Ivanti Connect Secure’da, CVE-2025-0282 olarak adlandırılan ve kimliği doğrulanmamış uzaktaki saldırganların rastgele kod yürütmesine olanak tanıyan ciddi bir güvenlik açığı tespit edildi.
8 Ocak 2025 itibarıyla Ivanti, 22.7R2.5’ten önceki sürümlerde bulunan bu yığın tabanlı arabellek taşması güvenlik açığının varlığını kabul etti.
Bu güvenlik açığı, ağ erişiminden kaynaklanan ve herhangi bir kullanıcı etkileşimi veya özel ayrıcalıklar gerektirmeyen yüksek saldırı vektörü nedeniyle özellikle endişe vericidir.
Güvenlik analistleri, saldırganın değerini Çok Yüksek olarak değerlendirdi ve istismar edilebilirlik değerlendirmesi Yüksek olarak değerlendirildi; bu da kuruluşların sağlanan yamaları ve hafifletici önlemleri uygulamak için Ivanti Connect Secure kullanan kuruluşlara olan acil ihtiyacı vurguladı.
Bu kusura ilişkin Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), kritik niteliğini gösteren 9,0 seviyesinde bulunuyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Teknik Analiz
AttackerKB tarafından hazırlanan bir rapora göre güvenlik firması watchTowr, 10 Ocak 2025’te CVE-2025-0282’nin istismar mekanizmalarını detaylandıran kapsamlı bir analizini yayınladı.
Kusur, genellikle TCP bağlantı noktası 443’te çalışan HTTPS web sunucusundaki IF-T/TLS protokol işleyicisini etkiliyor.
Saldırganlar bu güvenlik açığından yararlanarak, istismar literatüründe “nr” kullanıcısı olarak anılan, kök dışı ayrıcalıklarla uzaktan kod yürütme (RCE) elde edebilir.
Bu istismarın doğada keşfedildiği ilk olarak Mandiant tarafından Aralık 2024’ün ortasında rapor edildi ve sonraki analizler ciddi hasar potansiyelini doğruladı.
Özellikle Ivanti, yerel kullanıcı ayrıcalıklarının yükseltilmesiyle ilgili olan başka bir güvenlik açığı olan CVE-2025-0283’ü ele alan ilgili bir yama yayınladı. Ancak şu anda bu ikinci güvenlik açığından yararlanıldığına dair herhangi bir rapor bulunmamaktadır.
Kullanım Ayrıntıları
CVE-2025-0282’den yararlanma süreci, ilgili paylaşılan kitaplığın temel adresini başarıyla tahmin ederek Adres Alanı Düzeni Rastgeleleştirmesini (ASLR) atlamaya dayanır.
Test ortamlarında, bu güvenlik açığından yararlanma girişimleri, bir saldırganın doğru adresi başarıyla tahmin etmesinin yaklaşık 30 dakika sürebileceğini gösterdi; ancak bu, ağ koşulları ve ilgili donanım gibi çeşitli faktörlere bağlı olarak değişiklik gösteriyor.
Bu istismarı göstermek için CVE-2025-0282.rb adında bir kavram kanıtlama (PoC) betiği yayınlandı. Bu Ruby betiği, savunmasız örneklere karşı aşağıdaki şekilde kullanılabilir:
C:\Users\sfewer\Desktop\CVE-2025-0282>ruby CVE-2025-0282.rb -t 192.168.86.111 -p 443Örnek Yürütme
Örnek bir senaryo, PoC’yi çalışırken göstermektedir. Komut dosyası, 192.168.86.111 IP adresindeki Ivanti Connect Secure örneğini hedefliyor. Çalıştırıldıktan sonra komut dosyası, güvenlik açığını tetiklemek için bir dizi girişim başlatır:
[+] Targeting 192.168.86.111:443
[+] Detected version 22.7.2.3597
[2025-01-16 14:39:56 +0000] Starting...Birden çok yinelemeden sonra, güvenliği ihlal edilmiş aygıttaki /var/tmp/ dizininde yeni bir dosya göründüğünde başarılı yürütme onaylanır. Örneğin:
bash-4.2# ls -al /var/tmp/hax*
-rw-r--r-- 1 nr nr 0 Jan 16 07:10 /var/tmp/haxor_191CVE-2025-0282’ye yönelik bir PoC açığının yayınlanması, Ivanti Connect Secure kullanan kuruluşların en son güvenlik güncellemelerini uygulamasına yönelik acil ihtiyacın altını çiziyor.
Yüksek istismar potansiyeli ve etkilenen sistemler tarafından işlenen hassas verilere yönelik önemli risk göz önüne alındığında, olası ihlallere karşı korunmak için acil eylem şarttır.
Ek olarak, BT güvenlik ekipleri yama çalışmalarına öncelik vermeli ve herhangi bir istismar girişimi belirtisine karşı ağlarını izlemelidir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri