ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün Ivanti cihazlarına aktif olarak yararlanılan birden fazla güvenlik açığından birini kullanarak ihlal eden saldırganların, fabrika ayarlarına sıfırlama yaptıktan sonra bile kök kalıcılığını koruyabildiğini açıkladı.
Ayrıca, CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 ve CVE-2024 kullanılarak güvenliği ihlal edilen Ivanti Connect Secure ve Policy Secure ağ geçitlerinde Ivanti’nin dahili ve harici Bütünlük Denetleyici Aracı (ICT) tarafından tespit edilmekten de kurtulabilirler. -21893 istismarı.
Dört güvenlik açığının ciddiyet derecesi yüksek ile kritik arasında değişmektedir ve kimlik doğrulamayı atlama, komut ekleme, sunucu tarafı istek sahteciliği ve rastgele komut yürütme amacıyla kullanılabilir.
CISA, Ivanti ICT’nin, saldırıya uğramış Ivanti cihazlarıyla ilgili çok sayıda bilgisayar korsanlığı olayını araştırırken uzlaşmayı tespit edemediğini tespit etti. Ivanti’nin ICT’sine göre bunun nedeni, sistemlerde bulunan web kabuklarında hiçbir dosya uyumsuzluğu olmamasıydı.
Ek olarak adli tıp analizi, saldırganların dosyaların üzerine yazarak, dosyaları zaman durdurarak ve tehlikeye atılan cihazı “temiz duruma” geri yüklemek için çalışma zamanı bölümünü yeniden monte ederek izlerini kapattığını ortaya çıkardı.
Bu, CISA’ya göre, BİT taramalarının önceki ihlalleri tespit etmede her zaman güvenilir olmadığını ve cihazın herhangi bir tehlikeden arınmış olduğuna dair yanlış bir güvenlik duygusu yaratabileceğini gösteriyor.
Ayrıca ABD siber güvenlik kurumu, bir test laboratuvarında, tehdit aktörlerinin fabrika ayarlarına sıfırlamalar arasında kök düzeyinde kalıcılık elde edebilmesi nedeniyle uzlaşmanın yeterli düzeyde tespit edilmesi için Ivanti’nin ICT’sinden daha fazlasına ihtiyaç duyulduğunu bağımsız olarak doğrulayabilir.
CISA Perşembe günü uyardı: “Bu faaliyetle ilgili çok sayıda olaya müdahale çalışması sırasında CISA, Ivanti’nin dahili ve önceki harici ICT’sinin uzlaşmayı tespit edemediğini tespit etti.”
“Ayrıca CISA, Ivanti ICT’nin uzlaşmayı tespit etmek için yeterli olmadığını ve bir siber tehdit aktörünün fabrika ayarlarına sıfırlama yapmasına rağmen kök düzeyinde kalıcılık kazanabileceğini doğrulayan bir laboratuvar ortamında bağımsız bir araştırma yürüttü.”
CISA: “Önemli riski göz önünde bulundurun”
Bugün, CISA’nın tavsiyesine yanıt olarak Ivanti, CISA’nın bulduğu yöntemi kullanarak bir Ivanti cihazında root kalıcılığı elde etmeye çalışan uzaktan saldırganların Ivanti Connect Secure uygulamasıyla bağlantısını kaybedeceğini söyledi.
Ivanti, “Ivanti ve güvenlik ortaklarımız, Ivanti tarafından önerilen güvenlik güncellemelerinin ve fabrika sıfırlamalarının (donanım)/yeni yapının (sanal) uygulanmasının ardından tehdit aktörlerinin başarılı bir şekilde devam ettiğinin farkında değiller” dedi.
Şirketin güvencelerine rağmen CISA bugün tüm Ivanti müşterilerini “önemli riski göz önünde bulundurun Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerine düşman erişimi ve bunların devamlılığı çalışmaya devam edilip edilmeyeceğine karar verilmesi bu cihazlar kurumsal bir ortamda” [CISA’s emphasis].
Başka bir deyişle CISA, temizlendikten ve fabrika ayarlarına sıfırlandıktan sonra bile önceden güvenliği ihlal edilmiş Ivanti cihazlarının kullanılmasının hâlâ güvenli olmayabileceği konusunda uyarıyor.
1 Şubat’ta, saldırıya uğrayan Ivanti VPN cihazlarının oluşturduğu “önemli tehdide” ve artan güvenlik ihlali riskine yanıt olarak CISA, tüm federal kurumlara tüm Ivanti Connect Secure ve Ivanti Policy Secure örneklerinin ağlarıyla olan bağlantısını 48 saat içinde kesmelerini emretti.
Kurumlara, yalıtılmış cihazları geri getirebilmek için yapılandırmaları dışa aktarma, bunları fabrika ayarlarına sıfırlama, Ivanti tarafından yayımlanan yamalı yazılım sürümlerini kullanarak yeniden oluşturma, yedeklenen yapılandırmaları yeniden içe aktarma ve bağlı veya açıkta kalan tüm sertifikaları, anahtarları ve parolaları iptal etme yetkisi verildi. çevrimiçi.
Ağlarında güvenliği ihlal edilmiş Ivanti ürünleri bulan federal kurumlara, tüm bağlantılı etki alanı hesaplarının güvenliğinin ihlal edildiğini varsaymaları ve birleştirilmiş/kayıtlı cihazları devre dışı bırakmaları (bulut ortamlarında) veya tüm hesaplar için çift parola sıfırlama işlemi gerçekleştirmeleri ve Kerberos işaretlerini ve bulut belirteçlerini iptal etmeleri söylendi. hibrit kurulumlar).
Ulus devlet aktörleri, CISA’nın bugünkü danışma belgesinde bahsettiği bazı güvenlik açıklarından, çok sayıda özel kötü amaçlı yazılım türünü düşürmek için geniş bir yelpazedeki tehdit aktörleri tarafından daha büyük ölçekte kullanılmadan önce sıfır gün olarak yararlandı.
CVE-2021-22893 olarak takip edilen başka bir Connect Secure sıfır gün olayı, 2021’de şüpheli Çinli tehdit grupları tarafından Amerika Birleşik Devletleri ve Avrupa’daki düzinelerce hükümet, savunma ve finans kuruluşuna sızmak için kullanıldı.