ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Pazartesi günü, vahşi doğada aktif sömürü kanıtlarına dayanarak, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna avantaj Veracore ve Ivanti Endpoint Manager’ı (EPM) etkileyen beş güvenlik kusuru ekledi.
Güvenlik açıklarının listesi aşağıdaki gibidir –
- CVE-2024-57968 – Avantive Veracore’da, Uzaktan Tükenmemiş Bir Saldırganın Upload.apsx aracılığıyla istenmeyen klasörlere dosyaları yüklemesine izin veren sınırsız bir dosya yükleme güvenlik açığı
- CVE-2025-25181 – Bir uzaktan saldırganın keyfi SQL komutlarını yürütmesine izin veren bir SQL enjeksiyon güvenlik açığı
- CVE-2024-13159 – Ivanti EPM’de, uzaktan kumandasız bir saldırganın hassas bilgileri sızdırmasına izin veren mutlak bir yol geçiş güvenlik açığı
- CVE-2024-13160 – Ivanti EPM’de, uzaktan kumandasız bir saldırganın hassas bilgileri sızdırmasına izin veren mutlak bir yol geçiş güvenlik açığı
- CVE-2024-13161 – Ivanti EPM’de, uzaktan kumandasız bir saldırganın hassas bilgileri sızdırmasına izin veren mutlak bir yol geçiş güvenlik açığı
Veracore güvenlik açıklarının sömürülmesi, uzlaşmış sistemlere kalıcı uzaktan erişimi sürdürmek için ters kabukları ve web kabuklarını düşürdüğü gözlemlenen XE Group adlı bir Vietnam tehdit oyuncusu ile ilişkilendirilmiştir.
Öte yandan, şu anda üç Ivanti EPM kusurunun gerçek dünya saldırılarında nasıl silahlandırıldığına dair bir kamuoyu raporu yok. Geçen ay bir kavram kanıtı (POC) istismar yayınlandı. Siber güvenlik şirketi, onları kimlik doğrulanmamış bir saldırganın sunuculardan ödün vermesine izin verebilecek “kimlik bilgisi zorlama” hataları olarak nitelendirdi.
Aktif sömürü ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının 31 Mart 2025’e kadar gerekli yamaları uygulaması esastır.
Gelişme, tehdit istihbarat firması Greynose, PHP-CGI’yi etkileyen kritik bir kırılganlık olan CVE-2024-4577’nin kitlesel sömürüsü uyardı ve Japonya, Singapur, Endonezya, Birleşik Krallık, İspanya ve Hindistan’ı hedefleyen saldırı faaliyetindeki ani artışlar.
“Son 30 gün içinde CVE-2024-4577’yi hedefleyen IP’lerin% 43’ünden fazlası Almanya ve Çin’den geliyor,” dedi Greynoise, Şubat ayında “birden fazla ülkedeki ağlara karşı ek otomatik tarama önererek” koordineli bir artış tespit etti.