
Ivanti, CVE-2025-22457, Connect Secure, Pulse Connect Secure, Ivanti Politika Secure ve ZTA Gateways ürünlerini, vahşi doğada aktif olarak sömürülen kritik bir güvenlik açığı açıkladı.
CVSS skoru 9.0 olan bu yığın tabanlı tampon taşma kusuru, 2025 yılının ortalarından beri aktif olarak kullanılmakta ve bu VPN ve ağ erişim çözümlerini kullanarak kuruluşlar için önemli riskler oluşturmaktadır.
CVE-2025-22457, uzaktan, kimlik doğrulanmamış bir saldırganın uzaktan kod yürütülmesine (RCE) ulaşmasına izin veren yığın tabanlı bir tampon taşmasıdır (CWE-121).
Kusur, uygunsuz giriş validasyonundan kaynaklanır ve saldırganların arabelleğe taşmasını ve keyfi kod yürütmesini sağlar.
- Ivanti Connect Secure: 22.7R2.5 ve önceki sürümler.
- Pulse Connect Secure: 9.1R18.9 ve önceki sürümler (31 Aralık 2024 itibariyle destek sonu).
- Ivanti Politikası Güvenli: Sürüm 22.7R1.3 ve Prior.
- ZTA ağ geçitleri: Sürüm 22.8R2 ve Prior.
Ivanti, “Bu danışma, Ivanti Connect Secure’da güvenlik açığının tamamen yamalandığını netleştirmek için güncellendi” dedi.
CVE-2025-22457 Vahşi doğada sömürü
Ivanti, 3 Nisan 2025’te güvenlik açığını açıkladı, ancak Mantiant, Mart ayının ortalarından beri Çin devlet destekli bir grup olan UNC5221’in sömürüsünü rapor ediyor. Kenar cihazlarını hedefleme ile bilinen UNC5221, daha önce CVE-2023-46805 gibi Ivanti sıfır günlerini kullanmıştır.
Saldırganlar CVE-2025-22457’yi Trailblaze (bellek içi bir damlalık), fırça ateşi (pasif bir arka kapı) ve kimlik hırsızlığı ve yanal hareket için yumurtlama süiti gibi kötü amaçlı yazılımlar kullanmak için kullanırlar. Sıkıştırma sonrası, tespitten kaçınmak için Spawnsloth gibi araçları kullanarak günlüklere kurcalamalar.
Güvenlik açığı, 11 Şubat 2025’te Ivanti Connect Secure 22.7R2.6 sürümünde yamalandı, başlangıçta sınırlı karakter seti (periyotlar ve sayılar) nedeniyle düşük riskli bir hizmet reddi sorunu olarak kabul edildi.
Bununla birlikte, UNC5221 muhtemelen yamayı tersine mühendislik yaparak, açılmamış sistemler için bir RCE istismarı geliştirerek şiddetini artırdı.
Etkilenen sistemler ve yama kullanılabilirliği
Ivanti onayladı Ivanti Connect Secure (22.7R2.5 veya daha önceki) ve Pulse Connect Secure 9.1x aletlerinden ödün verildi. Ayrıntılar şunları içerir:
- Ivanti Connect Secure: Ivanti portalında bulunan 22.7R2.6 sürümüne yükseltin. Meydan okursa, bir fabrika sıfırlama yapın ve 22.7R2.6 ile yeniden konuşlandırın.
- Pulse Connect Secure: 31 Aralık 2024’ten beri bu ürün desteklenmediğinden, Ivanti ile göç etmek için iletişime geçin.
- Ivanti Politikası Güvenli: 21 Nisan 2025 tarihinde bir yama (sürüm 22.7R1.4) sunulacak. Sömürü gözlemlenmemiştir ve internete dönük olmadığı için risk azalır.
- ZTA ağ geçitleri: Bir yama (sürüm 22.8R2.2) 19 Nisan 2025’te otomatik olarak uygulanacaktır. Risk sadece bağlantısız ağ geçitleri için mevcuttur; Hiçbir sömürü bildirilmedi.
Tespit ve azaltma
Ivanti, Web sunucusu çökmeleri gibi uzlaşma belirtileri için Dürüstlük Denetleyici Aracı’nın (BİT) izlenmesini önerir. Tespit edilirse, bir fabrika sıfırlama ve 22.7R2.6’ya yükseltme önerilir. Mantiant’ın blogu ek uzlaşma göstergeleri sağlar. X’de bir yazı
@Nekono_naha 4 Nisan 2025’te, 12.471 maruz kalan Ivanti/Pulse Connect Secure sunucularının,% 66’sının (8.246), 9.x öncesi versiyonlarda% 50’si (6.049), yamaların aciliyetini vurguladığını belirtti.
Bu olay, 2024’ten beri CISA’nın bilinen sömürülen güvenlik açıkları kataloğunda Ivanti’nin 15. görünümünü işaret ediyor ve kenar cihazlarıyla sistemik güvenlik zorluklarını işaret ediyor.
UNC5221’in katılımı, Çin bağlantılı aktörler giderek daha fazla casusluk için altyapıyı hedefledikçe jeopolitik risklerin altını çiziyor. Şubat yamasına rağmen gecikmiş açıklama, güvenlik açığı yönetimindeki boşlukları ortaya koymaktadır.
Başlangıçta düşük riskli bir sorun olarak hafife alınan kusurun sömürülebilirliği, daha hızlı tehdit istihbarat paylaşımı ihtiyacını vurgulayarak kamuoyunun açıklamasından önce bir ay süren pencereye izin verdi.
Kuruluşlar için öneriler
Organizasyonlar hızlı davranmalıdır:
- Hemen yama: Ivanti Connect Secure 22.7R2.6’ya yükseltin veya Pulse Connect Secure’ten geçin.
- Uzlaşma Monitör: Gerekirse sömürüyü tespit etmek ve sıfırlamak için BİT kullanın.
- Sınır Maruziyeti: Politikanın güvenli olmasını ve ZTA ağ geçitlerinin internete bakmadığından emin olun.
- İzlemeyi Geliştirin: Giden bağlantılar veya kütük kurutma gibi olağandışı etkinlikleri izleyin.
- Bilgilendirilmiş kalın: Güncellemeler için Ivanti’nin Danışma ve Mantiant’ın blogunu kontrol edin.
CVE-2025-22457’nin sömürülmesi, ağ kenar cihazlarına yönelik sürekli tehditleri vurgulamaktadır. UNC5221 gibi devlet destekli aktörler bu tür güvenlik açıklarını hedefledikçe, kuruluşlar zamanında yama ve güvenli konuşlandırmaya öncelik vermelidir.
Ivanti’nin yanıtı desteklenen sürümleri ele alıyor, ancak eski sistemler, gelişen bir tehdit manzarasında sağlam siber güvenlik uygulamalarına duyulan ihtiyacın altını çizerek bir zorluk olmaya devam ediyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates