Ivanti, ABD Siber ve Altyapı Güvenliği Ajansı'nın (CISA), bazı saldırganların fabrika ayarlarına sıfırlandıktan sonra bile şirketin Connect Secure, Policy Secure ve ZTA ürünlerine yönelik kalıcı güvenlik ihlallerini sürdürmüş olabileceği konusunda uyarmasının ardından bütünlük denetleyicisini güncelledi.
Ivanti'nin sıkıntıları Ocak ayı başında Volexity'den araştırmacıların Connect Secure VPN cihazlarındaki iki hatanın uzaktan kod yürütmek için nasıl zincirlenebileceğini göstermesiyle başladı.
Volexity, vahşi doğada istismarlar gözlemlediğini söyledi ve bunu, aynı zamanda kendilerini gizlemeye çalışmak için Ivanti'nin dürüstlük denetleyicisini de riske atan Çinli ulus devlet aktörü UTA0178'e atfetti.
Ivanti, düzeltmeleri Şubat ayının başlarında yayınladı ve ilk ikisine yönelik düzeltmeleri araştırırken keşfettiği diğer güvenlik açıklarını da kapattı. Şirket, hafifletici önlemler alındıktan sonra müşterilerin ısrarcı olan davetsiz misafirleri kovmak için fabrika ayarlarına sıfırlama yapması gerektiğini tavsiye etti.
29 Şubat'ta CISA, ürünlerle ilgili uyarısını güncelleyerek saldırganların Ivanti bütünlük denetleyicisini aşmanın bir yolunu bulduğunu ve “bir siber tehdit aktörünün fabrika ayarlarına sıfırlama yapmasına rağmen kök düzeyinde kalıcılık kazanabileceğini” belirtti.
Yeni danışma belgesinde, CISA ve ortaklarının şu ifadelere yer verildi: “Tüm kuruluşlara, bu cihazları kurumsal bir ortamda çalıştırmaya devam edip etmemeye karar verirken, Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerine kötü niyetli kişilerin erişimi ve bunların devamlılığı yönündeki önemli riski göz önünde bulundurmaları şiddetle tavsiye edilmektedir. ”
Bu, Ivanti'nin 1 Mart'ta güncellenmiş bir bütünlük denetleyicisi yayınlamasına yol açtı ve “potansiyel kalıcılık teknolojileri… vahşi ortamda başarıyla uygulanmadı” dedi.
Ivanti, gelişmiş bütünlük denetleyicisinin, “müşterinin cihazına ve sistemde mevcut olan tüm dosyalara yönelik ek görünürlük sağladığını” söyledi.
“Gelişmiş harici ICT artık müşterinin anlık görüntülerinin şifresini çözmek için desteğe ihtiyaç duymayacak. Yeni ve/veya değiştirilmiş dosyalar bulunduğunda, harici ICT artık müşterilere kendi incelemeleri için şifrelenmemiş bir anlık görüntü sağlayacak.”
Yeni bir CVE yok, yani CVE-2023-46805 (kimlik doğrulama atlaması), CVE-2024-21887 (komut enjeksiyonu), CVE-2024-21893 (sunucu tarafı istek sahteciliği), CVE-2024-22024 ( XML güvenlik açığı) ve CVE-2024-21888 (ayrıcalık yükseltme) güncelliğini koruyor.