Ivanti Endpoint Manager’da (EPM) dört kritik güvenlik açıkından oluşan bir küme, kurumsal cihaz yönetim platformunu kullanarak kuruluşlar için riskleri artırarak, Kavram Kanıtı (POC) istismar kodunun halka açıklanmasıyla tehlikeli yeni bir aşamaya girdi.
Ekim 2024’te araştırmacılar tarafından keşfedilen ve Ocak 2025’te Ivanti tarafından yamalanan bu güvenlik açıkları (CVE-2024-10811, CVE-2024-13161, CVE-2024-13159), yasa dışı saldırganların elden çıkarılmasına neden olmak için elemensiz saldırganları mümkün kılar. Röle Saldırıları Tekniği için Makine Hesabı Kimlik Bilgileri İdari Etki Verebilecek kontrol.
Temel güvenlik açığı yönetimi işlevlerinde mimari kusurlar
Güvenlik açıkları WSVulnerabilityCore.dll Ivanti EPM’nin .NET çerçevesinin, özellikle dosya karma hesaplamaları için tasarlanmış API uç noktaları içinde.
Analiz, VulCore sınıf yöntemleri – dahil olmak üzere GetHashForWildcardRecursive()– GetHashForWildcard()– GetHashForSingleFile()Ve GetHashForFile()-UNC yolu enjeksiyonunu sağlayarak kullanıcı tarafından sağlanan yolları doğrulamak için başvurun.
Bu, saldırganların EPM sunucusunu, genellikle yüksek alan ayrıcalıklarına sahip makine hesabı kimlik bilgilerini kullanarak kötü niyetli bir KOBİ payına kimlik doğrulamaya zorlamasını sağlar.
Teknik kök nedeni, wildcard Ve strFileName Bu işlevlerdeki parametreler. Hazırlanmış bir yolu işlerken, EPM sunucusu otomatik olarak dosyaları numaralandırmaya çalışır ve işlemde NTLMV2 kimlik bilgilerini iletir.
Araştırmacılar “Bu güvenlik açıkları, rutin bir dosya engelleme işlemini kimlik bilgisi sızıntısı mekanizmasına dönüştürüyor. Makine hesabının etki alanı ayrıcalıkları, bu özellikle tehlikeli bir uzlaşmayı bir EPM sunucusu haline getirir ve potansiyel olarak yönetilen her uç noktasını tehlikeye atarsınız ”.
İstismar zinciri, etki alanının devralınmasını sağlar
Yayınlanan POC, saldırganların bu güvenlik açıklarını standart penetrasyon test araçlarıyla nasıl zincirleyebileceğini gösteriyor:
- Kimlik bilgisi hasat: Ağ müdahalesi araçlarını kullanarak saldırganlar, zorla kimlik doğrulama denemeleri sırasında EPM sunucusunun NTLMV2 karmalarını yakalar.
- LDAP Röle Saldırıları: Delegasyon haklarına sahip yetkisiz makine hesapları oluşturmak için hasat edilen kimlik bilgileri etki alanı denetleyicilerine aktarılır.
- Ayrıcalık artışı: Saldırganlar, Toolkit yardımcı programlarını kullanarak Kerberos biletleri oluşturur, etki alanı yöneticilerini CIF’ler gibi kritik hizmetlere erişmek için taklit eder.
Dokümantasyon, araştırmacıların ilk erişimden sonraki 15 dakika içinde tam etki alanı uzlaşması sağladıkları bir gösteri içerir. Bu saldırı yolu, son kampanyalarda gelişmiş kalıcı tehdit grupları tarafından kullanılan teknikleri yansıtır.
İlk yamalar, Windows eylem bileşenleri ile uyumluluk sorunlarına neden olur ve 17 Ocak’ta yayınlanan revize edilmiş bir güncelleme gerektirir. İlk yamayı uygulayan kuruluşlar, bazı BT takımlarının göz ardı edebileceği bir ayrıntıyı yeniden uygulamalıdır.
Bu zorlukları birleştiren Ivanti’nin son güvenlik geçmişi müşteri güvenini zorladı. Güvenlik açıkları, Ivanti VPN cihazlarındaki birden fazla sıfır günün devlet bağlantılı aktörler tarafından kullanıldığı çalkantılı bir 2024’ü takip ediyor.
Endüstri analistleri şunları not ediyor: “Her yeni Ivanti güvenlik açığı artık önceki ihlallerin merceğinden incelenerek kritik güncellemeleri geciktiren bir ‘yama yorgunluğu’ etkisi yaratıyor”.
Kurumsal ekipler için azaltma stratejileri
- Anında yama: Ivanti’nin Ocak 2025 güncellemelerini tüm yönetim sunucularında dağıtın.
- Ağ segmentasyonu: EPM sunucularının güvenilmeyen ağlara giden SMB/LDAP bağlantılarını başlatmasını kısıtlayın.
- Kimlik bilgisi sertleştirme: NTLM röle saldırılarını engellemek için etki alanı denetleyicilerinde kimlik doğrulama (EPA) için genişletilmiş koruma uygulayın.
- İzleme: Anormal LDAP Makinesi Hesap Oluşturma Etkinlikleri ve Beklenmedik EPM Sunucusu SMB Trafiği Hunt.
Güvenlik platformları, satılmamış sistemleri tanımlamak için algılama imzaları yayınladı. Ivanti, yama bütünlüğünü doğrulamak için bütünlük doğrulama araçlarını kullanmanızı önerir.
Bu güvenlik açıkları, yüksek ayrıcalıkları internete maruz kalan arayüzlerle birleştiren kurumsal yönetim sistemlerinde sistemik risklerin altını çizmektedir.
Analistler gözlemliyor: “EPM’nin etki alanı denetleyicilerine ve uç noktalarına gerekli erişim onu mükemmel bir yükseltme noktası haline getiriyor. Satıcılar, her API çağrısının kötü niyetli olabileceğini varsayarak ürün tasarımında sıfır tröst ilkelerini benimsemelidir ”.
Olay ayrıca güvenlik açığı açıklama zaman çizelgeleri hakkında tartışıyor. Araştırmacılar, teknik detayları sorumlu açıklama ve operasyonel aciliyet arasında bir denge yayınlamadan önce 30 gün bekledi. Bununla birlikte, şimdi istismar kodu ile kamuya açık olarak, açılmamış sistemler yakın tehditlerle karşı karşıyadır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here