Ivanti Connect Secure korsanları korumalardan kaçarak göz önünde saklanıyor

   Şubat 28, 2024  Posted in CyberSecurityDive


Dalış Özeti:

  • Güvenlik açıklarını azaltmak için yayınlanan bir yama Mandiant’tan araştırmacılar Salı günü yaptığı açıklamada, Ivanti Connect Secure’un, kötü niyetli bir aktörün daha önce bilgisayar ağına erişim sağlaması durumunda tehdidi ortadan kaldırmayacağı konusunda uyardı.
  • Mandiant’a göre, Çin Halk Cumhuriyeti ile bağlantılı olduğundan şüphelenilen bir casusluk aktörü, arazide yaşama tekniklerini kullandı ve sistem yükseltmelerine, fabrika ayarlarına sıfırlamalara ve yama dağıtımına rağmen kalıcılığı korumak için yeni kötü amaçlı yazılımlar kullandı.
  • İvanti geliştirilmiş bir harici bütünlük kontrol aracı yayınladı Salı günü. Şirket ve Mandiant araştırmacıları, kuruluşları ek izinsiz girişlere karşı hâlâ korunup korunmadıklarını doğrulamak için yeni aracı çalıştırmaya çağırıyor.

Dalış Bilgisi:

Mandiant araştırmacıları tahmin ediyor binlerce kuruluşa virüs bulaştı savunma sanayii tabanı da dahil olmak üzere birçok sektörü etkileyen tehdit faaliyeti nedeniyle. DIB, ABD ordusuna ekipman ve hizmet sağlayan binlerce özel sektör şirketini içermektedir.

Ivanti beş ayrı güvenlik açığı tespit etti 10 Ocak’tan bu yana Ivanti Connect Secure ve Ivanti Policy Secure’u etkiliyor.

Bunlar aşağıdakileri içerir:

  • CVE-2023-46805CVSS puanı 8,2 olan bir kimlik doğrulama atlama güvenlik açığı
  • CVE-2024-21887CVSS puanı 9,1 olan bir komut enjeksiyon güvenlik açığı
  • CVE-2024-21888CVSS puanı 8,8 olan bir ayrıcalık yükseltme güvenlik açığı
  • CVE-2024-21893SAML bileşeninde CVSS puanı 8,2 olan bir SSRF güvenlik açığı
  • CVE-2024-22024SAML bileşeninde CVSS puanı 8,3 olan bir XXE güvenlik açığı

Mandiant, tehdit aktörünün bağlantılı olduğuna dair bir belirti bulunmadığını söyledi Volt TayfunuOcak ayı sonunda Temsilciler Meclisi Seçim Komitesi’nde yapılan duruşmada, ABD’li yetkililerin, ABD’nin kritik altyapısının operasyonlarını aksatmak için tasarlanmış kötü niyetli tehdit faaliyetinin arkasında olduğunu söylediği, devlet bağlantılı bir bilgisayar korsanıydı.

Bununla birlikte, tehdit aktörü tarafından dağıtılan kötü amaçlı yazılım, UNC3886 olarak tanımlanan ve daha önce kendisine bağlı devlet bağlantılı bir siber casusluk aktörü olan ayrı bir tehdit aktörüyle bazı kod örtüşmelerini paylaşıyor. VMware ESXi ana bilgisayarlarına yönelik saldırılarMandiant’a göre.



Source link