ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Salı günü aktif istismara dair kanıtlara dayanarak, Ivanti Virtual Traffic Manager’ı (vTM) etkileyen kritik bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Söz konusu güvenlik açığı, uzaktan kimliği doğrulanmamış bir saldırgan tarafından yönetici panelinin kimlik doğrulamasını atlatmak ve kötü niyetli yönetici kullanıcıları oluşturmak amacıyla istismar edilebilen CVE-2024-7593’tür (CVSS puanı: 9.8).
CISA, “Ivanti Virtual Traffic Manager, uzaktan, kimliği doğrulanmamış bir saldırganın seçilmiş bir yönetici hesabı oluşturmasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığı içeriyor” dedi.
Sorun, Ivanti tarafından Ağustos 2024’te vTM 22.2R1, 22.3R3, 22.5R2, 22.6R2 ve 22.7R2 sürümlerinde düzeltildi.
Kurum, söz konusu eksikliğin gerçek dünyadaki saldırılarda nasıl silah olarak kullanıldığına ve bunların arkasında kimlerin olabileceğine dair herhangi bir ayrıntıyı açıklamadı; ancak Ivanti daha önce bir kavram kanıtının (PoC) kamuya açık olduğunu belirtmişti.
Son gelişmeler ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarını güvence altına almak için tespit edilen açığı 15 Ekim 2024 tarihine kadar gidermeleri gerekiyor.
Son aylarda Ivanti cihazlarını etkileyen çeşitli açıklar, aralarında CVE-2024-8190 ve CVE-2024-8963’ün de bulunduğu, aktif olarak istismar edilmeye başlandı.
Yazılım hizmetleri sağlayıcısı, her iki sorundan da “sınırlı sayıda müşterinin” etkilendiğinin farkında olduğunu kabul etti.
Censys tarafından paylaşılan verilere göre, 23 Eylül 2024 itibarıyla çevrimiçi olarak 2.017 adet savunmasız Ivanti Cloud Service Appliance (CSA) örneği bulunuyor ve bunların çoğu ABD’de bulunuyor. Bunlardan kaçının gerçekten savunmasız olduğu ise henüz bilinmiyor.