Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ivanti Endpoint Manager Mobile (EPMM) ve MobileIron Core’u etkileyen, önceden yamalı kritik bir güvenlik açığından (CVE-2023-35082) aktif olarak yararlanıldığını, güvenlik açığını Bilinen Yararlanan Güvenlik Açıkları Kataloğu’na ekleyerek doğruladı ( KEV).
Bu güvenlik açığının fidye yazılımı grupları tarafından istismar edilip edilmediği bilinmiyor ve CISA, KEV kataloğundaki güvenlik açıklarından yararlanılan saldırılar hakkında özel bilgi yayınlamıyor.
Ancak görünen o ki, en azından bu durumda, ekleme oldukça geç yapılıyor: Ivanti’nin CVE-2023-35082 için Bilgi Bankası girişi – görünüşe göre en son 22 Ağustos 2023’te güncellendi – SSS bölümünde “Ivanti’nin güncellendiği” belirtiliyor. Ayrıntıların Rapid7 tarafından kamuya açıklanmasından bu yana istismara uğrayan birkaç müşterinin istismarı konusunda bilgilendirildik.”
Ivanti’nin CVE-2023-35082’ye ilişkin güvenlik tavsiye belgesinde hâlâ aktif istismardan bahsedilmiyor, ancak yukarıda adı geçen Bilgi Bankası makalesine bir bağlantı bulunuyor (bağlantı, 21 Ağustos 2023’te yapılan tavsiye niteliğindeki güncellemenin bir parçası olarak eklenmiştir).
CVE-2023-35082 düzeltildi
CVE-2023-35082, yetkisiz, uzak (internet’e bakan) tehdit aktörleri tarafından kullanıcıların kişisel olarak tanımlanabilir bilgilerini (PII) elde etmek ve sunucuda değişiklikler yapmak için kullanılabilecek, kimliği doğrulanmamış bir uzaktan API erişim güvenlik açığıdır.
Kusur, Rapid7 tarafından Ağustos 2023’ün başlarında keşfedildi ve rapor edildi ve bunun, Ivanti EPMM’deki başka bir kimlik doğrulama atlama güvenlik açığı olan CVE-2023-35078 için bir yama atlaması olduğu düşünülüyor.
CVE-2023-35082’nin başlangıçta yalnızca MobileIron Core 11.2 ve önceki sürümlerini etkilediğine inanılıyordu, ancak Ivanti kısa süre sonra bunun Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 ve 11.8 ile MobileIron Core 11.7 ve önceki sürümlerini etkilediğini doğruladı. Şirket, “Kötüye kullanım riski bireysel müşterinin konfigürasyonlarına bağlıdır” dedi.
Ivanti ilk olarak 11.10’dan 11.3’e kadar olan sürümler için geçici bir çözüm olarak bir RPM komut dosyası sağladı ve daha sonra EPMM v11.11’e bir düzeltme ekledi.
Henüz v11.11’e (veya daha yenisine) yükseltme yapmamış olan müşterilerin bunu hızlı bir şekilde yapması gerekmektedir. Ayrıca, bu güvenlik açığı nedeniyle ihlal edilip edilmediklerini kontrol etmek için Rapid7 tarafından sağlanan güvenlik ihlali göstergelerini de aramaları gerekir.
Diğer Ivanti teklifleri saldırı altında
Ivanti yakın zamanda Connect Secure VPN cihazlarını etkileyen ve saldırganlar tarafından da istismar edilen iki sıfır günü açıkladı.
Bir kimlik doğrulama atlama güvenlik açığı olan CVE-2023-46805 ve bir komut enjeksiyon güvenlik açığı olan CVE-2024-21887, kitlesel istismar altındadır ve bazı durumlarda saldırganlar kripto madencileri dağıtmaktadır.