ZTA ağ geçitleri için Ivanti Connect Secure, Policy Secure ve Neurons’u etkileyen kritik bir güvenlik açığı olan CVE-2025-0282 tespit edildi ve istismar edildi.
CVSS puanı 9,0 olan bu yığın tabanlı arabellek taşması güvenlik açığı, kimliği doğrulanmamış saldırganların uzaktan rastgele kod yürütmesine olanak tanıyor.
Kusur, Ivanti Connect Secure’un 22.7R2.5 öncesi, Policy Secure’un 22.7R1.2 öncesi ve ZTA ağ geçitleri için Neurons’un 22.7R2.3 öncesi sürümlerini etkiliyor.
Ivanti, Aralık 2024’ün ortalarında başlayan aktif istismar raporlarının ardından 8 Ocak 2025’te güvenlik açığını açıkladı. Şirketin Bütünlük Denetleyici Aracı (ICT), müşteri cihazlarında kötü amaçlı etkinlik tespit ederek CVE-2025-0282’nin tanımlanmasına yol açtı.
Etkilenen sistemlerin uzaktan kod yürütmeye (RCE) karşı savunmasız olması, saldırganların potansiyel olarak tüm ağları tehlikeye atmasına olanak tanır.
Güvenlik açığı, hatalı kullanımdan kaynaklanmaktadır. clientCapabilities parametresi /home/bin/web Ivanti Connect Secure cihazlarının ikili dosyası.
Geliştiriciler şunu kullandı: strncpy Watchtowr analizine göre, işlev ancak yanlışlıkla hedef arabellek boyutu yerine giriş dizesinin boyutunu aktararak saldırganların belleğin üzerine yazmasına ve kötü amaçlı kod çalıştırmasına olanak tanıyor.
33.542 Ivanti Connect Güvenli Örneği Açığa Çıktı
Siber güvenlik firması Censys, 33.542 Ivanti Connect Secure örneğinin küresel olarak açığa çıktığını ve önemli yoğunlukların Amerika Birleşik Devletleri ve Japonya’da olduğunu bildirdi.
Ancak, değişen yazılım sürümleri nedeniyle açığa çıkan sistemlerin tümü güvenlik açığına sahip olmayabilir. ZTA ağ geçitleri için Policy Secure ve Neuron’lar, genellikle internete dönük olmadıkları için daha az görünürdür.
Mandiant ve Microsoft Tehdit İstihbarat Merkezi tarafından yapılan güvenlik araştırmaları, istismar kampanyalarının Spawn, Dryhook ve Phasejam gibi gelişmiş kötü amaçlı yazılım ailelerini kullandığını ortaya çıkardı. Bazı saldırıların UNC5337 gibi Çin bağlantılı tehdit aktörlerine atfedildiği belirtiliyor.
Saldırganların, güvenliği ihlal edilmiş cihazlarda SELinux gibi güvenlik özelliklerini devre dışı bıraktıkları ve kalıcılık için web kabukları dağıttıkları gözlemlendi.
Ivanti Connect Secure cihazları için aktif istismar doğrulanmış olsa da, ZTA ağ geçitleri için Policy Secure veya Neurons’u hedef alan saldırılara dair henüz bir kanıt yok.
Ivanti, Connect Secure (sürüm 22.7R2.5) için bir yama yayınladı ancak ZTA ağ geçitleri için Policy Secure ve Neurons düzeltmelerinin 21 Ocak 2025 itibarıyla kullanıma sunulacağını duyurdu. Yöneticilerin, etkilenen sistemleri hemen güncellemeleri ve fabrika ayarlarına sıfırlama yapmaları önemle tavsiye edilir. kötü amaçlı yazılımların kaldırılmasını sağlamak için gereklidir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna CVE-2025-0282’yi ekledi ve kuruluşları gecikmeden tehdit avcılığı yapmaya ve yamaları uygulamaya çağırdı. Ivanti’nin tavsiyesi, uzlaşma işaretlerini tespit etmek için BİT taramalarının kullanılmasını öneriyor.
Güvenlik araştırmacıları, istismar sürecinin ayrıntılı bir özetini yayınladı. Saldırganların büyük boyuttan nasıl yararlandığını özetlemektedir clientCapabilities Arabellek taşmalarını tetiklemek ve RCE’ye ulaşmak için bloklar. Bu analiz, güvenlik açığına yol açan kritik kodlama hatalarını vurgular.
Ivanti ürünlerini kullanan kuruluşların sistemlerini bu kritik tehdide karşı korumak için hızlı hareket etmeleri gerekiyor. Savunmasız örneklerin geniş çapta açığa çıkması, güçlü yama yönetimi ve proaktif izlemenin aciliyetinin altını çiziyor.
Siber güvenlik uzmanları, ek tehdit aktörlerinin potansiyel fırsatçı istismarına karşı uyarıda bulunurken, CVE-2025-0282 ile ilişkili riskleri azaltmak için güncellemelerin uygulanması ve en iyi uygulamalara bağlı kalınması zorunludur.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free