Ivanti Endpoint Manager (EPM) ile ilgili yakın tarihli bir soruşturma, kimlik doğrulanmamış saldırganların röle saldırıları için makine hesabı kimlik bilgilerini kullanmasına izin verebilecek ve potansiyel olarak sunucu uzlaşmasına yol açabilecek dört kritik güvenlik açığını ortaya çıkardı.
C: \ Program Files \ Landesk \ ManagementsUite \ wsvulnerabilityCore.dll’de tanımlanan bu güvenlik açıkları, Ekim 2024’teki keşiflerinin ardından Ocak 2025’te yamalandı.
Güvenlik açıkları aşağıdaki gibi kategorize edilmiştir: CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 ve CVE-2024-13159.
Güvenlik açıkları, WSVULNEabilityCore ad alanının vulcore sınıfındaki çeşitli yöntemlerde kullanıcı girişinin yanlış doğrulanmasından kaynaklanmaktadır.
Örneğin, GethashForWildCardRecursive () yöntemi, bir saldırganın, uzak bir UNC yolunun oluşturulmasına yol açabilecek joker parametresini manipüle etmesine izin verir.
Bu sömürü, saldırganların EPM sunucusunu keyfi bir dizindeki dosyaları okumaya zorlar, böylece hassas verileri açığa çıkarır veya daha fazla saldırı kolaylaştırır.
Benzer şekilde, GethashForWildcard () ve GethashForsingLefile () yöntemleri karşılaştırılabilir kusurlar sergiler.
Birincisi, kimlik doğrulanmamış kullanıcıların uzak UNC konumlarına ulaşan yollar oluşturmalarına izin verirken, ikincisi ise UNC yollarını herhangi bir kimlik doğrulama kontrolü olmadan girdi olarak kabul edebileceğini ima eder.
Bu güvenlik önlemlerinin eksikliği, saldırganlar EPM sunucusundaki kritik işlevlere yetkisiz erişim elde etmek için bu uç noktalardan yararlanabileceğinden önemli riskler oluşturmaktadır.
Bu güvenlik açıklarına yanıt olarak, Horizon3.AI, bu sorunların pratik senaryolarda nasıl kullanılabileceğini gösteren bir kavram kanıtı (POC) yayınladı.
POC, saldırganların makine hesapları oluşturmasına veya NTLM rölesi saldırıları yoluyla devredilen yönetici erişimi kazanmasına izin verebilecek aktarma teknikleri de dahil olmak üzere çeşitli saldırı vektörlerini vurgular.
NTLMRelayX gibi araçları kullanarak saldırganlar, LDAP sunucularına istekleri aktarabilir ve makine hesapları yüksek ayrıcalıklarla ekleyebilir.
Bu açıklamanın zaman çizelgesi, güvenlik açıklarının Ivanti’ye bildirildiği 15 Ekim 2024’te başladı.
Şirket, ertesi gün raporun alındığını kabul etti ve kısa bir süre sonra güvenlik açıklarını doğruladı.
13 Ocak 2025’te bir yama yayınlandı, ancak bu kritik konular hakkında halkın farkındalığı sadece 19 Şubat 2025’te Horizon3.Ai’den bir blog yazısı ile ortaya çıktı.
Ivanti EPM’yi kullanan kuruluşların en son yamaları uygulamaları ve potansiyel sömürü risklerini azaltmak için güvenlik yapılandırmalarını gözden geçirmeleri şiddetle tavsiye edilir.
Bu POC istismarının piyasaya sürülmesi, yetkisiz erişim ve veri ihlallerine karşı korunmada sağlam giriş validasyonu ve kimlik doğrulama mekanizmalarının önemini açık bir hatırlatma görevi görür.
Siber güvenlik tehditleri gelişmeye devam ettikçe, güvenli ortamları korumak için proaktif önlemler gereklidir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here