CISA, Ivanti CSA’daki Kritik Güvenlik Açıklarına Karşı Uyardı: Hemen Yama Yapın


Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Ivanti Bulut Hizmet Cihazlarındaki (CSA) kritik güvenlik açıklarının etkin şekilde kullanılmasına yönelik olarak ortak bir Siber Güvenlik Tavsiyesi yayınladı. Bu Ivanti CSA Güvenlik Açıkları (CVE-2024-8963, CVE-2024-9379, CVE-2024-8190 ve CVE-2024-9380), Eylül 2024’te tehdit aktörleri tarafından kurban ağlarını tehlikeye atmak için kullanıldı.

Ivanti CSA Güvenlik Açıklarına Genel Bakış

İstismar edilen güvenlik açıkları şunları içerir:

  1. CVE-2024-8963: Uygulamanın kısıtlı özelliklerine yetkisiz erişime izin veren bir yönetimsel bypass güvenlik açığı (Yol Geçişi).
  2. CVE-2024-8190: Tehdit aktörlerinin uzaktan kimlik doğrulaması yapmasına ve rastgele komutlar yürütmesine olanak tanıyan bir işletim sistemi komut ekleme güvenlik açığı.
  3. CVE-2024-9379: Yönetici ayrıcalıklarına sahip saldırganların kötü amaçlı SQL ifadeleri çalıştırmasına izin veren bir SQL ekleme güvenlik açığı.
  4. CVE-2024-9380: Yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanıldığında uzaktan kod yürütülmesine (RCE) olanak tanıyan bir komut ekleme güvenlik açığı.

Tehdit aktörleri iki ana istismar zincirinden yararlandı: biri CVE-2024-8963’ü CVE-2024-8190 ve CVE-2024-9380 ile birleştiriyor, diğeri ise CVE-2024-8963’ü CVE-2024-9379 ile birleştiriyor. Bu istismarlar ilk erişimi, RCE’yi, kimlik bilgileri hırsızlığını ve kötü amaçlı web kabuklarının yerleştirilmesini mümkün kıldı.

Etkilenen Sürümler

  • CVE-2024-8963, CVE-2024-8190 ve CVE-2024-9380 güvenlik açıkları Ivanti CSA’nın derleme 519’dan önceki 4.6x sürümlerini etkiliyor.
  • CVE-2024-9379 ve CVE-2024-9380 ayrıca CSA 5.0.1 ve önceki sürümlerini de etkiler.

Özellikle Ivanti CSA 4.6 kullanım ömrünün sonuna (EOL) ulaştı ve artık güvenlik yamaları veya güncellemeleri almıyor. Sürüm 4.6 kullanıcılarının bu riskleri azaltmak için desteklenen en son sürümlere yükseltmeleri önemle tavsiye edilir.

Olay Müdahalesinden Temel Bulgular

CISA ve güvenilir üçüncü taraf olay müdahale ekipleri saldırıları analiz etti ve şunları buldu:

  • Kimlik Bilgisi Hırsızlığı ve Yanal Hareket: Saldırganlar, kimlik bilgilerini sızdırmak ve güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmek için bu güvenlik açıklarını kullandı.
  • Web Kabuğu İmplantasyonu: Kalıcı erişimi sürdürmek ve kötü amaçlı komutları yürütmek için web kabukları dağıtıldı.
  • Anormal Aktivitenin Tespiti: Hızlı bir şekilde tespit edip yanıt veren kuruluşlar, daha fazla istismarın önüne başarıyla geçti.

Olay Müdahale Örnekleri

Üç mağdur kuruluş deneyimlerini CISA ve FBI ile paylaştı:


Tarayıcınız video etiketini desteklemiyor.

  1. Organizasyon 1: Anormal kullanıcı hesabı oluşturma işlemi erkenden algılandı ve muhtemelen yanal hareket engellendi. Güvenliği ihlal edilmiş sistemleri değiştirdiler ve yükselterek hasarı sınırladılar.
  2. Organizasyon 2: Savunmacıları kötü amaçlı komut dosyası yürütmeye karşı uyaran bir uç nokta koruma platformundan (EPP) yararlanıldı. Web kabuğu oluşturulması engellendi.
  3. Organizasyon 3: Tehdidi tespit etmek ve ona yanıt vermek için diğer mağdur kuruluşlardan gelen uzlaşma göstergeleri (IOC’ler) kullanıldı. Obelisk ve GoGo Tarayıcı gibi büyük miktarda günlük üreten ve tespite yardımcı olan araçları içeren etkinlikleri belirlediler.

Azaltıcı Önlemler

Bu Ivanti CSA Güvenlik Açıklarına karşı koymak için CISA ve FBI aşağıdaki adımları önermektedir:

  1. Yazılımı Yükseltme: Hemen Ivanti CSA’nın desteklenen en son sürümüne yükseltin. Ivanti CSA 4.6’nın EOL olduğunu ve desteklenmediğini unutmayın.
  2. Uç Nokta Algılama ve Yanıtını (EDR) Uygulama: Anormal etkinliği izlemek ve uyarı vermek için EDR çözümlerini dağıtın.
  3. Ağ Etkinliğini Günlüğe Kaydet: Kötü niyetli davranışları tanımlamak için ağ trafiğinin, kullanıcı hesabı davranışının ve yazılım etkinliğinin ayrıntılı günlüklerini tutun.
  4. Yama Yönetimi: İşletim sistemlerinin, yazılımın ve ürün yazılımının düzenli olarak güncellendiğinden emin olun. Maruziyeti en aza indirmek için güvenlik açığının açıklanmasından sonraki 24-48 saat içinde yamaları uygulayın.

Bu tavsiye, tehdit aktörlerinin faaliyetlerini detaylandırmak için Kuruluşlara yönelik MITRE ATT&CK® Matris çerçevesiyle uyumludur. Taktikler arasında ilk erişim, kimlik bilgilerinin boşaltılması ve uzaktan komut yürütülmesi yer alır.

CISA ve FBI Rehberliği

Kuruluşlar, güvenliği ihlal edilmiş Ivanti cihazlarındaki kimlik bilgilerinin ve hassas verilerin risk altında olduğunu dikkate almalıdır. Kötü amaçlı etkinlik belirtileri açısından günlükleri ve yapıları analiz etmek için derhal harekete geçilmelidir. Bu danışma belgesi, savunucuların kullanabileceği özel tespit yöntemleri ve IOC’ler sağlar.

Ayrıca ağ yöneticilerinin ve güvenlik profesyonellerinin, aktif olarak yararlanılan güvenlik açıkları ve ortaya çıkan tehditler hakkında bilgi sahibi olmak için CISA’nın Bilinen Yararlanan Güvenlik Açıkları Kataloğuna başvurmaları önerilir.

Bu danışma belgesi, yazılımı güncel tutmanın, hızlı güvenlik açığı düzeltme eklerinin ve etkili tehdit algılama stratejilerinin öneminin önemli bir hatırlatıcısıdır. Ivanti CSA’ya güvenen kuruluşların, bu saldırılara karşı savunma sağlamak için en son sürümlere yükseltmeye ve güçlü güvenlik uygulamaları uygulamaya öncelik vermesi gerekiyor.



Source link