Ivanti, şirketin Eylül ayında kazara düzelttiği sıfır gün hatasıyla birlikte saldırganlar tarafından istismar edilen üç ek Bulut Hizmet Cihazı (CSA) sıfır gün kusurunu yamaladı.
Sabit sıfır günler
“CVE-2024-9379, CVE-2024-9380 veya CVE-2024-9381, CVE-2024-8963 ile zincirlendiğinde istismara uğrayan, CSA 4.6 yaması 518 ve önceki sürümleri çalıştıran sınırlı sayıda müşterinin farkındayız.” şirket Salı günü duyurdu.
CVE-2024-8963, kimliği doğrulanmamış uzaktaki bir saldırganın kısıtlı işlevselliğe erişmesine izin veren bir yol geçiş güvenlik açığıdır ve kimliği doğrulanmış bir işletim sistemi komut ekleme güvenlik açığı olan CVE-2024-8190 ile birlikte istismar edilmiştir.
Her ikisine de Eylül ayı sonlarında Ivanti tarafından yama uygulandı ve şirket, bunların saldırganlar tarafından yönetici kimlik doğrulamasını atlamak ve savunmasız Bulut Hizmeti Cihazları üzerinde rastgele komutlar yürütmek için birlikte kullanıldığı konusunda uyardı.
Şimdi karışıma üç kişi daha eklenmiş gibi görünüyor:
- CVE-2024-9379 – Yönetici ayrıcalıklarına sahip, uzaktan kimliği doğrulanmış bir saldırgan tarafından tetiklenebilen bir SQL enjeksiyon hatası
- CVE-2024-9380 – yönetici ayrıcalıklarına sahip kimliği doğrulanmış uzaktan bir saldırganın uzaktan kod yürütmesine olanak tanıyan bir işletim sistemi komut ekleme güvenlik açığı
- CVE-2024-9381 – yönetici ayrıcalıklarına sahip kimliği doğrulanmış uzak bir saldırganın kısıtlamaları atlamasına olanak tanıyan bir yol geçiş güvenlik açığı
Ivanti, gözlemlediği bu güvenlik açıklarının “sınırlı kullanımı”nın CSA 4.6 yaması 518 ve altıyla sınırlı olduğunu söylüyor; şirket ilk saldırıları araştırırken CVE-2024-9379, CVE-2024-9380 ve CVE-2024-9381 keşfedildi.
Bunların tümü, Ivanti CSA v5.0.1 ve öncesi gibi 5.0.2 sürümünden önceki CSA sürümlerini ve ayrıca kullanım ömrü sonu Ivanti CSA v4.6’yı etkiler. Ancak Ivanti, bunların yalnızca CSA v4.6’da kullanıldığını gördüklerini söylüyor.
Ne yapalım?
Şirket, “Lütfen CSA 4.6’nın kullanım ömrünün sona erdiğini ve bu sürüm için son güvenlik düzeltmesinin 10 Eylül’de yayınlandığını unutmayın” dedi ve müşterilere CSA v5.0.2’ye yükseltme yapmalarını tavsiye etti.
Ayrıca müşterilere, güvenlik ihlali göstergelerini aramalarını tavsiye ettiler: değiştirilmiş veya yeni eklenen idari CSA kullanıcıları.
“Tutarsız olsa da, sistemde yerel olan aracı günlüklerinde bazı girişimler görünebilir. Ayrıca CSA’nıza EDR veya başka güvenlik araçları yüklediyseniz EDR uyarılarını da incelemenizi öneririz” diye eklediler. “Uzlaşmadan şüpheleniyorsanız Ivanti’nin tavsiyesi, CSA’nızı 5.0.2 sürümüyle yeniden oluşturmanızdır.”
Diğer güvenlik güncellemeleri
Ivanti çözümlerindeki sıfır gün güvenlik açıkları, geçtiğimiz yıl saldırganlar tarafından siber casusluk ve kripto madencilik amacıyla MITRE ve Norveç bakanlıkları da dahil olmak üzere çeşitli hedefleri ihlal etmek için kullanıldı.
Bu son güvenlik güncellemelerinde şirket, Endpoint Manager Mobile, Velocity License Server, Avalanche ve Connect Secure ve Policy Secure gibi diğer birçok çözümdeki güvenlik açıklarını kapattı. Bu güvenlik açıklarından hiçbirinin aktif olarak kullanıldığı bilinmemektedir.