Şüpheli tarama aktivitesinde Ivanti Connect Secure (ICS) ve Ivanti Pulse Secure (IPS) VPN sistemlerinde önemli bir artış, tehdit aktörleri tarafından potansiyel bir koordineli keşif çabasına işaret ediyor.
Tek bir günde ICS/IPS uç noktalarını problamaya çalışan 230’dan fazla benzersiz IP adresi kaydeden başak, 30’dan az benzersiz IP’nin tipik günlük taban çizgisine göre dokuz kat artışı temsil ediyor.
Tarama etkinliği ve altyapı
Geynoise’in izleme sistemleri, bu anomaliyi, IPS’yi internete erişilebilir ICS/IPS sistemlerini tanımlamaya çalışan IPS’yi izleyen özel ICS tarayıcı etiketleriyle işaretledi.
.png
)
Son 90 gün içinde, benzer taramalar yaparak toplam 1.004 benzersiz IP gözlemlenmiştir:
- 634 Şüpheli
- 244 kötü niyetli
- 126 iyi huylu
Önemli olarak, bu IP’lerin hiçbiri sahtekâr değildi, bu da saldırganların gerçek, izlenebilir altyapı kullandığını gösteriyor.
Tarama faaliyeti için ilk üç kaynaklı ülke ABD, Almanya ve Hollanda’dır, birincil hedefler bu ülkelerdeki kuruluşlardır.
Daha önce diğer hain aktivitelerde gözlemlenen kötü niyetli IP’ler öncelikle TOR çıkış düğümlerinden ve tanınmış bulut veya VPS sağlayıcılarından kaynaklanmaktadır.
Buna karşılık, şüpheli IP’ler genellikle daha az bilinen barındırma hizmetleri ve niş bulut altyapısı ile bağlantılıdır, bu da sofistike ve fırsatçı aktörlerin bir karışımını gösterir.
Güvenlik Açığı Peyzajı: CVE-2025-22457
Taramadaki bu artış, Ivanti Connect Secure’de (sürümler 22.7R2.5 ve önceki sürümler), Pulse Connect Secure 9.x (şimdi denetleme sonu), Ivanti Politika Güvenli ve Nöronlar için nöronlar için CVE-2025-22457’ye daha fazla dikkatle çakışır.
Başlangıçta hafife alınan bu kusurun daha sonra, saldırganların savunmasız cihazlarda keyfi kod çalıştırmasına izin vererek kimlik doğrulanmamış uzaktan kod yürütme (RCE) sağladığı bulunmuştur.
CVE-2025-22457 için bir yama 11 Şubat 2025’te (ICS sürüm 22.7R2.6) piyasaya sürüldü, ancak birçok eski cihaz eşleşmeden ve açıkta kaldı.
Vahşi doğada sömürü, UNC5221 gibi gelişmiş Kalıcı Tehdit (APT) grupları ile çalışan istismarları geliştirmek için yamayı tersine dönüştürdü.
Ivanti Connect Secure VPN’ler, kurumsal uzaktan erişim için yaygın olarak konuşlandırılır, bu da onları siber suçlular ve ulus devlet aktörleri için yüksek değerli hedefler haline getirir.
Tarihsel kalıplar, tarama etkinliğindeki sivri uçların genellikle kamu açıklamasından veya yeni güvenlik açıklarının kitlesel olarak sömürülmesinden önce geldiğini göstermektedir.
Mevcut keşif dalgası, saldırganların büyük ölçekli saldırılara, fidye yazılımı kampanyalarına veya veri ihlallerine hazırlık olarak savunmasız sistemleri haritaladığını gösterebilir.
Savunma önerileri
Riski azaltmak için kuruluşlar:
- Tüm ICS/IPS sistemlerini hemen en son sürümlere (ICS 22.7R2.6 veya üstü) yerleştirin.
- Şüpheli problar için günlükleri inceleyin ve yeni veya güvenilmeyen IP’lerden giriş denemeleri.
- Greynoise ve diğer tehdit istihbarat yemleri tarafından tanımlanan bilinen kötü niyetli veya şüpheli IP’leri bloke edin.
- Özellikle TOR veya buluta sahip IP’lerden olağandışı kimlik doğrulama etkinliğini izleyin.
- Uzlaşma belirtilerini tanımlamak için Ivanti’nin Integrity Checker Aracı’nı (BİT) kullanın.
Geynoise bu gelişen tehdidi izlemeye devam ediyor ve güvenlik ekiplerinin uyanık kalmasını tavsiye ediyor.
Taramada gözlemlenen artış açık bir uyarıdır: Saldırganlar aktif olarak takılmamış Ivanti Connect Secure sistemlerinden yararlanmaya çalışırlar. Uzlaşmayı önlemek için proaktif savunma ve hızlı yama gereklidir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy