Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Yönetim ve Risk Yönetimi
Bulut Hizmeti Aygıtı Yönetici Panelleri, Bilgisayar Korsanları İçin İnternete Giden Yolu Açığa Çıkardı
David Perera (@daveperera) •
16 Eylül 2024
İnternet cihazı üreticisi Ivanti’nin müşterileri bir başka hacklenebilir güvenlik açığıyla karşı karşıya. Utah şirketi, Cuma günü müşterilerini vahşi doğada tespit edilen bir Bulut Hizmeti Cihazının istismarı konusunda uyardı.
Ayrıca bakınız: Siber Kurtarma Rehberinizi Nasıl Oluşturursunuz
Şirket, kuruluşların güvenlik duvarlarının ardındaki cihazları yönetmesine ve proxy ağ erişimi olarak hizmet verebilmesine olanak tanıyan yazılımın 4.6 sürümünü çalıştıran “sınırlı sayıda müşterinin” saldırıya uğradığını söyledi. ABD Siber Güvenlik ve Altyapı Ajansı, güvenlik açığını bilinen istismar edilen güvenlik açıkları kataloğuna ekleyerek, federal ajanslara bir yama uygulamak için üç haftalık bir geri sayım saati koydu.
CVE-2024-8190 olarak izlenen güvenlik açığı, kullanım ömrünün sonuna gelmiş olan Cloud Service Appliance’ın 4.6 sürümünü etkiliyor. Ivanti, güvenlik açığının cihazın 5. sürümünü etkilemediğini; 10 Eylül’de bir yama yayınladığını söyledi. Şirket, hacklenmenin bir belirtisinin yeni eklenen yönetici kullanıcıları veya değiştirilmiş yönetici hesapları olabileceğini söyledi.
Ivanti ağ geçidi cihazları bu yılın başlarında muhtemelen Çin tarafından yürütülen bir casusluk korsanlığı operasyonunun merkezindeydi. CISA etkilenen müşteriler arasındaydı. Kampanya, Ivanti’yi şirketin ürünlerindeki güvenlik açıklarının ifşalarını sürekli olarak sürdüren araştırmacılar tarafından sürdürülen bir ilgi odağı haline getirdi (bkz: Ivanti, Ömrünü Tamamlamış İşletim Sistemlerini ve Yazılım Paketlerini Kullanıyor).
Bu son kusurdan sadece birkaç gün önce, Ivanti, kimliği doğrulanmamış saldırganların uzaktan kod yürütmesine izin verebilecek Endpoint Manager ürünündeki kritik bir güvenlik açığını düzeltti. Şirket, siber güvenlik kusurlarının keşfedilmesindeki artışı bir ilerleme işareti olarak adlandırdı ve bunu yoğunlaştırılmış tarama ve teste bağladı. “CISA’nın, CVE’lerin sorumlu bir şekilde keşfedilmesi ve ifşa edilmesinin ‘sağlıklı kod analizi ve test topluluğunun bir işareti’ olduğu yönündeki açıklamasına katılıyoruz,” dedi.
Şirket, en iyi uygulamaları izleyerek çift ana bilgisayarlı yapılandırmalara sahip Bulut Hizmeti Cihazı kullanıcılarının eth0 dahili bir ağ olarak saldırıya uğrama riski çok daha düşüktü. Kusurdan yararlanmak için bilgisayar korsanlarının cihazda kimlik doğrulaması yapması ve yönetici ayrıcalıklarına sahip olması gerekiyor, dedi Ivanti.
Horizon3.ai’den araştırmacılar, açığı istismar edebilen bilgisayar korsanlarının, internet bağlantılarını kabul edecek şekilde yapılandırılmış cihazlar bulduğunu ileri sürdü. eth1 veya yalnızca bir arayüzü yapılandırılmış olan. İnternet üzerinden yönetici portalına ulaşmaya çalışmak eth0 “403 Yasak” mesajıyla sonuçlandı. İnternete maruz kaldığında, Bulut Hizmeti Cihazı yönetici portalı çalışan bir kullanıcı adı ve parola kombinasyonu bulmak için yapılan kaba kuvvet girişimlerine hız sınırlaması getirmedi. Cihaza hiç giriş yapmamış kullanıcılar da bilgisayar korsanlarına yardım etmiş olabilir, çünkü cihaz varsayılan kimlik bilgileriyle birlikte gönderiliyordu admin:adminİlk kez oturum açma, kimlik bilgilerinin güncellenmesi gereksinimini tetikledi.
Araştırmacılar, “Saldırıya uğrayan kullanıcıların büyük olasılıkla cihaza hiç giriş yapmamış olabileceğini veya hız sınırlamasının olmaması nedeniyle parola hijyeninin zayıf olduğunu ve daha zayıf parolalara sahip olabileceğini varsayıyoruz” dedi.