Ivanti, Connect Secure ve Policy Secure ürünlerinde iki yeni yüksek önem dereceli kusur konusunda uyarıda bulunuyor; bunlardan birinin vahşi ortamda hedefli istismara uğradığı söyleniyor.
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2024-21888 (CVSS puanı: 8,8) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un (9.x, 22.x) web bileşenindeki ayrıcalık yükseltme güvenlik açığı, kullanıcının ayrıcalıkları bir yönetici
- CVE-2024-21893 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) ve ZTA için Ivanti Neurons’un SAML bileşenindeki sunucu tarafı istek sahteciliği güvenlik açığı, bir saldırganın belirli kısıtlı kaynaklara kimlik doğrulaması olmadan erişmesi
Utah merkezli yazılım şirketi, şu ana kadar müşterilerin CVE-2024-21888’den etkilendiğine dair bir kanıt bulamadığını söyledi ancak “CVE-2024-21893’ün istismarının hedeflenmiş gibi göründüğünü” kabul etti.
Ayrıca, “tehdit aktörünün davranışlarını değiştirmesini beklediğimizi ve bu bilgi kamuya açıklandığında istismarda keskin bir artış beklediğimizi” belirtti.
İki yeni güvenlik açığının kamuya açıklanmasıyla birlikte Ivanti, Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ve 22.5R1.1 ve ZTA 22.6R1 sürümü için düzeltmeler yayınladı. .3.
“Çok dikkatli bir şekilde, tehdit aktörünün ortamınızda yükseltme kalıcılığı kazanmasını önlemek için müşterilerin yamayı uygulamadan önce cihazlarını fabrika ayarlarına sıfırlamalarını en iyi uygulama olarak öneriyoruz” dedi. “Müşteriler bu sürecin 3-4 saat süreceğini beklemelidir.”
CVE-2024-21888 ve CVE-2024-21893’e yönelik geçici çözümler olarak kullanıcıların “mitigation.release.20240126.5.xml” dosyasını içe aktarmaları önerilir.
En son gelişme, aynı üründeki diğer iki kusurun (CVE-2023-46805 ve CVE-2024-21887) birden fazla tehdit aktörü tarafından arka kapıları, kripto para madencilerini ve KrustyLoader adlı Rust tabanlı bir yükleyiciyi dağıtmak için geniş çapta istismar edilmesiyle ortaya çıkıyor.