu doğrulayabiliriz. Bu, saldırganın açıkça hedeflenen bulut ortamlarının-dış ağ perspektifinden iki dağıtım seçeneğini ayırt etmek zor olduğu anlamına gelmez-ancak hem bulut hem de şirket içi müşterilerin risk altında olduğu anlamına gelir,” Gili Tikochinski, araştırmacı, araştırmacı, yardıma yardım etti.
Eclecticiq araştırmacıları, UNC5221’in veri açığa çıkması için meşru sistem bileşenlerini yeniden düzenleyerek EPMM’nin dahili mimarisinin derin bir anlayışını gösterdiğini söylüyor.
“EPMM’nin yapılandırmaları yönetme ve işletme mobil cihazlara itme rolü göz önüne alındığında, başarılı bir sömürü tehdit aktörlerinin bir kuruluşta binlerce yönetilen cihaza uzaktan erişmesine, manipüle etmesine veya tehlikeye atmasına izin verebilir” diye ekledi.
Ayrıca, bu saldırılarla ilişkili IP adreslerinden biri UNC5221’e işaret ediyor, aynı zamanda bu ayın başlarında savunmasız SAP NetWeaver kurulumlarından yararlananlardır.
Yama ve uzlaşma kanıtını arayın
Ivanti EPMM kullanan kuruluşlar örneklerini aşağıdaki sabit sürümlerden birine yükseltmelidir: 11.12.0.5, 12.3.0.2, 12.4.0.2 veya 12.5.0.1.
Şirket ayrıca yamayı uygularlarsa günlüklerinde 400 yanıt görününe dikkat çekti, bunun sömürü göstermediğini belirtti.
Herhangi bir uzlaşma göstergesini paylaşmadılar, ancak hem Wiz hem de Eclecticiq var, böylece kuruluşlar onları arayabilirler.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!