CISA, ABD federal ajanslarını, Ivanti Endpoint Manager (EPM) aletlerini etkileyen üç kritik güvenlik açıkından yararlanarak saldırılara karşı ağlarını güvence altına almaları konusunda uyardı.
Üç kusur (CVE-2024-13159, CVE-2024-13160 ve CVE-2024-13161), uzaktan kaldırılmamış saldırganların savunmasız sunucuları tamamen tehlikeye atmasına izin verebilecek mutlak yol geçiş zayıflıklarından kaynaklanmaktadır.
Ekim ayında Horizon3.i güvenlik açığı araştırmacısı Zach Hanley tarafından bildirildiler ve 13 Ocak’ta Ivanti tarafından yamalandı. Bir ay sonra Horizon3.Ai, Ivanti EPM makine kimlik bilgilerinin yetkilendirilmemiş zorlaması için röle saldırılarında kullanılabilecek kavram kanıtı istismarlarını da yayınladı.
Pazartesi günü, CISA, siber güvenlik ajansının vahşi doğada kullanıldığı olarak işaretlediği güvenlik kusurlarını listeleyen bilinen sömürülen güvenlik açıkları kataloğuna üç güvenlik açıkını ekledi. Federal Sivil Yürütme Şubesi (FCEB) ajansları, Kasım 2021’de yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 22-01 tarafından zorunlu kılınan sistemlerini devam eden saldırılara karşı güvence altına almak için 31 Mart’a kadar üç haftaya sahiptir.
Diyerek şöyle devam etti: “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.” Dedi Cisa. “BOD 22-01 sadece FCEB ajansları için geçerli olsa da, CISA, kırılganlık yönetimi uygulamalarının bir parçası olarak katalog güvenlik açıklarının zamanında iyileştirilmesine öncelik vererek tüm kuruluşları siber saldırılara maruz kalmalarını azaltmaya teşvik ediyor.”
Ivanti, CISA’nın güvenlik açıklarını saldırılarda aktif olarak sömürülen olarak etiketlemesinden sonra güvenlik danışmanlığını henüz güncellemedi.
Ocak ayında, CISA ve FBI, saldırganların hala Eylül ayından bu yana savunmasız ağları ihlal etmek için yamalı Ivanti Cloud Service Cihazları (CSA) güvenlik kusurlarını kullandıkları konusunda uyardı.
Şirketin VPN aletlerini ve IC’lerini, IP’lerini ve ZTA ağ geçitlerini hedefleyen yaygın saldırılarda geçen yıl boyunca sıfır günler olarak birçok diğer Ivanti güvenlik açıkları kullanılmıştır.
2025’in başlangıcından bu yana, şüpheli bir Çin-nexus casusluk aktörü (UNC5221 olarak izlendi), başarılı uzaktan kod yürütme sıfır gün saldırılarını takiben yeni DryHook ve Fazjam kötü amaçlı yazılımlarla enfekte eden Ivanti Connect Secure VPN cihazlarını hedefledi.
Ivanti, 40.000’den fazla şirkete sistem ve BT varlık yönetimi çözümleri sağlamak için dünya çapında 7.000’den fazla kuruluşla ortaklık kurduğunu söyledi.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.