Ivanti Connect Secure (ICS) ve Policy Secure’da tanımlanan bir çift sıfır gün kusuru, Çin bağlantılı olduğundan şüphelenilen ulus devlet aktörleri tarafından 10’dan az müşteriyi ihlal edecek şekilde zincirlendi.
Aralık 2023’ün ikinci haftasında müşterilerinden birinin ağındaki etkinliği tespit eden siber güvenlik firması Volexity, bunu, adı altında takip ettiği bir bilgisayar korsanlığı grubuna bağladı. UTA0178. VPN cihazının güvenliğinin 3 Aralık 2023 gibi erken bir tarihte ele geçirilmiş olabileceğini gösteren kanıtlar mevcut.
ICS cihazında kimliği doğrulanmamış komut yürütmeyi gerçekleştirmek için vahşi ortamda istismar edilen iki güvenlik açığı aşağıdaki gibidir:
- CVE-2023-46805 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un web bileşenindeki kimlik doğrulama atlama güvenlik açığı, uzaktaki bir saldırganın kontrol kontrollerini atlayarak kısıtlı kaynaklara erişmesine olanak tanır.
- CVE-2024-21887 (CVSS puanı: 9,1) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un web bileşenlerindeki bir komut ekleme güvenlik açığı, kimliği doğrulanmış bir yöneticinin özel hazırlanmış istekler göndermesine ve cihazda rastgele komutlar yürütmesine olanak tanır.
Güvenlik açıkları, internet üzerinden duyarlı örnekleri ele geçirmek için bir yararlanma zincirine dönüştürülebilir.
Ivanti bir danışma belgesinde, “CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılırsa, istismar kimlik doğrulama gerektirmez ve bir tehdit aktörünün sistemde kötü niyetli istekler oluşturmasına ve rastgele komutlar yürütmesine olanak tanır.” dedi.
Şirket, tehdit aktörlerinin Ivanti’nin cihazın mevcut durumunun anlık görüntüsünü sunan dahili bütünlük denetleyicisini (ICT) manipüle etme girişimlerini gözlemlediğini söyledi.
Yamaların 22 Ocak 2024 haftasından itibaren kademeli olarak yayınlanması bekleniyor. Bu arada kullanıcılara olası tehditlere karşı korunmak için bir geçici çözüm uygulamaları önerildi.
Volexity tarafından analiz edilen olayda, ikiz kusurların “yapılandırma verilerini çalmak, mevcut dosyaları değiştirmek, uzak dosyaları indirmek ve ICS VPN cihazından tüneli tersine çevirmek” için kullanıldığı söyleniyor.
Saldırgan, komut yürütülmesine izin vermek için ICS VPN cihazındaki meşru bir CGI dosyasını (compcheck.cgi) da değiştirdi. Ek olarak, Web SSL VPN oturum açma sayfası tarafından yüklenen bir JavaScript dosyası, tuş vuruşlarını günlüğe kaydedecek ve cihazda oturum açan kullanıcılarla ilişkili kimlik bilgilerini sızdıracak şekilde değiştirildi.
Volexity araştırmacıları Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair ve Thomas Lancaster, “Saldırgan tarafından toplanan bilgi ve kimlik bilgileri, dahili olarak bir avuç sisteme yönelmelerine ve sonuçta ağdaki sistemlere sınırsız erişim elde etmelerine olanak sağladı.” söz konusu.
Saldırılar aynı zamanda keşif çabaları, yanal hareket ve dışarıya bakan web sunucularına kalıcı uzaktan erişimi sürdürmek için arka kapılı CGI dosyası aracılığıyla GLASSTOKEN adı verilen özel bir web kabuğunun konuşlandırılmasıyla da karakterize ediliyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kendi uyarısıyla, iki eksikliği Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklediğini belirterek federal kurumları düzeltmeleri 31 Ocak 2024’e kadar uygulamaya çağırıyor.
Volexity, “İnternetten erişilebilen sistemler, özellikle VPN cihazları ve güvenlik duvarları gibi kritik cihazlar bir kez daha saldırganların favori hedefi haline geldi” dedi.
“Bu sistemler genellikle ağın kritik kısımlarında bulunur, geleneksel güvenlik yazılımlarını çalıştıramaz ve genellikle bir saldırganın çalışması için mükemmel bir yerde bulunur. Kuruluşların bu sistemlerden etkinlikleri izleyebilmek için bir stratejiye sahip olduklarından emin olmaları gerekir. beklenmedik bir şey olursa hızlı bir şekilde yanıt verin.”