Ivanti Cloud Services Appliance (CSA) v4.6’daki bir işletim sistemi komut enjeksiyonu güvenlik açığı olan CVE-2024-8190 aktif olarak istismar ediliyor.
Saldırılarla ilgili detaylar henüz bilinmiyor ancak yakın gelecekte daha fazla bilgi olabilir: Horizon3.ai araştırmacıları, kusurun analizini ve buna yönelik bir PoC açığını yayınladı.
CVE-2024-8190 Hakkında
CVE-2024-8190, saldırganın önce cihazın yönetici oturum açma sayfasına giriş yapmayı başarması durumunda istismar edilebilen bir komut enjeksiyonu güvenlik açığıdır. Horizon3.ai araştırmacılarına göre, bu bazı durumlarda büyük bir engel olmayabilir.
“Başarılı bir istismar, CSA’yı çalıştıran cihaza yetkisiz erişime yol açabilir. Çift ana bilgisayara sahip CSA yapılandırmaları et0 Ivanti, güvenlik duyurusunda, “Ivanti’nin önerdiği gibi dahili bir ağ olarak, istismar edilme riski önemli ölçüde azaltılmıştır” açıklamasını yaptı.
Ancak ne yazık ki herkes tavsiyelere uymuyor.
Horizon3.ai’den Zach Hanley, “Arayüzleri yanlışlıkla değiştiren veya yalnızca bir arayüzü yapılandıran kullanıcılar konsolu internete açmış olur” şeklinde açıklama yaptı.
Ayrıca, kullanıcıların ilk kez oturum açarken varsayılan oturum açma bilgilerini (kullanıcı adı: admin, parola: admin) değiştirmeleri gerekirken, yeni bir parola, oturum açma girişimleri için var olmayan oran sınırlamasının sunduğu dezavantajı telafi etmek için yeterince güçlü olmayabilir.
Hanley, “Saldırıya uğrayan kullanıcıların büyük ihtimalle cihaza hiç giriş yapmadıklarını veya hız sınırlamasının olmaması nedeniyle parola hijyeninin zayıf olduğunu ve daha zayıf parolalara sahip olduklarını varsayıyoruz” diye ekledi.
Ne yapalım?
CVE-2024-8190, geçen hafta yayınlanan 519 Yaması’ndan önceki CSA v4.6’yı etkiliyor.
Ancak Ivanti ve CISA, kullanıcıları, güvenlik açığı olan işlevsellik kaldırıldığı için etkilenmeyen v5.0’a güncellemeye çağırıyor. Ayrıca, v5.0 hala desteklenen tek sürümdür – v4.6 kullanım ömrünün sonuna ulaşmıştır ve artık herhangi bir düzeltme veya yama almayacaktır.
Ivanti, “sınırlı sayıda müşterinin” istismar edildiğini söylüyor. Mağdur olduğundan şüphelenenler, değiştirilmiş veya yeni eklenen idari kullanıcılar için CSA’yı incelemelidir.
Şirket, “Tutarlı olmasa da, bazı girişimler sisteme yerel olan broker günlüklerinde görünebilir. Ayrıca, CSA’nıza EDR veya diğer güvenlik araçları yüklediyseniz, EDR uyarılarını incelemenizi öneririz” diye tavsiyede bulundu.
Horizon3.ai, günlüklerde bulunabilecek tehlike göstergelerini paylaştı.