Mandiant araştırmacıları, Çarşamba günü kamuoyuna açıklanan Ivanti Connect Secure (ICS) güvenlik açığından (CVE-2025-0282) yararlanan sıfır gün saldırılarının ilk olarak Aralık 2024 ortasında tespit edildiğini paylaştı.
Bunların tek bir tehdit aktörü tarafından mı kurulduğunu söylemek hala imkansız, ancak bilinen kötü amaçlı yazılımın ele geçirilen VPN cihazlarından en az birinde kullanılması, ICS sıfırından yararlanan Çin bağlantılı casusluk aktörlerine (UNC5337 ve UNC5221) işaret ediyor. -son birkaç yılda birkaç kez.
“Mandiant, savunucuların yaygın, fırsatçı istismara, muhtemelen kimlik bilgilerini hedef almaya ve gelecekte erişim sağlamak için web kabuklarının konuşlandırılmasına hazırlıklı olması gerektiğini değerlendiriyor. Ayrıca, CVE-2025-0282’ye yönelik kavram kanıtı istismarları oluşturulup yayınlanırsa Mandiant, ek tehdit aktörlerinin Ivanti Connect Secure cihazlarını hedefleme girişiminde bulunabileceğini değerlendiriyor.”
Kullanılan teknikler ve kötü amaçlı yazılımlar
Mandiant’ın analistleri, birden fazla kuruluşa ait güvenliği ihlal edilmiş ICS cihazlarını analiz etti ve saldırganların bunları daha fazla ağ keşfi (LDAP sorguları) ve yanal hareket (Active Directory sunucularına) için kullandığına dair kanıtlar buldu.
Saldırganlar SPAWN kötü amaçlı yazılım ailesini tek bir cihaza yerleştirdiler: SPAWNANT yükleyicisi, SPAWNMOLE tünel oluşturucusu, SPAWNSNAIL SSH arka kapısı ve SPAWNSLOTH günlük değiştirme yardımcı programı.
Diğer cihazlarda, Mandiant’ın DRYHOOK (bir kimlik bilgisi hırsızlığı aracı) ve PHASEJAM (bir web kabuğu düşürücü) adını verdiği, daha önce gözlemlenmemiş kötü amaçlı yazılımlar kullanıldı.
Saldırganlar, CVE-2025-0282’den yararlanmaya çalışmadan önce, hedeflenen cihazların sürümleri hakkında bilgi almak için onları inceledi.
Mandiant, “CVE-2025-0282, ICS 22.7R2 sürümünün birden fazla yama düzeyini etkilerken, başarılı bir şekilde yararlanma sürüme özeldir” diyor. “VPS sağlayıcılarından veya Tor ağlarından bu URL’lere yapılan, özellikle sıralı sürüm sırasına göre yapılan HTTP talepleri, istismar öncesi keşif anlamına gelebilir.”
Güvenlik açığından yararlanılması genellikle şu adımları takip eder: SELinux’u devre dışı bırakın -> Sistem günlüğü iletmeyi önleyin -> Sürücüyü okuma-yazma olarak yeniden bağlayın -> Betiği yazın ve çalıştırın -> Web kabuğunu/kabuklarını dağıtın -> Hata ayıklama ve uygulamadan belirli günlük girişlerini kaldırın günlükler -> SELinux’u yeniden etkinleştirin -> Sürücüyü yeniden bağlayın.
Web kabuğu düşürücüleri, web kabukları eklemek, yasal sistem yükseltmelerini engellemek ve sahte olanları simüle etmek ve yürütülebilir bir dosyayı yeniden yazmak için ICS cihazı bileşenlerini değiştirir, böylece isteğe bağlı komutları yürütmek için ondan yararlanabilirler. PHASEJAM web kabuğu, güvenliği ihlal edilmiş cihazlara sürekli uzaktan erişime ve kod yürütülmesine olanak tanır.
Simüle edilmiş sistem güncellemeleri PHASEJAM ve DRYHOOK’un kalıcılığına olanak tanır. SPAWN kötü amaçlı yazılım ailesinin kendi kalıcılık mekanizması vardır, bu nedenle sistem yükseltmelerinden korkmaz veya bunları engellemez. SPAWNANT yükleyicisi aynı zamanda orijinal bildirimi değiştirerek cihazın dahili Bütünlük Denetleme Aracını (ICT) atlatmanın bir yoluna da sahiptir.
Son olarak, saldırganlar, çekirdek mesajlarını temizleyerek, hata ayıklama ve uygulama günlüklerini, istismar sırasında oluşturulan hata ve hata mesajlarından temizleyerek ve yürütülen komutları SELinux denetim günlüğünden kaldırarak, adli tıp uzmanlarının sularını bulandırmaya çalışıyor.
Azaltma ve iyileştirme
Ivanti, müşterilerine, cihazlarında yapılan kötü amaçlı değişiklikleri tespit etmek için dahili ve harici Bütünlük Denetleyicisi Aracını kullanmalarını tavsiye ediyor. Şirket ayrıca, ICT’nin kötü amaçlı yazılım veya diğer tehlike göstergelerini taramadığından, müşterilerin ICT’yi diğer izleme araçlarıyla birlikte çalıştırması gerektiğini de söylüyor.
Mandiant, saldırganlar tarafından kullanılan çeşitli kötü amaçlı yazılımları tespit etmek için güvenlik ihlali göstergelerini ve YARA kurallarını paylaştı ve başarısız bir ICT taramasının (uzlaşmayı işaret eden) yalnızca birkaç adımın gerçekleştirildiğini göstereceğini ve bir arşiv dosyası oluşturmakla bitmeyeceğini belirtti. sonuçlarla:
Başarısız harici ICT taraması (Kaynak: Mandiant)
Kötü amaçlı yazılım tarafından kullanılan engellenen sistem güncellemeleri ve kötü amaçlı yazılım kalıcılık mekanizmaları, Ivanti’nin düzeltme içeren bir sürümü yüklemeden önce etkilenen cihazlarda fabrika ayarlarına sıfırlama yapılmasını tavsiye etmesinin nedenidir.
CISA’nın ABD federal sivil kurumlarına, güvenliği ihlal edilmiş bir cihazın potansiyel tehdidiyle nasıl başa çıkılacağına ilişkin önceki tavsiyeleri de faydalıdır ve fabrika ayarlarına sıfırlama ve yeniden kurulumun iyileştirme çabalarının sonu olmaması gerektiğini göstermektedir.