ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Cuma günü, Federal Sivil Yürütme Organı (FCEB) kurumlarını Ivanti Connect Secure (ICS) ve Ivanti Policy Secure (IPS)’de aktif olarak kullanılan iki sıfır gün kusuruna karşı azaltımlar uygulamaya çağıran bir acil durum direktifi yayınladı. ürünler.
Bu gelişme, kimlik doğrulama atlama (CVE-2023-46805) ve kod ekleme hatası (CVE-2024-21887) gibi güvenlik açıklarının birden fazla tehdit aktörü tarafından yaygın biçimde istismar edilmesinin ardından geldi. Kusurlar, kötü niyetli bir aktörün sistemde kötü niyetli istekler oluşturmasına ve rastgele komutlar yürütmesine olanak tanır.
ABD’li şirket, bir danışma belgesinde, eksikliklerin kamuya açıklanmasının ardından 11 Ocak 2024’ten itibaren “tehdit aktörü faaliyetlerinde keskin bir artışa” tanık olduğunu kabul etti.
Ajans, “Etkilenen bu ürünlerdeki güvenlik açıklarının başarılı bir şekilde kullanılması, kötü niyetli bir tehdit aktörünün yatay olarak hareket etmesine, veri sızıntısı gerçekleştirmesine ve kalıcı sistem erişimi kurmasına olanak tanıyarak hedef bilgi sistemlerinin tamamen tehlikeye girmesine neden olur” dedi.
Gelecek hafta kusurları gidermek için bir güncelleme yayınlaması beklenen Ivanti, gerekli yapılandırma değişikliklerini yapmak için etkilenen ürünlere aktarılabilecek bir XML dosyası aracılığıyla geçici bir geçici çözüm sundu.
CISA, ICS çalıştıran kuruluşlara, risk azaltma önlemlerini uygulamaya ve bir Harici Bütünlük Denetleyici Aracı çalıştırarak güvenlik ihlali işaretlerini tespit etmeye ve eğer bulunursa, bunların ağlarla bağlantısını kesip cihazı sıfırlamaya ve ardından XML dosyasını içe aktarmaya çağırıyor.
Buna ek olarak, FCEB kuruluşlarından depolanan tüm sertifikaları iptal etmeleri ve yeniden yayınlamaları, yönetici etkinleştirme parolasını sıfırlamaları, API anahtarlarını saklamaları ve ağ geçidinde tanımlanan herhangi bir yerel kullanıcının parolalarını sıfırlamaları istenmektedir.
Siber güvenlik firmaları Volexity ve Mandiant, güvenliği ihlal edilmiş cihazlara kalıcı erişim için web kabukları ve pasif arka kapılar dağıtmak üzere ikiz kusurları silah haline getiren saldırılar gözlemledi. Bugüne kadar dünya çapında 2.100 kadar cihazın ele geçirildiği tahmin ediliyor.
Aralık 2023’te tanımlanan ilk saldırı dalgası, UTA0178 olarak takip edilen bir Çin ulus devlet grubuna atfedildi. Mandiant, herhangi bir belirli grup veya ülkeyle bağlantısı olmasa da, UNC5221 adı altında faaliyeti takip ediyor.
Tehdit istihbarat firması GreyNoise, aynı zamanda güvenlik açıklarının kalıcı arka kapıları ve XMRig kripto para birimi madencilerini düşürmek için kötüye kullanıldığını gözlemlediğini, bunun da kötü aktörlerin finansal kazanç için fırsatçı sömürüldüğünü gösterdiğini söyledi.