CISA, Hackerların Ivanti VPN Kusurunu İstismar Ettiği Konusunda Uyardı


Tehdit aktörleri VPN kusurlarını hedef alır ve kötüye kullanır çünkü VPN’ler genellikle hassas verileri ve iletişimleri güvence altına almak için kullanılır ve bu da onları istismar için değerli hedefler haline getirir.

Tehdit aktörleri, VPN kusurlarından yararlanarak ağlara yetkisiz erişim sağlayabilir, gizli verilere müdahale edebilir ve çeşitli siber saldırılar başlatabilir.

CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), aşağıdaki ortaklarla birlikte yakın zamanda bilgisayar korsanlarının Ivanti VPN’deki birden fazla güvenlik açığından (CVE-2023-46805, CVE-2024-21887 ve CVE-2024-21893) aktif olarak yararlandığı konusunda uyardı: –

  • Federal Soruşturma Bürosu (FBI)
  • Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC)
  • Avustralya Sinyaller Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC’si)
  • Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC-UK)
  • Kanada Siber Güvenlik Merkezi (Siber Merkez), İletişim Güvenliği Kuruluşunun bir parçası
  • Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ)
  • CERT-Yeni Zelanda (CERT NZ)

CISA, Ivanti VPN’i Suistimal Eden Hackerları Uyardı

Ivanti ağ geçitleri, desteklenen tüm sürümleri (9.x ve 22.x) etkileyen, saldırganların kimlik doğrulamayı atlamasına, komutları yürütmesine ve tespitten kaçmasına olanak tanıyan ciddi güvenlik açıklarına sahiptir.

CISA, Ivanti’nin ICT sistemlerinin güvenliği ihlal etmeyi tespit edemediğini tespit etti ve bu nedenle ağ savunucularını kimlik bilgileri konusunda uzlaşmaya varmaya ve aşağıdaki görevleri yerine getirmeye çağırdı: –

  • Kötü amaçlı etkinlikleri araştırın
  • Güncellenmiş ICT’yi çalıştırın
  • Yamaları uygula
‘Kimlik Bilgilerini Kaydet’ ile Ivanti Etki Alanına Katılma Yapılandırması (Kaynak – CISA)

Gelişmiş tehdit aktörleri uzun süreler boyunca tespit edilemeyebileceğinden, kuruluşlar fabrika ayarlarına sıfırlandıktan sonra bile rootkit düzeyindeki kalıcılığa karşı dikkatli olmalıdır.

Önemli riskler nedeniyle, kurumsal ortamlarda Ivanti Connect Secure ve Policy Secure ağ geçitlerini kullanmayı yeniden düşünmeniz önemle tavsiye edilir.

CISA, web kabukları yerleştirmek ve kimlik bilgilerini toplamak için CVE’lerden yararlanan tehdit aktörlerini tespit ederek Ivanti’deki güvenlik açıklarına yanıt verdi.

Uzlaşma sonrası tehdit aktörleri, yanal hareket için freerdp ve SSH gibi Ivanti’ye özgü araçları kullandı ve bu da tam alan adı güvenliğinin ihlal edilmesine yol açtı.

Ivanti’nin ICT’si güvenliği tespit edemedi, bütünlük denetleyicisi ve adli analizin ise güvenilmez olduğu ortaya çıktı. Siber suçlular, BİT taramalarının uzlaşmayı gösterme konusundaki güvenilmezliğini vurgulayarak izleri silebilir.

Bağımsız araştırma, Ivanti’nin siber tehdit aktörlerinin fabrika sıfırlamaları ve yükseltmelerden sonra bile devam etmesine olanak tanıyan BİT yetersizliğini doğruladı.

Azaltmalar

Aşağıda, siber güvenlik araştırmacıları tarafından sağlanan tüm azaltımlardan bahsettik: –

  • VPN’leri akıllıca seçtiğinizden ve özel protokollerden veya standart dışı özelliklerden kaçındığınızdan emin olun.
  • Güvenli uzaktan erişim araçları.
  • Temel hizmetler için SSL VPN’lerde giden bağlantıları kısıtlayın.
  • AD/LDAP kimlik doğrulamalı SSL VPN’lerde LDAP bağlantısı için düşük ayrıcalıklı hesaplar kullanın.
  • Kimlik bilgilerinin açığa çıkmasını azaltmak amacıyla yalnızca ayrıcalıklı olmayan hesaplar için SSL VPN erişimine izin verin.
  • İşletim sistemini, yazılımı ve ürün yazılımını güncel tutun.
  • Uzak Masaüstü Protokollerini ve uzak masaüstü hizmeti kullanımını en aza indirin.
  • Yanal hareketi engellemek amacıyla yönetici görevleri için PsExec’te Windows Kayıt Defterini UAC onayı için yapılandırın.
  • Güvenli bir konumda hassas verilerin birden fazla kopyasını içeren bir kurtarma planı geliştirin.
  • Tüm şifre tabanlı oturum açma işlemleri için NIST şifre politikasını zorunlu kılın.

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link