Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir acil durum direktifiyle tüm federal kurumlara, Ivanti Connect Secure ve Policy Secure çözüm ürünlerinin tüm örneklerinin kurum ağlarından en geç 2 Şubat 2024 Cuma günü saat 23:59’a kadar bağlantısını kesmelerini emretti.
11 Ocak 2024’te yazdığımız çok sayıda Ivanti güvenlik açığının yanı sıra, 31 Ocak 2024’te iki yeni yüksek önem dereceli kusur hakkında uyarılar duyuldu.
CISA, Ivanti Connect Secure ve Policy Secure çözümlerindeki güvenlik açıklarının ciddi sonuçlar doğuracak şekilde yaygın ve aktif şekilde kullanıldığını fark ettikten sonra bu ciddi adımı attı:
“Etkilenen bu ürünlerdeki güvenlik açıklarının başarılı bir şekilde kullanılması, kötü niyetli bir tehdit aktörünün yatay olarak hareket etmesine, veri sızıntısı gerçekleştirmesine ve kalıcı sistem erişimi oluşturmasına olanak tanıyarak hedef bilgi sistemlerinin tamamen tehlikeye girmesine neden olur.”
Buna dayanarak CISA, bu koşulların Federal Sivil Yürütme Organı (FCEB) kurumları için kabul edilemez bir risk oluşturduğunu ve acil eylem gerektirdiğini belirledi.
Ivanti Connect Secure ve Ivanti Policy Secure çözümünü kullanan FCEB kurumları, acil durum direktifi Ek Yönerge V1: Acil Durum Direktifi 24-01: Ivanti Connect Secure ve Ivanti Policy Secure Güvenlik Açıklarını Azaltma’da gerekli eylemlerin bir listesini bulacaktır.
Bu eylemler, etkilenen Ivanti cihazına bağlı veya yakın zamanda bağlanan tüm sistemlerde tehdit aramayı içerir. CISA, etkilenen ürünleri çalıştıran kurumların, etkilenen ürünlerle ilişkili alan adı hesaplarının ele geçirildiğini varsayması gerektiğini belirtiyor.
Ajansların cihazları yalnızca fabrika ayarlarına sıfırlanması ve Ivanti’nin talimatlarına göre güncellenmesi durumunda yeniden bağlama izni vardır.
Bu noktaya nasıl gelindi?
10 Ocak 2024’te Ivanti, Ivanti Connect Secure ve Ivanti Policy Secure Gateway’lerin desteklenen tüm sürümlerinde aktif olarak yararlanılan iki güvenlik açığı hakkında tavsiyeler yayınladı. Aktif istismarın tarihi 3 Aralık 2023’e kadar uzanıyor. Bu güvenlik açıkları CVE-2023-46805 ve CVE-2024-21887 olarak listelendi.
Ivanti bir geçici çözüm sağladı ve yamaların sürümlere dayalı bir programa göre yayınlanacağını, ilkinin 22 Ocak haftasında yayınlanacağını söyledi. Son sürümün ise 19 Şubat haftasında çıkacağını söyledi.
Kısa bir süre sonra, çeşitli grupların güvenlik açıklarından yararlanarak 1.700 kadar ele geçirilmiş cihazı topladığı ve 7.000’inin daha savunmasız kaldığına dair raporlar ortaya çıkmaya başladı. Ayrıca bazı güvenlik firmaları Çin APT’sinin hafifletici önlemleri atlayabildiğini fark etti.
31 Ocak 2024’te CVE-2024-21888 ve CVE-2024-21893 olarak listelenen yeni güvenlik açıkları gün ışığına çıktı; burada Ivanti, “şu anda CVE-2024-21893’ten etkilenen az sayıda müşterinin” farkında olduğunu belirtti. .” Müşteriler, yeni azaltıcı önlemlerin nasıl uygulanacağı ve her sürüm kullanıma sunulduğunda yamanın nasıl uygulanacağı hakkında ayrıntılı talimatlar için bu KB makalesini okuyabilir.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.