- Bugün CISA, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna üç Ivanti Endpoint Manager (EPM) güvenlik açıkları CVE-2024-13159, CVE-2024-13160 ve CVE-2024-13161 ekledi.
- Bu mutlak yol geçiş kusurları, uzak, kimlik doğrulanmamış saldırganların etkilenen sistemlerden duyarlı bilgileri sızdırmasına izin verir.
- Federal ajanslar, belirli bir fidye yazılımı bağlantısı doğrulanmamış olsa da, CISA’nın direktifine göre bu güvenlik açıklarını 31 Mart 2025’e kadar azaltmalıdır.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), KEV kataloğunu 10 Mart 2025’te, uç noktaları yönetmek için yaygın olarak kullanılan bir kurumsal yazılım olan Ivanti Endpoint Manager (EPM) ‘de yeni tanımlanmış üç güvenlik açıklarını içerecek şekilde güncelledi.
KEV kataloğu, vahşi doğada aktif olarak sömürülen güvenlik açıklarını izler ve kuruluşları kritik sistemleri korumak için iyileştirmeye öncelik vermeye çağırır.
Her üç güvenlik açıkının tümü CVE-2024-13159, CVE-2024-13160 ve CVE-2024-13161, aynı özelliklerle mutlak yol geçiş sorunları (CWE-36) olarak sınıflandırılır:
Her kusur, uzaktan, kimlik doğrulanmamış bir saldırganın dosya yollarını manipüle ederek, yapılandırma verilerini, kimlik bilgilerini veya diğer kritik bilgileri ortaya çıkararak hassas dosyalara erişmesini sağlar.
Sömürü mekanizması
Bu güvenlik açıkları, Ivanti EPM’nin dosya işleme süreçlerinde yetersiz yol validasyonundan kaynaklanmaktadır. Bir saldırgan, dosya sistemini hedeflenen dizinlerin ötesine geçmek için GET /../../Sensitive/File gibi hazırlanmış HTTP istekleri gönderebilir.
Başarılı olursa, bu, daha fazla saldırı için bir dayanak sağlayarak kimlik doğrulama gerektirmeden günlükler veya yapılandırma ayarları gibi dosyaları ortaya çıkarabilir.
Bu güvenlik açıklarının fidye yazılımı kampanyalarına bağlı olup olmadığı bilinmemekle birlikte, KEV kataloğundaki varlıkları, gerçek dünya senaryolarında onaylanmış sömürü gösteriyor. Ivanti EPM’nin kurumsal uç noktaların yönetilmesindeki rolü göz önüne alındığında, hassas verilerin sızıntıları daha geniş ağ uzlaşmasına yol açabilir ve zamanında eylemi kritik hale getirebilir.
- Eylem Gerekli: Kuruluşlar, Ivanti’nin talimatları başına hafifletmeler uygulamalıdır, bulut hizmetleri için Bağlayıcı Operasyonel Direktife (BOD) 22-01’e uymalı veya yamalar mevcut değilse kullanımı durdurmalıdır.
- Son teslim tarihi: Bu güvenlik açıklarını ele almak için Federal Sivil Yürütme Şubesi (FCEB) ajansları 31 Mart 2025’e kadar.
- Tarih eklendi: Üçü de 10 Mart 2025’te KEV kataloğuna eklendi ve son sömürü kanıtlarını yansıttı.
Öneriler
- Güncellemeler için Ivanti’nin destek portalını izleyin.
- EPM örneklerine (örn. Güvenlik duvarları veya VPN’ler aracılığıyla) yetkilendirilmemiş erişimi kısıtlayın.
- Yol geçiş girişimlerinin belirtileri için Dosya Erişim Günlükleri.
CVE-2024-13159, CVE-2024-13160 ve CVE-2024-13161’in CISA’nın KEV kataloğuna eklenmesi, son nokta yönetim sistemlerine yönelik büyüyen tehdidin altını çizmektedir.
Federal ajanslar için üç haftalık bir iyileştirme penceresiyle, Ivanti EPM kullanan işletmeler riskleri azaltmak ve potansiyel veri sızıntılarının daha büyük ihlallere yükselmesini önlemek için hızla hareket etmelidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.