Yönetişim ve Risk Yönetimi, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Yama Yönetimi
Sınırlı Saldırılarda Uzaktan Kod Yürütme Hatasından Yararlandı
Prajeet Nair (@prajeetspeaks) •
4 Ekim 2024
Ivanti, şirketin sorunu Mayıs ayında bir yama ile çözmesine rağmen, bilgisayar korsanlarının Ivanti Uç Nokta Yöneticisinde uzaktan kod yürütülmesine olanak sağlayan bir SQL enjeksiyon güvenlik açığından yararlandığını doğruladı.
Ayrıca bakınız: Gartner 2024 Magic Quadrant: Kurumsal Kablolu ve Kablosuz LAN Altyapısı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü, kuruluşlara CVE 2024-29824 olarak takip edilen güvenlik açığını düzeltmeye öncelik vermelerini tavsiye etti. CVSS puanı 9,6 olan bu yazılım, ilk kez Mayıs ayında Ivanti’nin kusura ve diğer beş uzaktan kod yürütme hatasına yönelik bir düzeltme yayınlamasıyla duyuruldu (bkz: Güvenlik Araştırmacıları Ivanti Yazılımındaki Kritik Kusuru Ortaya Çıkardı).
İnternet cihazı üreticisi Ivanti, Mayıs ayındaki bir danışma belgesinde, “Ivanti EPM 2022 SU5 ve önceki sürümlerin Core sunucusundaki belirtilmemiş bir SQL enjeksiyon güvenlik açığı, aynı ağ içindeki kimliği doğrulanmamış bir saldırganın rastgele kod yürütmesine izin veriyor” dedi.
Ivanti Endpoint Manager, kuruluşların dizüstü bilgisayarlar, masaüstü bilgisayarlar, sunucular ve mobil cihazlar gibi uç noktaları yönetmesine ve güvenliğini sağlamasına yardımcı olmak için tasarlanmış bir sistem yönetimi çözümüdür. Windows, macOS, Linux, Chrome OS ve IoT cihazlarını yönetebilir. Merkezi yönetim ve otomasyon yoluyla BT operasyonlarının kolaylaştırılmasını sağlar.
Ivanti’nin, Fortune 100 şirketlerinden 88’i dahil olmak üzere 40.000’den fazla müşterisi var. Müşterilerinin çoğu bu yılın başından bu yana acil durum yamaları koşu bandında. Araştırmacılar, bu yılın başlarında Ivanti ağ geçidi cihazlarının muhtemelen Çin tarafından yürütülen bir casusluk hackleme operasyonunun merkezinde olduğunu açıkladı. CISA etkilenen müşteriler arasındaydı (bkz: Ivanti Güvenlik Açığı Yine Acil Durum Yamalarını Zorluyor).
Bu kusur, aynı ağ içindeki kimliği doğrulanmamış saldırganların savunmasız sistemlerde rastgele kod yürütmesine olanak tanıyor. Bu kusur, RecordGoodApp yönteminin adlı bir DLL dosyasında uygulanmasında mevcuttur. patchbiz.dll.
Horizon3.ai, haziran ayında, kusuru tetikleyebilecek ve bir bilgisayar korsanının kuruluş genelinde birden fazla savunmasız cihaza uzaktan saldırı gerçekleştirmesine izin verebilecek ayrıntılı bir kavram kanıtlama istismarı yayınladı.
Araştırmacılar, RecordGoodApp adında potansiyel olarak savunmasız bir işlev keşfettiler. patchbiz.dll Kurulumdan sonra dosya. Bu uygulamanın ikili dosyaları şurada saklanır: C:Program FilesLANDesk. Analistler JetBrains dotPeek aracını kullanarak patchbiz.dll C# ikili dosyası ve RecordGoodApp yöntemini tanımladı.
Bu fonksiyon içerisinde, ilk SQL ifadesi, kullanımından dolayı SQL enjeksiyonuna duyarlı görünmektedir. string.Format değerini eklemek için goodApp.md5 sorguya girin. Saldırganlar goodApp.md5 değerini manipüle edebilirlerse bu güvenlik açığından yararlanabilir ve bir SQL enjeksiyonunu tetikleyebilirler.
Mevcut yamalara rağmen tehdit aktörleri yama uygulanmamış sistemlerden yararlanmayı başardı.
Qualys Tehdit Araştırma Birimi güvenlik araştırması yöneticisi Mayuresh Dani, CVE-2024-29824’ün, saldırganların ele geçirilen sistemler üzerinde tam kontrol sahibi olmasına izin vermesi nedeniyle özellikle tehlikeli bir kusuru temsil ettiğini söyledi.
“Bu güvenlik açığından yararlanan kavram kanıtı kodu Haziran ayının başından beri mevcut. Bu kodun birden çok sürümü şu güvenlik açığından yararlanıyor: xp_cmdshell SQL Server’larda bulunan bu özellik, saldırganların keyfi Windows komutlarını yürütmesine, kötü amaçlı komut dosyaları indirip çalıştırmasına ve dosyaları değiştirmesine olanak tanıyor” dedi Dani.