Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) göre, Ivanti Endpoint Manager’daki (EPM) üç kritik güvenlik açıkları şu anda vahşi doğada aktif sömürü altındadır.
Pazartesi günü ajans, bilinen sömürülen güvenlik açıkları kataloğuna EPM kusurlarını ekledi. Katalog listelerine göre, fidye yazılımı saldırıları için güvenlik açıklarının silahlanıp silahlanmadığı şu anda bilinmemektedir.
Her üç kusur da-CVE-2024-13159, CVE-2024-13160 ve CVE-2024-13161-CVSS skorları 9.8 olan mutlak yoldan çıkarma güvenlik açıklarıdır. Güvenlik açıkları başlangıçta 13 Ocak’ta Ivanti tarafından dördüncü mutlak yoldan çıkarak, CVE-2024-10811 ile açıklandı ve yamalandı. Ivanti, danışmanında, “kamuya açıklanmadan önce” herhangi bir sömürünün farkında olmadığını söyledi.
Dört CVVE’nin tamamını keşfeden Horizon3.ai, 19 Şubat’ta EPM güvenlik açıklarının teknik detayları ve bir kavram kanıtı (POC) istismarıyla yayınladı. Horizon3.Ai baş saldırı mühendisi Zach Hanley, şirketinin teknik detayları yayınlamadan önce ilk açıklamadan 30 gün sonra beklemeyi kabul ettiğini söyledi, böylece Ivanti müşterilerinin kusurları düzeltmesi için daha fazla zamana sahip olacak.
Horizon3.ai’nin blog yazısına göre, dört güvenlik açığı, EPM’nin Gethashforfile ve Gethashforwildcard gibi farklı işlevlerinde kimlik bilgisi zorlaması içeriyordu. Hanley, blog yazısında, sömürünün yetkisiz saldırganların, röle saldırılarında kullanılabilecek ve potansiyel olarak sunucu uzlaşmasına yol açabilen Ivanti EPM Makine Hesap Kimlik bilgilerini zorlamasına izin verdiğini yazdı.
Siber güvenlik Dive, rapor edilen sömürü faaliyeti hakkında yorum yapmak için Ivanti ile temasa geçti.
Şimdi Yama
CISA’nın kuralları uyarınca, federal sivil yürütme şubeleri ajansları 31 Mart’a kadar CVE-2024-13159, CVE-2024-13160 ve CVE-2024-13161’i yamalı veya azaltmalıdır.
Saldırganlar, hem siber suçlular hem de ulus devlet aktörleri, odaklarını VPN’ler ve uzaktan BT yönetim araçları gibi ağ kenar cihazlarına kaydırdıkları için son yıllarda Ivanti ürünlerini giderek daha fazla hedef aldı. Örneğin, Ocak ayında tehdit aktörleri Ivanti Cloud Service Cihaz müşterilerine yönelik saldırılarda birkaç sıfır günlük güvenlik açığı zincirledi.