Ivanti güvenlik açığı CVE-2025-22457 Aktif olarak sömürüldü

   Nisan 7, 2025  Posted in ThecyberExpress


3 Nisan 2025’te Ivanti, çoklu Ivanti ürünlerini etkileyen CVE-2025-22457 olarak izlenen kimliği doğrulanmamış bir tampon taşma güvenlik açığını açıkladı. Connect Secure, Politika Güvenli ve ZTA Gateways için nöronlar gibi Ivanti çözümlerini kullanan Avustralya kuruluşlarının altyapılarını korumak için derhal harekete geçmeleri isteniyor.

Bu teknik uyarı, güvenlik açığı, sömürüsü ve teknik ekipler ve sistem yöneticileri için azaltma konusunda rehberlik hakkında derinlemesine bir bakış sağlamayı amaçlamaktadır.

CVE-2025-22457 özeti

  • Güvenlik Açığı Türü: Kimlik doğrulanmamış arabellek taşması
  • Darbe: Uzak Kod Yürütme (RCE)
  • Etkilenen ürünler:
    • Pulse Connect Secure 9.1.x (destek sonu: 31 Aralık 2024)
    • Ivanti Connect Secure ≤ 22.7r2.5
    • Ivanti Politikası Güvenli
    • ZTA ağ geçitleri için nöronlar

Bu güvenlik açığı, uzak bir saldırganın, kimlik doğrulaması olmadan etkilenen cihazlarda keyfi kod yürütmesini sağlar. Ivanti ve siber güvenlik firması Mandiant, vahşi hedefleme açılmamış sistemlerinde, özellikle sabit ve eski nabız bağlantı güvenli cihazları bağlayan aktif sömürü gözlemlemiştir.

Avustralya Siber Güvenlik Merkezi’nden (ACSC) hafifletme rehberliği

Avustralya Sinyalleri Müdürlüğü’nün ACSC’si acil hafifletme önerileri yayınladı:

  1. Ivanti’nin etkilenen ürünler için resmi güvenlik danışmanlığını takip edin.
  2. CVE-2025-22457 için eksiksiz bir yama içeren 11 Şubat 2025’te piyasaya sürülen Ivanti Connect Secure 22.7R2.6’ya hemen yükseltin.
  3. Cihaz yapılandırmalarının Ivanti’nin dağıtım rehberliğiyle uyumlu olduğundan emin olun, özellikle de politika güvenliğinin internete dönük olmamasını sağlamak.
  4. Uzlaşma göstergelerini tespit etmek için adli araştırmalar yapın.
  5. Anormal aktivite veya yanal hareket belirtileri için bağlı ortamları izleyin.

Teknik analiz ve sömürü detayları

Ivanti, Şubat 2025’te 22.7R2.6 sürümünü yayınladığında, güvenlik açığının sınırlı karakter alanı nedeniyle düşük riskli bir hizmet reddi sorunu olduğuna inanılıyordu. Bununla birlikte, rakipler daha sonra yamayı tersine çevirebilir ve 22.7R2.5 ve önceki sürümlere karşı güvenilir bir uzaktan kod yürütme istismarı geliştirebilirler.

Mantiant’ın soruşturması, 2025 yılının ortalarından başlayarak sömürü buldu. Bu kampanya şunları içeriyor:


Tarayıcınız video etiketini desteklemez.

  • İki yeni kötü amaçlı yazılım ailesinin konuşlandırılması:
    • Trailblaze: Sadece bellek içi bir damlalık.
    • Fırça Ateşi: Pasif SSL tabanlı bir arka kapı.
  • Çin bağlantılı casusluk aktörü UNC5221’e atfedilen daha önce gözlemlenen yumurtlama kötü amaçlı yazılım ekosisteminin kullanımı.

Sıkıştırma sonrası teknikler ve kötü amaçlı yazılımlara genel bakış

1. Kabuk betiği damlası: CVE-2025-22457’den yararlandıktan sonra, saldırganlar şu bir kabuk komut dosyası yürütür:

  • Doğru/ev/bin/web işlemini tanımlar.
  • Birkaç geçici dosya oluşturur:
    • /tmp/.p (Web işleminin PID’si)
    • /tmp/.m (bellek haritası)
    • /tmp/.w, .s (web ve libssl için temel adresler)
    • /tmp/.r, .i (fırça ateşi ve trailblaze yükleri)
  • /Tmp/.i (Trailblaze Droper) yürütür.
  • Tüm geçici dosyaları temizler ve gizli için çocuk süreçlerini öldürür.

2. Trailblaze

  • C’de yazılmış, ham syscalls kullanarak ve gizli için optimize edilmiş.
  • Fırça ateşini/ev/bin/web işleminin bir bellek mağarasına enjekte eder.
  • Persistent olmayan-Reboot yeniden yürütülmedikçe yükü kaldırır.

3. fırça ateşi

  • SSL_READ kanca tabanlı arka kapı.
  • Şifre çözülmüş trafikte belirli bir bayt imzasını kontrol eder.
  • Maçta, şifre çözülmüş kabuk kodunu yürütür ve yanıtları yaymak için SSL_WRITE kullanır.

4.

  • Yumurtlama: Yerel ve uzaktan günlüğü devre dışı bırakmak için DSLogserver’ı değiştirir.
  • Spawnsnare: Çekirdek görüntüsünü çıkarır ve şifreler.
  • Yumurtlamak: Daha geniş işlevsellik için Spawnant ve Spawnchimera özelliklerini birleştirir.

UNC5221’e ilişkilendirme

Google Tehdit İstihbarat Grubu (GTIG) ve Mandiant Bu sömürü kampanyasını, Çin-Nexus casusluk aktörü UNC5221’e şu şekilde tanımlıyor:

  • Sıfır gün hedefleme kenar cihazlarından yararlanır.
  • Önceki kampanyalar:
    • CVE-2023-46805
    • CVE-2024-21887
    • CVE-2025-0282
    • CVE-2023-4966 (NetScaler ADC/Gateway)

UNC5221, aşağıdakileri kullanarak yüksek düzeyde sofistike bir şekilde çalışmaya devam ediyor:

  • Özel takım.
  • Pasif arka kapılar.
  • Meydan okulu siberoam, QNAP ve ASUS cihazlarını kullanarak gizlenmiş komut ve kontrol ağları.

Etkilenen ürünler için risk bağlamı

  • Pulse Connect Secure 9.1x: Yaşam sonu, başka yamalar yok. Hemen göç gerekir.
  • Ivanti Connect Secure ≤ 22.7r2.5: Yüksek risk – aktif olarak sömürüldü.
  • Ivanti Politikası Güvenli: Bir güvenlik duvarının arkasına uygun şekilde konuşlandırılırsa risk en aza indirildi.
  • ZTA için nöronlar: Ivanti’ye göre sömürü üretimde mümkün değildir.

Şimdi hangi kuruluşlar yapmalı

  • Tüm Ivanti sabit dağıtımlarını 22.7R2.6 veya üstüne bağlayın.
  • Pulse Connect Secure 9.1x kullanıyorsanız, hemen taşının – ürün kullanımdan kaldırılır.
  • Sistem konfigürasyonlarını doğrulayın ve uygun olmayan yerlerde internete dönük pozlamayı ortadan kaldırın.
  • Trailblaze veya fırça ateşi kötü amaçlı yazılımları tespit etmek için tehdit avları ve uç nokta adli tıp yapın.
  • Değiştirilmiş günlükler veya bilinmeyen süreçler gibi uzlaşma göstergelerini (IOC’ler) inceleyin.

İzleme ve Yanıt

  • Ağ ve ana bilgisayar tabanlı algılama kurallarını uygulayın.
  • Şüpheli SSL trafiğini izleyin ve kabuk kodu kalıplarını enjekte edin.
  • Mümkün olduğunca tam paket yakalamayı etkinleştirin ve izleyin.
  • Ivanti’nin bütünlük denetleyici aracının (BİT) bütünlüğünü doğrulayın.

Çözüm

CVE-2025-22457’yi hedefleyen bu aktif sömürü kampanyası, Ivanti ürünlerini kullanan Avustralya kuruluşları için ciddi bir tehdittir. Güvenlik açığı, başlangıçta hafife alınmış olsa da, bir aktörün elinde uygun bir uzaktan kod yürütme vektörü olduğu kanıtlanmıştır. Yüksek etkili casusluk işlemleri ile bilinen UNC5221’in doğrudan katılımı göz önüne alındığında, zamanında yama ve sağlam izleme esastır.

Organizasyonlar bu danışmanlığı aciliyetle ele almalı, savunmasız cihazların yükseltilmesine öncelik vermeli ve etkilenen ortamların bütünlüğünü değerlendirmelidir. Gelişen tehdit manzarasında, proaktif savunma ve satıcıya bağlılık ve ACSC rehberliği, kenar altyapısını güvence altına almak için kritik öneme sahiptir.

Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber ​​Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.



Source link