Gecikmeli Ivanti yaması haftalarca süren sömürüden sonra geliyor


Dalış Özeti:

  • İvanti uzun zamandır beklenen güvenlik yamasını yayınladı Ivanti Connect Secure ve Ivanti Policy Secure VPN’lerindeki, Aralık ayının başından bu yana şüpheli bir ulus devlet tehdit aktörü tarafından istismar edilen iki güvenlik açığı için.
  • Bu istismar binlerce Ivanti cihazının ele geçirilmesine yol açtı ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın acil durum direktifi yayınlamak Federal Sivil Yürütme Organı Kurumlarının derhal harekete geçmesi.
  • Ivanti, e-postayla gönderdiği açıklamada, “Bugün yayımlanan yamaya bu güvenlik açıkları ve daha önce belirlenen güvenlik açıkları için bir düzeltme ekledik ve ek sürümler için yayınlanması planlanan yamalar da kapsamlı bir düzeltme içerecek” dedi.

Dalış Bilgisi:

Olarak listelenen iki orijinal sıfır gün CVE-2023-46805 Ve CVE-2024-21887Mandiant ve Volexity’den araştırmacılara göre, Çin bağlantısı olduğundan şüphelenilen bir tehdit aktörünün güvenlik açıklarını birbirine zincirlemesi ve kötü amaçlı bir web kabuğuyla binlerce cihazı tehlikeye atmasından sonra haftalardır istismar altında.

Mandiant ile birlikte çalışan Ivanti, iyileştirme çabalarına müdahale etmek üzere tasarlanmış ek tehdit faaliyetleri tespit etti. Volexity araştırmacıları, tehdit aktörünün Dürüstlük Denetleyicisi Aracı’nı değiştirdiğini buldu.

Salı günü CISA uyardı birkaç tehdit aktörü hareketlerini ağ savunucularından gizlemek için geçici çözümler bulabildiler. Mandiant, diğer tehdit aktörlerinin mali motivasyona sahip olduğunu söyledi.

Mandiant, tehdit azaltma sonrası faaliyetin şunları içerdiğini söyledi: Bushwalk adı verilen özel web kabuğuBu, tehdit aktörünün bir sunucuya dosya okumasına veya yazmasına olanak tanıdı.

Mandiant ile yapılan inceleme sırasında iki ek güvenlik açığı tespit edildi: ayrıcalık yükseltme güvenlik açığı listelenmiş gibi CVE-2024-21888 ve sunucu tarafında sahtecilik isteği güvenlik açığı olarak listelenmiştir. CVE-2024-21893.

Ivanti’ye göre az sayıda müşteri CVE-2024-21893’ün aktif istismarından etkilendi ancak şirketin müşterilerinin CVE-2024-21888’den etkilendiğine dair hiçbir kanıtı yok.



Source link