Ivanti, Ivanti Connect Secure, Policy Secure ve ZTA ağ geçitlerini etkileyen iki güvenlik açığını düzeltti; bunlardan biri (CVE-2025-0282), saldırganlar tarafından Connect Secure VPN cihazlarını tehlikeye atmak için sıfır gün olarak kullanıldı.
CVE-2025-0282 ve CVE-2025-0283 hakkında
Her ikisi de yığın tabanlı arabellek taşması sorunlarıdır: CVE-2025-0282, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin verir, CVE-2025-0283, kimliği doğrulanmış yerel bir saldırgan tarafından ayrıcalıklarını yükseltmek için kullanılabilir.
Ivanti, CVE-2025-0282 nedeniyle “sınırlı sayıda” müşterinin Ivanti Connect Secure cihazının istismar edildiğini söylüyor.
Şirket, “Tehdit aktörünün faaliyeti, Dürüstlük Denetleme Aracı (ICT) tarafından meydana geldiği gün tespit edildi ve bu, Ivanti’nin derhal yanıt vermesine ve hızla bir çözüm geliştirmesine olanak sağladı” dedi.
“Bu CVE’lerin Ivanti Policy Secure veya ZTA ağ geçitlerinde istismar edildiğinin farkında değiliz. CVE-2025-0283’ün kötüye kullanıldığına veya CVE-2025-0282 ile zincirlendiğine dair hiçbir belirtimiz yok. Tehdit avcılığımızı yaparken CVE-2025-0283 olarak açıklanan güvenlik açığını da keşfettik ve onu da yamaya dahil ettik.”
Google’ın Mandiant’ı ve Microsoft’un Tehdit İstihbarat Merkezi, Ivanti’nin bu tehdide yanıt vermesine yardımcı oldu; bu nedenle, saldırı kampanyaları hakkında muhtemelen yakında daha fazla bilginin yayınlanmasını bekleyebiliriz.
Connect Secure da dahil olmak üzere çeşitli Ivanti çözümlerindeki sıfır günler, 2024 yılı boyunca saldırganlar tarafından istismar edildi.
Ne yapalım?
Şimdilik yamalar yalnızca Ivanti Connect Secure’un desteklenen sürümleri için mevcuttur; Policy Secure için olanlar ve ZTA ağ geçitleri için Ivanti Neurons için olanlar yapım aşamasındadır ve 21 Ocak’ta satışa sunulacaktır.
Şirket, müşterilerinden Connect Secure cihazlarına yüklenen görüntünün değiştirilip değiştirilmediğini doğrulamak için hem dahili hem de harici Ivanti Connect Secure bütünlük kontrol aracını (ICT) kullanmalarını isterken aynı zamanda ICT taramasının “tehdidi mutlaka tespit edemeyeceğini” kabul ediyor cihazı temiz bir duruma geri getirmişlerse aktör etkinliği.
Tarama raporları değişirse Ivanti şunları tavsiye ediyor:
- Kötü amaçlı yazılımların kaldırıldığından emin olmak için cihazda fabrika ayarlarına sıfırlama yapılması
- Düzeltme içeren sürüm (v22.7R2.5) kullanılarak cihazın tekrar üretime alınması
Ivanti, etkiyi doğrulayan risk göstergelerini müşterilerle paylaşacağını, böylece bunları adli tıp soruşturması için kullanabileceklerini söyledi. Destek ile ticket açarak ek bilgi alabilirsiniz.