Dalış Kılavuzu:
- CISA Cuma günü, ajansın bilinen sömürülen güvenlik açıkları kataloğuna birkaç Ivanti ürününü etkileyen kritik bir yığın tabanlı tampon aşımı kusuru olan CVE-2025-22457’yi ekledi. Ivanti bunu 3 Nisan’da açıkladı ve kusurun vahşi doğada sömürüldüğü konusunda uyardı.
- Kritik güvenlik açığı, Ivanti Connect Secure ve Pulse Connect Secure, Ivanti Politika Secure ve ZTA Ağ Geçidi ürünlerini etkiler. Ivanti daha önce kusuru uzaktan sömürülemeyen bir ürün hatası olarak yanlış tanımlamıştı.
- Mantiant, geçen hafta, şüpheli bir Çin ulus-devlet tehdit grubunun Siber Casusluk kampanyasında Mart ortasından bu yana CVE-2025-22457’yi nasıl kullandığını ayrıntılı olarak yayınladı. Saldırılar Ivanti Connect Secure VPN cihazları ile sınırlıydı.
Dalış içgörü:
Ivanti, CVE-2025-22457’nin “sınırlı sayıda müşteriyi” etkileyen Ivanti Connect Secure ve destek sonu nabız bağlantı güvenli 9.1x aletlerine yönelik saldırılarda kullanıldığını söyledi. Şirket, Ivanti Politika Güvenli Örneklere veya ZTA Ağ Geçitlerine Karşı herhangi bir sömürünün farkında olmadığını söyledi.
Kritik güvenlik açığı başlangıçta 11 Şubat’ta Ivanti Connect Secure (ICS) sürüm 22.7R2.6 sürümü ile sabitlendi. O sırada, yazılım satıcısı, uzaktan kod yürütme saldırılarında kusurun kullanılabilir olduğunu belirlemişti. Şirket, “Ancak Ivanti ve güvenlik ortaklarımız, güvenlik açığının sofistike yollarla kullanılabilir olduğunu öğrendiler ve vahşi doğada aktif sömürü kanıtlarını belirlediler.” Dedi.
Mantiant, Ivanti’nin CVE-2025-22457’nin düşük riskli bir hizmet reddi kusuru olduğuna inanırken, UNC5221’in güvenlik açığını analiz ettiği ve çok daha etkili olduğunu keşfettiği için bir Çin-NEXUS tehdit grubunun izlendiğini söyledi. Şirket bir blog yazısında, “Tehdit oyuncunun ICS 22.7R2.6’daki güvenlik açığı için yamayı incelemesi ve karmaşık bir süreçle ortaya çıkarıldığını değerlendiriyoruz, uzaktan kod yürütülmesini sağlamak için 22.7R2.5 ve daha önceki bir süreçten yararlanmak mümkün oldu.”
UNC5221, mağdurların ağlarına ilk erişim elde etmek için daha önce Ivanti güvenlik açıklarından yararlandı. Örneğin, Ocak ayında Mantiant, bir yığın tampon aşımı sorunundan kaynaklanan sıfır günlük bir güvenlik açığı olan CVE-2025-0282’nin, araştırmacıların UNC5221 ile ilişkili olduğuna inandığı başka bir Çin-nexus grubu tarafından vahşi doğada sömürüldüğünü bildirdi.
“UNC5221’den gelen bu son etkinlik, Çin-Nexus casusluk grupları tarafından küresel olarak küresel olarak süregelen cihazların hedeflenmesinin altını çizmektedir. Bu aktörler, Güvenlik güvenlik açıklarını araştırmaya ve EDR çözümlerini desteklemeyen işletme sistemleri için özel kötü amaçlı yazılımlar geliştirmeye devam edecekler. Çin-nexus esponaj eylemleri tarafından siber saldırı faaliyetlerinin hızı artmaya devam ediyor ve bu aktörlerin her zamankinden daha iyi olduğunu söyledi.” ifade.
Siber güvenlik dalışına yaptığı açıklamada, Ivanti müşterileri derhal harekete geçirmeye çağırdı:
“ICS 9.x (yaşamın sonu) ve 22.7R2.5 ve daha önce çalışan müşteriler, mümkün olan en kısa sürede yükseltmeye ve güvenlik danışmanında belirtilen diğer eylemleri izlemeye teşvik edilmektedir. Ivanti’nin BİT, ICS 9.x (ömrünün sonu) ve 22.7R2.5 ve daha önceki versiyonları çalıştıran sınırlı sayıda müşteri üzerinde potansiyel uzlaşmayı tespit etmede başarılı olmuştur.” “Özellikle ağ güvenlik cihazları ve Edge cihazları sofistike ve son derece kalıcı tehdit aktörlerinin odağı olarak kaldıklarından Ivanti, savunucuların ortamlarını güvence altına almak için mümkün olan her adımı atabilmelerini sağlamak için bilgi sağlamaya kararlıdır.”
CISA, en son yazılım sürümlerine yükseltilmenin ve BİT’i çalıştırmanın yanı sıra, Ivanti müşterilerinin cihazlarının bir fabrika sıfırlamasını yapmasını önerdi ve tüm hesapları “en yüksek güven düzeyi için” ayrıcalıklı erişimle denetleyin.