Beş Göz (FVEY) istihbarat ittifakı, Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerindeki bilinen güvenlik kusurlarından yararlanan siber tehdit aktörlerine karşı yeni bir siber güvenlik tavsiye niteliğinde uyarı yayınladı ve Bütünlük Denetleyicisi Aracının (ICT) yanlış bir algı sağlamak üzere aldatılabileceğini belirtti güvenlik.
Ajanslar, “Ivanti ICT, uzlaşmayı tespit etmek için yeterli değildir ve bir siber tehdit aktörü, fabrika ayarlarına sıfırlama yapmasına rağmen kök düzeyinde kalıcılık kazanabilir” dedi.
Ivanti bugüne kadar, 10 Ocak 2024’ten bu yana ürünlerini etkileyen beş güvenlik açığını açıkladı; bunlardan dördü, kötü amaçlı yazılım dağıtmak için birden fazla tehdit aktörü tarafından aktif olarak istismar edildi:
- CVE-2023-46805 (CVSS puanı: 8.2) – Web bileşeninde kimlik doğrulama atlama güvenlik açığı
- CVE-2024-21887 (CVSS puanı: 9.1) – Web bileşeninde komut ekleme güvenlik açığı
- CVE-2024-21888 (CVSS puanı: 8,8) – Web bileşeninde ayrıcalık yükseltme güvenlik açığı
- CVE-2024-21893 (CVSS puanı: 8,2) – SAML bileşeninde SSRF güvenlik açığı
- CVE-2024-22024 (CVSS puanı: 8,3) – SAML bileşeninde XXE güvenlik açığı
Mandiant, bu hafta yayınlanan bir analizde, BUSHWALK olarak bilinen kötü amaçlı yazılımın şifrelenmiş bir sürümünün, /data/runtime/cockpit/diskAnaliz dosyasında ICT tarafından hariç tutulan bir dizine nasıl yerleştirildiğini açıkladı.
Dizin dışlamaları da bu ay Eclypsium tarafından daha önce vurgulanmıştı; aracın bir düzine dizini taranmaktan atladığını, böylece bir saldırganın bu yollardan birinde arka kapıları geride bırakıp yine de bütünlük kontrolünü geçmesine izin verdiğini belirtmiştik.
Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık’tan ajanslar, “Ağ savunucuları için en güvenli hareket tarzı, gelişmiş bir tehdit aktörünün, sıfırlanan ve keyfi bir süre boyunca hareketsiz kalan bir cihaza rootkit düzeyinde kalıcılık uygulayabileceğini varsaymaktır.” ve ABD söyledi.
Ayrıca kuruluşlara, “bu cihazları kurumsal bir ortamda çalıştırmaya devam edip etmemeye karar verirken, Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerine düşman erişimi ve bu ağ geçitlerinin devamlılığı konusundaki önemli riski dikkate almaları” yönünde çağrıda bulundular.
Ivanti, tavsiyeye yanıt olarak, güvenlik güncellemeleri ve fabrika ayarlarına sıfırlamaların uygulanmasının ardından tehdit aktörlerinin başarılı bir şekilde devam ettiğine dair herhangi bir örnekten haberdar olmadığını söyledi. Ayrıca, “müşterinin cihazına ve sistemde mevcut olan tüm dosyalara ek görünürlük sağlayan” yeni bir ICT sürümü de yayınlıyor.