Dalış Özeti:
- Devlet bağlantılı olduğundan şüphelenilen bilgisayar korsanları, Aralık başından bu yana Ivanti Connect Secure VPN cihazlarındaki iki sıfır gün güvenlik açığından yararlanıyor. araştırmaya göre Çarşamba günü Volexity tarafından yayınlandı.
- Birbirine zincirlenen güvenlik açıkları, saldırganların kimlik doğrulaması olmadan komutları uzaktan yürütmesine olanak tanıyor. Araştırmacıların UTA0178 olarak takip ettiği saldırgan, uzaktaki dosyaları indirdi, yapılandırma verilerini çaldı ve hedeflenen sistemlerdeki mevcut dosyaları değiştirdi.
- Ivanti, tehdidi azaltmak için Mandiant ile birlikte çalışıyor ancak kademeli bir program kapsamında yamaların yayınlanması Şirkete göre 22 Ocak haftasından itibaren başlayacak. Nihai sürüm 19 Şubat haftasına kadar hazır olmayacak. Ivanti, müşterilere şu çağrıyı yapıyor: derhal hafifletici adımları atın Bu saldırılara karşı koruma sağlamak için tasarlanmıştır.
Dalış Bilgisi:
Güvenlik açıkları şu şekilde izlenir: CVE-2023-46805CVSS puanı 8,2 olan bir kimlik doğrulama baypas güvenlik açığı ve CVE-2024-218879,1 puana sahip bir komut yerleştirme güvenlik açığı.
Volexity ilk olarak Aralık ortasında tehdit faaliyeti tespit etti ancak daha sonra istismarların izini 3 Aralık’a kadar sürdü.
Volexity’ye göre saldırganların, meşru ICS bileşenlerini değiştirdikleri ve ICS Bütünlük Denetleyici Aracı’ndan kaçmak için başka değişiklikler yaptıkları gözlemlendi.
Saldırgan, arka kapı aracılığıyla cihazdaki meşru bir CGI dosyasına erişerek komutların yürütülmesine olanak sağladı. Web SSL VPN bileşeni tarafından kullanılan bir JavaScript dosyası da keylog ve kimlik bilgilerini sızdıracak şekilde değiştirildi.
Volexity araştırmacıları mevcut tehdit faaliyeti düzeyinin yaygın olduğunu düşünmüyor. Ancak Volexity başkanı Steven Adair, e-posta yoluyla, hafifletme adımlarının yayınlanmasıyla birlikte istismarın tehdit grupları tarafından paylaşılabileceğini ve zaman çizelgesinin uzatılabileceğini söyledi.
Adair, “Sömürünün daha da yaygınlaştığını görmek bizi şaşırtmaz” dedi.
Tenable’dan araştırmacılar ayrıca bir yamanın kademeli olarak yayınlanması nedeniyle sömürünün hızlanabileceği konusunda uyardı.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “Üç hafta, saldırganların kendilerininkini geliştirmeleri veya harici bir üçüncü taraftan bu güvenlik açıklarına yönelik çalışan bir kavram kanıtı istismarı edinmeleri için büyük bir zaman aralığıdır” dedi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı Bu güvenlik açıklarını Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekledi ve federal şirketlere yönelik önemli bir riske dikkat çekti.