ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün Ivanti VPN cihazlarını aktif olarak istismar edilen birden fazla güvenlik açığından birini kullanarak hackleyen saldırganların, fabrika ayarlarına sıfırlama yaptıktan sonra bile kök kalıcılığını koruyabileceklerini açıkladı.
Ayrıca, CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 ve CVE-2024 kullanılarak güvenliği ihlal edilen Ivanti Connect Secure ve Policy Secure ağ geçitlerinde Ivanti’nin dahili ve harici Bütünlük Denetleyici Aracı (ICT) tarafından tespit edilmekten de kurtulabilirler. -21893 istismarı.
Dört güvenlik açığının ciddiyet derecesi yüksek ile kritik arasında değişmektedir ve kimlik doğrulamayı atlama, komut ekleme, sunucu tarafı istek sahteciliği ve rastgele komut yürütme amacıyla kullanılabilir.
CISA, Ivanti ICT’nin, saldırıya uğramış Ivanti cihazlarıyla ilgili çok sayıda bilgisayar korsanlığı olayını araştırırken uzlaşmayı tespit edemediğini tespit etti. Ivanti’nin ICT’sine göre bunun nedeni, sistemlerde bulunan web kabuklarında hiçbir dosya uyumsuzluğu olmamasıydı.
Ek olarak adli tıp analizi, saldırganların dosyaların üzerine yazarak, dosyaları zaman durdurarak ve tehlikeye atılan cihazı “temiz duruma” geri yüklemek için çalışma zamanı bölümünü yeniden monte ederek izlerini kapattığını ortaya çıkardı.
Bu, CISA’ya göre, BİT taramalarının önceki güvenlik ihlallerini tespit etmede her zaman güvenilir olmadığını ve cihazın herhangi bir güvenlik ihlalinden arınmış olduğuna dair yanlış bir güvenlik duygusu yaratabileceğini gösteriyor. Ivanti, önceki tarayıcılarındaki sorunları çözmek için güncellenmiş bir harici Bütünlük Denetleyici Aracı yayınladı.
Ayrıca ABD siber güvenlik kurumu, bir test laboratuvarında, tehdit aktörlerinin fabrika ayarlarına sıfırlamalar arasında kök düzeyinde kalıcılık elde edebilmesi nedeniyle uzlaşmanın yeterli düzeyde tespit edilmesi için Ivanti’nin ICT’sinden daha fazlasına ihtiyaç duyulduğunu bağımsız olarak doğrulayabilir.
CISA Perşembe günü uyardı: “Bu faaliyetle ilgili çok sayıda olaya müdahale çalışması sırasında CISA, Ivanti’nin dahili ve önceki harici ICT’sinin uzlaşmayı tespit edemediğini tespit etti.”
“Ayrıca CISA, Ivanti ICT’nin uzlaşmayı tespit etmek için yeterli olmadığını ve bir siber tehdit aktörünün fabrika ayarlarına sıfırlama yapmasına rağmen kök düzeyinde kalıcılık kazanabileceğini doğrulayan bir laboratuvar ortamında bağımsız bir araştırma yürüttü.”
Ancak CISA, federal kurumlara, ağlarındaki Ivanti VPN cihazlarında güvenlik ihlali belirtileri keşfettikten sonra nasıl ilerleyecekleri konusunda rehberlik sağlıyor.
Yazan kuruluşlar, ağ savunucularını (1) etkilenen Ivanti VPN cihazlarında depolanan kullanıcı ve hizmet hesabı kimlik bilgilerinin tehlikeye girdiğini varsaymaya, (2) tespit yöntemlerini ve güvenlik ihlali göstergelerini (IOC’ler) kullanarak ağlarındaki kötü amaçlı etkinlikleri avlamaya teşvik eder. Bu danışma belgesini kullanmalı, (3) Ivanti’nin en yeni harici ICT’sini çalıştırmalı ve (4) sürüm güncellemeleri mevcut oldukça Ivanti tarafından sağlanan yama uygulama kılavuzunu uygulamalıdır. Potansiyel bir güvenlik açığı tespit edilirse kuruluşlar, kötü amaçlı etkinliklere ilişkin günlükleri ve yapıları toplamalı, analiz etmeli ve bu danışma belgesindeki olay müdahale önerilerini uygulamalıdır. — CISA
CISA: “Önemli riski göz önünde bulundurun”
Bugün, CISA’nın tavsiyesine yanıt olarak Ivanti, CISA’nın bulduğu yöntemi kullanarak bir Ivanti cihazında root kalıcılığı elde etmeye çalışan uzaktan saldırganların Ivanti Connect Secure uygulamasıyla bağlantısını kaybedeceğini söyledi.
Ivanti, “Ivanti ve güvenlik ortaklarımız, Ivanti tarafından önerilen güvenlik güncellemelerinin ve fabrika sıfırlamalarının (donanım)/yeni yapının (sanal) uygulanmasının ardından tehdit aktörlerinin başarılı bir şekilde devam ettiğinin farkında değiller” dedi.
Şirketin güvencelerine rağmen CISA bugün tüm Ivanti müşterilerini “önemli riski göz önünde bulundurun Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerine düşman erişimi ve bunların devamlılığı çalışmaya devam edilip edilmeyeceğine karar verilmesi bu cihazlar kurumsal bir ortamda” [CISA’s emphasis].
Başka bir deyişle CISA, daha önce ele geçirilen Ivanti Connect Secure ve Ivanti Policy Secure cihazlarının temizlenip fabrika ayarlarına sıfırlandıktan sonra bile kullanılmasının hala güvenli olmayabileceği konusunda uyarıyor.
1 Şubat’ta, saldırıya uğrayan Ivanti VPN cihazlarının oluşturduğu “önemli tehdide” ve artan güvenlik ihlali riskine yanıt olarak CISA, tüm federal kurumlara tüm Ivanti Connect Secure ve Ivanti Policy Secure örneklerinin ağlarıyla olan bağlantısını 48 saat içinde kesmelerini emretti.
Kurumlara, yalıtılmış cihazları geri getirebilmek için yapılandırmaları dışa aktarma, bunları fabrika ayarlarına sıfırlama, Ivanti tarafından yayımlanan yamalı yazılım sürümlerini kullanarak yeniden oluşturma, yedeklenen yapılandırmaları yeniden içe aktarma ve bağlı veya açıkta kalan tüm sertifikaları, anahtarları ve parolaları iptal etme yetkisi verildi. çevrimiçi.
Ağlarında güvenliği ihlal edilmiş Ivanti ürünleri bulan federal kurumlara, tüm bağlantılı etki alanı hesaplarının güvenliğinin ihlal edildiğini varsaymaları ve birleştirilmiş/kayıtlı cihazları devre dışı bırakmaları (bulut ortamlarında) veya tüm hesaplar için çift parola sıfırlama işlemi gerçekleştirmeleri ve Kerberos işaretlerini ve bulut belirteçlerini iptal etmeleri söylendi. hibrit kurulumlar).
Ulus devlet aktörleri, CISA’nın bugünkü danışma belgesinde bahsettiği bazı güvenlik açıklarından, çok sayıda özel kötü amaçlı yazılım türünü düşürmek için geniş bir yelpazedeki tehdit aktörleri tarafından daha büyük ölçekte kullanılmadan önce sıfır gün olarak yararlandı.
CVE-2021-22893 olarak takip edilen başka bir Connect Secure sıfır gün olayı, 2021’de şüpheli Çinli tehdit grupları tarafından Amerika Birleşik Devletleri ve Avrupa’daki düzinelerce hükümet, savunma ve finans kuruluşuna sızmak için kullanıldı.
29 Şubat 19:57 EST Güncellemesi: Uyarı metninin Ivanti Connect Secure ve Ivanti Policy Secure VPN cihazlarıyla ilgili olduğunu açıkça belirtmek için gözden geçirilmiş hikaye ve başlık.