CISA, Ivanti’nin Sıfır Gün Suistimallerini Azaltmak için Ajanslara Yöneltiyor

Siber Güvenlik ve Altyapı Güvenliği Ajansı, tehdit aktörlerinin Ivanti’nin popüler VPN ve ağ erişim kontrolü çözümlerindeki iki kritik sıfır gün güvenlik açığından toplu olarak yararlandığına ilişkin kanıtlara yanıt olarak Cuma günü bir acil durum talimatı yayınladı. Araştırma, dünya çapında 2.100’den fazla Ivanti cihazının web kabuğu arka kapısıyla ele geçirildiğini gösteriyor. Fortune 500 şirketleri, hükümetler ve savunma, finans, teknoloji ve danışmanlık gibi çeşitli sektörler de dahil olmak üzere bilinen mağdurlar.

Kusurlarla ilgili ayrıntıları ilk kez 10 Ocak’ta yayınlayan siber güvenlik firması Volexity, suçluların Çin devletine ait saldırganlar olduğundan şüphelendiğini söyledi. O günden bu yana, Volexity’nin bulduğu en az bir kripto hırsızlığı örneği de dahil olmak üzere diğer bilgisayar korsanları da bu güvenlik açıklarından yararlanmak için harekete geçti.

CISA Siber Güvenlik İcra Direktörü Eric Goldstein, Cuma günü gazetecilerle yaptığı telefon görüşmesinde güvenlik açıklarını “hızla gelişen bir durum” olarak nitelendirdi. Etkilenen ürünleri kullanan on beş kurumun, her iki istismar için de henüz mevcut olmayan bir yama bekleyene kadar geçici hafifletme önlemleri uygulaması gerekiyor. Goldstein, “Federal girişim için önemli bir risk değerlendirmiyoruz” dedi. “Fakat riskin sıfır olmadığını biliyoruz.”

Ivanti, yamaların 22 Ocak’a kadar mevcut olmayacağını ve daha sonra kademeli olarak dağıtılacağını söyledi. Şirketin ayrıntılı azaltma adımları var, ancak bunlar yalnızca gelecekteki saldırıları önlüyor ve zaten güvenliği ihlal edilmiş cihazları düzeltmiyor. Bir güncellemede Ivanti, bilgisayar korsanlarının yama yapıldıktan sonra bile kalıcı erişimi sürdürmek için web kabukları yerleştirdiğini, bunun da firmanın yamayı uyguladıktan sonra özel sertifikaların iptal edilmesini ve değiştirilmesini önermesine yol açtığını söyledi.

Goldstein, ürünleri hangi kurumların kullandığını veya tehdit aktörlerinin federal sistemlere başarıyla erişip erişmediğini söylemeyi reddetti. CISA, tehdit aktörlerinin güvenlik açıklarından yararlanarak hükümet ağlarını hedef alma girişimlerini araştırıyor.

Ivanti, bu ayın başlarında, CVE-2023-46805 ve CVE-2024-21887 olarak takip edilen iki güvenlik açığının, tehdit aktörlerinin veri sızdırma operasyonları gerçekleştirirken kalıcı sistem erişimi oluşturmasına ve hedef ağ üzerinde yanal olarak hareket etmesine izin verdiğini doğruladı. CISA, bu güvenlik açıklarının birden fazla tehdit aktörü tarafından yaygın şekilde kullanılmasına ve “etkilenen ürünlerin federal kuruluştaki yaygınlığına” dayanarak bir acil durum direktifinin gerekli olduğunu belirlediğini söyledi.

Ivanti başlangıçta, Çinli ulus-devlet bilgisayar korsanlarının yamalı kusurlardan yararlanması ihtimaline ilişkin endişeleri, izinsiz giriş belirtileri gösteren 10’dan az müşteri bildiğini belirterek bastırmaya çalıştı. Kusurlar firmanın daha önce Pulse Secure ve Ivanti Policy Secure olarak bilinen Connect Secure VPN cihazını etkiliyor (bkz: Şüpheli Çinli Hackerlar 2 Ivanti Zero-Day’i İstismar Ediyor).

Pazartesi günü yayınlanan bir gönderide Volexity, taramanın dünya çapında 1.700’den fazla güvenliği ihlal edilmiş cihazın kanıtlarını ortaya çıkardığını söyledi. Salı günkü güncellemede Ivanti, taramanın “Volexity’nin yeni yayınlanan gözlemleriyle tutarlı” sonuçlar gösterdiğini söyledi. Perşembe günü Volexity, virüs bulaştığı anlaşılan cihazların sayısını 2.100’e çıkardı.

Tehdit istihbaratı şirketi Mandiant, yakın tarihli bir blog yazısında Connect Secure ve Policy Secure’dan yararlanmak için kullanılan beş kötü amaçlı yazılım ailesi tespit ettiğini söyledi. Mandiant, “Bu aileler, tehdit aktörlerinin kimlik doğrulamayı atlatmasına ve bu cihazlara arka kapı erişimi sağlamasına olanak tanıyor” dedi.

Bilgi Güvenliği Medya Grubu’nun Mumbai, Hindistan’daki Mihir Bagwe’sinden gelen raporla