Ivanti, Fabrika Sıfırlama Sonrası Bilgisayar Korsanlığına İlişkin CISA Bulgularına İtiraz Ediyor


Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Yama Yönetimi

Gateway Maker, Tekniğin Canlı Müşteri Ortamında Başarılı Olmayacağını Söyledi

Sayın Mihir (MihirBagwe) •
1 Mart 2024

Ivanti, Fabrika Sıfırlama Sonrası Bilgisayar Korsanlığına İlişkin CISA Bulgularına İtiraz Ediyor
Ivanti, üretim ortamındaki bilgisayar korsanlarının fabrika ayarlarına sıfırlama sonrasında kalıcılık sağlayabileceğine karşı çıkıyor. (Resim: Shutterstock)

Kurumsal VPN üreticisi Ivanti, ABD siber güvenlik kurumunun, bilgisayar korsanlarının fabrika ayarlarına sıfırlama yoluyla köklü cihazlarda kalıcılık sağlayabileceği yönündeki bulgularına karşı çıktı ancak yine de Salı günü güncellenmiş bir bütünlük kontrol aracı yayınladı.

Ayrıca bakınız: Talep Üzerine | Avustralya’nın İş Sürekliliğini Belirsiz Tehdit Ortamından Korumak

Siber Güvenlik ve Altyapı Güvenlik Ajansı, sanal bir Ivanti Connect Secure cihazı üzerinde yapılan testlerin, güvenliği ihlal edilmiş bir cihaza erişimi fabrika ayarlarına sıfırlamadan sonra bile korumanın mümkün olduğunu gösterdiğini söyledi. Ivanti, müşterilerin yakın zamanda ortaya çıkan bir dizi güvenlik açığına karşı koruma sağlamak için performans göstermesi gerektiğini söyledi. CISA ayrıca Salı gününe kadar yürürlükte olan Ivanti bütünlük kontrolü fonksiyonunun kalıcılık mekanizmasını tespit etmeyi imkansız olmasa da zorlaştırdığını ve “temiz bir kurulum yanılsaması yarattığını” söyledi.

Ivanti’nin bir sözcüsü, CISA’nın tehdidi abarttığını ve şirketin CISA’nın yönteminin üretimde işe yarayacağına inanmadığını söyledi. Bir şirket sözcüsü bir e-postada, “CISA’nın laboratuvar temelli kalıcılık tekniği bugüne kadar vahşi ortamda gözlemlenmedi ve Ivanti bunun canlı müşteri ortamında başarılı olacağına inanmıyor” dedi. “Laboratuvar ortamının dışında, bu eylem kutuyla bağlantıyı koparacak ve dolayısıyla kalıcılık kazanamayacaktır.”

Utah şirketi bir blog yazısında siber tehdit istihbarat firması Mandiant’ın Salı günü yaptığı analize dikkat çekti ve bu analizde yalnızca şüpheli Çinli bilgisayar korsanlarının fabrika ayarlarına sıfırlama yoluyla kalıcılığı korumaya yönelik başarısız girişimlerini tespit ettiğini söyledi.

Büyük olasılıkla Çinli ulus-devlet bilgisayar korsanları Aralık ayının başlarında Ivanti ağ geçitlerine sızmak için bir çift sıfır gün kullanmaya başladı. Ocak ayı başlarında güvenlik açıkları kamuoyunun bilgisine sunuldukça ve araştırmacılar istismar edilecek ek kusurlar buldukça, yasa dışı kripto madencileri de dahil olmak üzere diğer bilgisayar korsanları, açığa çıkan Ivanti ağ geçitlerini istismar etmek için mücadeleye katıldı. Şirket, Ocak ayında yamalar yayınlamaya başladı ve ek güvenlik açıkları keşfetti. En sonuncusunu 8 Şubat’ta açıkladı.

Siber savunucular, gizlilik nedeniyle güvenlik konusunda giderek artan eleştirilerle karşı karşıya kalan uç cihazları hedef alan bir dizi ulus devlet kampanyasını fark etti.

Hollanda istihbarat teşkilatları Şubat ayında, “Çinli tehdit aktörlerinin internete bakan uç cihazlarda geniş ve fırsatçı tarama kampanyaları gerçekleştirdiği biliniyor” ve genellikle kamuya açıklandıkları gün güvenlik açıklarından yararlandıkları konusunda uyardı (bkz: Çinli Hackerlar Sınıflandırılmamış Hollanda Ağına Girdi).

CISA Perşembe günkü tavsiye niteliğindeki raporunda, adli analizin Ivanti ağ geçidi korsanlarının dosyaların üzerine yazarak, zaman damgalayarak ve cihazı “temiz duruma” geri döndürmek için çalışma zamanı bölümünü yeniden monte ederek izinsiz giriş kanıtlarını temizleyebildiklerini gösterdiğini söyledi. CISA, bu durumun, Ivanti bütünlük kontrol aracı tarafından yapılan taramaların “cihazın tehlikeye girmediği yönünde yanlış bir güvenlik algısına yol açabileceğini” güçlendirdiğini söyledi.

Ajansın denetleyiciye yönelik ana eleştirisi, bilgisayar korsanlarının Ivanti cihazının şifreleme bölümünde bir kalıcılık mekanizması gizleyebilecekleri yönünde. CISA, “Ağ yöneticilerinin, bölümün şifresini çözmeden ve cihazın temiz kurulumuna karşı doğrulama yapmadan uygulamalarının tehlikeye atılmadığını doğrulamaları savunulamaz, ki bunlar şu anda kolayca gerçekleştirilemeyen eylemlerdir.” diye yazdı.

Perşembe günü Ivanti, aracı güncellediğini ve “bir müşterinin anlık görüntülerinin şifresini çözmek için artık desteğe ihtiyaç duymayacağını” söyledi. Şirket, aracın “artık müşterilere kendi incelemeleri için şifrelenmemiş bir anlık görüntü sunacağını” söyledi.





Source link