Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Şüpheli Çinli Saldırganlar Yine VPN Cihazlarının Aktif Sömürüsüne Bağlı
Mathew J. Schwartz (euroinfosec) •
9 Ocak 2025
İnternet cihazı üreticisi Ivanti, şüpheli ulus devlet saldırganları tarafından aktif olarak istismar edilen sıfır gün güvenlik açığına yama yapmak için güncellemeler yayınlamaya başladı. Güvenlik uzmanları, etkilenen tüm ürünlerin kullanıcılarını, saldırganların yüklemiş olabileceği kötü amaçlı yazılımları temizlemek için fabrika ayarlarına sıfırladıktan sonra cihazlarını derhal güncellemeye çağırdı.
Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor
Çarşamba günü Ivanti, Ivanti Connect Secure – diğer adıyla Pulse Secure – VPN cihazları için acil bir güncelleme yayınladı. Güncelleme, saldırganların cihazlarda uzaktan kod yürütme amacıyla kullandığı, CVE-2025-0282 olarak takip edilen kritik yığın tabanlı arabellek taşması güvenlik açığı da dahil olmak üzere iki kusuru yamalıyor. Güvenlik açıkları, Ivanti’nin güvenlik tavsiyesinde ayrıntılı olarak belirtildiği gibi, çeşitli ürün yazılımı sürümlerinde mevcuttur.
Diğer kusur olan CVE-2025-0283 de yüksek önem derecesine sahip, yığın tabanlı bir arabellek taşmasıdır. Ivanti, saldırganların şu anda bu kusurdan yararlandığına dair hiçbir işaret görülmediğini söyledi.
Ivanti Çarşamba günü kusurları düzeltmek için Ivanti Connect Secure’un (diğer adıyla ICS) 22.7R2.5 sürümünü yayınladı.
Siber güvenlik firması Rapid7 Çarşamba günü yaptığı açıklamada, “Müşteriler, tipik bir yama döngüsünün oluşmasını beklemeden mevcut Ivanti Connect Secure yamalarını hemen uygulamalıdır” dedi.
Cihazları güncellemeden önce Ivanti, fabrika ayarlarına sıfırlama yapılmasını ve cihazın sıfırlanmadan önce çalıştığı yazılımın temiz olduğu bilinen bir sürümünün yüklenmesini önerir. Güvenlik uzmanları, bazı kurbanların cihazlarına, güncelleme sürecini taklit etmek ve saldırganlara arka kapılı cihazlara sürekli uzaktan erişim sağlamak için tasarlanmış kötü amaçlı yazılımların bulaştığını söyledi.
Ivanti, kusurların keşfedilmesinin hem Google’ın Mandiant olay müdahale bölümüne hem de Microsoft’un Tehdit İstihbarat Merkezi’ne bağlı olduğunu belirtiyor.
Mandiant CTO’su Charles Carmakal, saldırganların Aralık 2024’ün ortasında bu kusurdan yararlanmaya başladıklarını ve bunu uzaktan erişim elde etmek ve ardından kurbanların ağları üzerinden yanal olarak hareket etmek için kullandıklarını söyledi. Ek olarak, bir LinkedIn gönderisinde “Cihazda ağ tüneli açma ve kimlik bilgileri toplamayı mümkün kılan kötü amaçlı yazılımların bulunduğunu gözlemledik” dedi.
Her iki güvenlik açığı da Ivanti Policy Secure ve Neurons for Zero Trust Access ağ geçitlerinde, yani nZTA platformunda mevcut. Ivanti, her ikisini de hedef alan vahşi saldırılara dair bir kanıt görülmediğini söyledi. Şirketin bu iki ürün için henüz hazır yamaları yok ancak bunları 21 Ocak’ta yayınlayacağına söz verdi.
İstihbarat teşkilatı GCHQ’nun halka açık kolu olan Britanya Ulusal Siber Güvenlik Merkezi, bu arada Ivanti Policy Secure’un “internete maruz kalmaması gerektiğini” söyledi. Ayrıca, ZTA ağ geçitleri için Ivanti Neurons’a yönelik olarak “bu çözüm için bir ağ geçidi oluşturulursa ve bir ZTA denetleyicisine bağlantısız bırakılırsa, bu durumda istismar riski ortaya çıkar” uyarısında bulunuldu.
Ivanti, tüm kullanıcılara izinsiz giriş belirtileri açısından ağlarını derhal incelemelerini tavsiye ediyor. “Bu olay, özellikle kurumsal bir ağa ilk erişim noktası olarak önemli bir hizmet sağlayan ancak aynı zamanda son derece çekici olan uç cihazlar (VPN’ler gibi) için sürekli izlemenin ve proaktif ve katmanlı güvenlik önlemlerinin önemini hatırlatıyor.” Saldırganlara” dedi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, etkilenen ürünlerin kullanıcılarına “etkilenen Ivanti cihazına bağlı veya yakın zamanda bağlanan tüm sistemlerde tehdit avı eylemleri gerçekleştirmelerini” öneriyor. CISA ayrıca, bir cihazın ele geçirildiğinden şüphelenen kuruluşların izlemesi gereken sonraki adımların kapsamlı bir listesini de ayrıntılı olarak açıkladı.
Ivanti, yardımcı olmak için, cihazlarda halihazırda çalışan donanım yazılımının bütünlüğünü doğrulamak için tasarlanmış, bazen CVE-2025-0282 kullanılarak kötüye kullanılıp kullanılmadığını belirleyebilen harici bir Bütünlük Denetleyici Aracı sunuyor. Satıcı, bugüne kadar tespit edilen tüm CVE-2025-0282 açıklarının, Bütünlük Denetleyici Aracını çalıştıran müşteriler aracılığıyla gerçekleştiğini söyledi.
Dikkat: Kötü Amaçlı Yazılım Sahte Güncelleme Süreci
Bu araç bazı senaryolarda işe yarasa da güvenlik uzmanları, Ivanti kullanan kuruluşların, cihazlarının ele geçirilip değiştirilmediğini doğrudan tespit edebilecek kusursuz bir yola sahip olmadığı konusunda uyardı. Britanya’nın NCSC’si, “BİT, cihazın mevcut durumunun anlık görüntüsünü sunuyor ve cihaz temiz bir duruma döndürüldüğü takdirde tehdit aktörlerinin faaliyetlerini mutlaka tespit edemiyor” dedi. “BİT kötü amaçlı yazılımlara veya tehlike göstergelerine karşı tarama yapmıyor.”
Maryland merkezli Analygence’ta kıdemli güvenlik açığı analisti Will Dormann, aracın, potansiyel olarak ele geçirilmiş bir cihaza ele geçirilip geçirilmediğini sormaya dayandığını söyledi ve bunu, bir banka soyguncusunun bir kişiye banka soyup soymadığını sorarak tanımlamaya çalışmaya benzetti. Kötü bir soyguncu evet diyebilir ama daha sofistike saldırganlar için tüm bahisler kapalıdır.
Mastodon’a yazdığı bir gönderide, “Ivanti ICT de aynı konsepttir. Güvenliği ihlal edilmiş olabilecek cihazınızdan lütfen bir tarayıcı çalıştırmasını ve ardından size sonuçları söylemesini istersiniz” dedi. “Bu, ICS ürününüzün bütünlüğünü kontrol etmenin resmi şirket onaylı (ve tek resmi) yoludur.”
Mandiant, saldırganların kontrol aracını başarılı bir şekilde bozduğunu söyledi. Carmakal, “Bazı durumlarda tehdit aktörü, kötü amaçlı dosyalarını içerecek ve tespitleri atlatacak şekilde ICT manifestosunu düzenledi.” dedi.
Saldırganlar ayrıca kurbanları bir güncelleme yüklediklerine inandırmaya çalışıyorlar, oysa gerçekte güncelleme engellenmiş durumda. Bu nedenle Ivanti, cihazları güncellemeye çalışmadan önce fabrika yazılımının tamamen sıfırlanmasını ve iyi olduğu bilinen bir ürün yazılımı sürümünün yüklenmesini öneriyor. Carmakal, “Tehdit aktörü, meşru sistem yükseltmelerini engellerken aynı zamanda sahte bir yükseltme ilerleme çubuğu görüntüleyen kötü amaçlı yazılım kullandı.” dedi. “Bu, başarılı bir güncellemenin ikna edici bir görüntüsünü yaratıyor; gerçekte kötü amaçlı yazılım, gerçek yükseltmenin gerçekleşmesini sessizce engelliyor. Bazı kuruluşlar, gerçekte yapmadıkları halde güvenlik açığını giderdiklerini varsayabilir.”
Çinli Saldırganlardan Şüpheleniliyor
Mandiant, bu saldırı faaliyetinin bir kısmının, UNC5337 kod adı altında takip ettiği “Çin bağlantılı bir tehdit aktörüne” atfedildiğini söyledi – UNC, kategorize edilmemiş bir grubu temsil ediyor; bu, araştırmacıların henüz gelişmiş bir ulus devlet olmaya doğru eğilim gösterip göstermediğini çıkaramadığı anlamına geliyor Kalıcı bir tehdit grubu veya daha mali motivasyona sahip olan bu grup, daha önce UNC5221 olarak izlenen faaliyetlerle örtüşüyor gibi görünüyor. Bu konuyla alakalı çünkü Mandiant, ikinci grubu, 3 Aralık 2023’te Ivanti’nin farklı bir sıfır gün güvenlik açığını hedefleyen ve Ocak 2024’te gün ışığına çıkan şüpheli bir Çin siber casusluk operasyonuna bağladı (bkz.: Ivanti, İstismar Edilen Ek Sıfır Gününü Açıkladı).
Saldırı yüzeyi yönetimi tedarikçisi watchTowr’un CEO’su Benjamin Harris, en son sıfır gün saldırılarının bir yıl önceki saldırılara benzediğini ve “görev açısından kritik bir cihaza karşı APT’nin sıfır gün kullanımının tüm özelliklerini taşıdığını” söyledi.
Bilgi Güvenliği Medya Grubu’nun Bengaluru, Hindistan’daki Prajeet Nair’inden gelen raporla.