Dalış Kılavuzu:
- Cuma günü Siber Güvenlik ve Altyapı Güvenlik Ajansı, Ivanti Connect Güvenli Aletleri’nde kritik bir yığın tamponu taşma güvenlik açığı olan CVE-2025-0282’den yararlanan yeni bir kötü amaçlı yazılım varyantı için bir uyarı yayınladı. Varyant, Çin ulus-devlet tehdit aktörleri tarafından kullanılan Spawn Malware ailesiyle benzerlikleri paylaşıyor.
- CVE-2025-0282 başlangıçta 8 Ocak’ta sıfır gün güvenlik açığı olarak ifşa edildi. O zamanlar maniant araştırmacılar, kusurun UNC5337 olarak izledikleri bir Çin-nexus casusluk grubu tarafından vahşi doğada sömürüldüğünü söyledi.
- Ivanti ürünlerindeki güvenlik açıkları, bu yıl çeşitli örneklerle çeşitli tehdit aktörleri için popüler hedefler haline gelmiştir. Bu ayın başlarında, Ivanti uç nokta yöneticisinde üç kritik güvenlik açığı saldırıya uğradı.
Dalış içgörü:
CISA’ya göre, Resurge, Sistem yeniden başlatmalarına dayanan Spawn kötü amaçlı yazılım ailesinin bir çeşidi olan Spawnchimera’ya benzer. Maniant araştırmacıları daha önce UNC5337’nin Ivanti Connect Güvenli cihazlardaki diğer güvenlik açıklarına karşı SPAWN kötü amaçlı yazılım varyantlarını dağıtmayı gözlemlemişlerdir.
CISA, eskisinin bütünlük kontrollerini manipüle etme yeteneği de dahil olmak üzere, yeniden şekillendirme ve Spawnchimera arasındaki önemli farklılıkları vurguladı. Ivanti genellikle kuruluşların CVE-2025-0282 dahil olmak üzere güvenlik açıklarının kullanılmasını belirlemek için Integrity Checker aracını (BİT) kullanmasını önerir.
Ancak, CISA daha önce Ivanti’nin BİT’iyle ilgili sorunları işaretledi. Geçen yıl, ajans, aracın eski bir versiyonunun üç güvenlik açıkının kullanımı tespit etmek için yetersiz olduğu konusunda uyardı: CVE-2023-46805, CVE-2024-21887 ve CVE-2024-21893. CISA daha sonra ağının güvenlik açıklarından ikisi ile ihlal edildiğini açıkladı.
CISA’ya göre, yeniden yazılımla, tehdit aktörleri web mermileri oluşturabilir, kimlik bilgileri oluşturabilir, yeni hesaplar oluşturabilir, şifre sıfırlamaları başlatabilir ve izinleri yükseltebilir. Ek olarak, saldırganlar web kabuğunu bir Ivanti cihazının önyükleme diskine kopyalayabilir ve çalışan CoreBoot görüntüsünü değiştirebilir.
CISA’nın kötü amaçlı yazılım analizinde, ajans, tehdit aktörlerinin ilk erişim için Ivanti CVE-2025-0282’den yararlandıktan sonra kritik bir altyapı kuruluşunun Ivanti Connect Güvenli cihazından yeniden şekillendirme dosyalarını aldığını belirtti. Rezeurge’a ek olarak, CISA analistleri, Ivanti cihaz günlükleri ile sıkıştıran Spawnsloth olarak bilinen başka bir yumurtlama kötü amaçlı yazılım varyantı keşfetti.
Sömürü faaliyetinin ne kadar yaygın olduğu veya ne tür kuruluşların ve endüstrilerin hedeflendiği belli değil. Ocak ayı sonlarında, Shadowserver Vakfı, 379 kuruluşun CVE-2025-0282’den sömürü yoluyla konuşlandırılan arka kapılarla enfekte olduğunu buldu.
Kötü amaçlı yazılımların sömürü kanıtlarını silme yeteneği göz önüne alındığında, CISA önerilen kuruluşların cihazlarının ve ağlarının kötü niyetli faaliyetlerden arınmış olmasını sağlamak için kritik adımlar atması. Ajans, “En yüksek güven seviyesi için bir fabrika sıfırlaması yapın.” Dedi. “Bulut ve sanal sistemler için, cihazın harici bir temiz görüntüsünü kullanarak bir fabrika sıfırlama yapın.”
Siber güvenlik Dive, Cisa’nın uyarısı hakkında yorum yapmak için Ivanti ile temasa geçti.