Ivanti, Connect Secure ağ geçidinde ilk kez 10 Ocak’ta ortaya çıkan güvenlik açıklarına yönelik yamalar gönderiyor.
Ancak yamalar üzerinde çalışırken Ivanti iki yeni güvenlik açığı bulduğunu söyledi.
Güncellenen danışma belgesinde “CVE-2023-46805 ve CVE-2024-21887 ile ilgili devam eden araştırmamızın bir parçası olarak Ivanti Connect Secure Ivanti Policy Secure ve Ivanti Neurons for ZTA’da ek güvenlik açıkları tespit ettik” ifadeleri kullanıldı.
“CVE-2024-21888 ayrıcalık yükseltmeye izin veriyor ve CVE-2024-21893, SAML bileşeninde bir tehdit aktörünün kimlik doğrulama olmadan belirli kısıtlı kaynaklara erişmesine olanak tanıyan sunucu tarafı istek sahteciliğidir.”
İki yeni güvenlik açığı sırasıyla 8,8 ve 8,2 CVSS puanlarına sahiptir.
Ivanti, az sayıda müşterinin CVE-2024-21893’ten etkilendiğini gördüğünü söyledi.
Ivanti Connect Secure (sürümler 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ve 22.5R1.1) ve ZTA sürüm 22.6R1.3 için yamanın, bir saldırganın hedeflenen şeyi elde etmesini önlemek için cihazın sıfırlanması gerekir. Ivanti “yükseltme ısrarı” olarak adlandırıyor.
Şirket, bunun yama sürecinin üç ila dört saat sürmesiyle sonuçlandığını söyledi.
Ivanti’nin hikâyesini başlatan güvenlik açıkları, CVSS puanı 9,1 olan uzaktan istismar edilebilir bir komut enjeksiyon güvenlik açığı olan CVE-2024-21887; ve kimlik doğrulamayı atlama güvenlik açığı olan CVE-2023-46805.
Yamalar gönderilene kadar şirket, yapılandırma dosyaları aracılığıyla sorun azaltma olanağı sunuyordu.
ABD Siber ve Altyapı Güvenliği Ajansı’na (CISA) göre saldırganlar, hafifletici önlemleri atlamanın yollarını buldu.
Güvenlik açıkları ortaya çıktığından beri hem Volexity hem de Mandiant açıklarda istismarlar gördü ve bunu UTA0718 adlı bir tehdit aktörüne bağladı.
Synacktiv’den Théo Letailleur bir blog yazısında iki firmanın tespit ettiği açıkların Silver olarak bilinen bir arka kapıyı indirip çalıştırmaya çalıştığını açıkladı.