Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Şirket, Muhtemelen Çin İstihbarat Operasyonları Tarafından İstismar Edilen Kusurlar İçin Yama Dağıtımına Başladı
Sayın Mihir (MihirBagwe) •
31 Ocak 2024
Kurumsal VPN üreticisi Ivanti Çarşamba günü, birçok siber güvenlik firmasının muhtemelen Çin tarafından yürütülen bir casusluk hackleme operasyonunun önünü açtığını söylediği sıfır gün kusurları için gecikmiş bir yama dağıtımına başladı.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Ivanti ayrıca iki ağ geçidi sıfır gün kusurunu daha açıkladı ve müşterilere bilgisayar korsanlarının bunlardan birini aktif olarak istismar ettiğini söyledi.
Yeni açıklanan güvenlik açıklarını da gideren yama, orijinal sıfır gün kümesinden etkilenen iki Ivanti ağ geçidinden biri olan Connect Secure’un bazı sürümleri içindir. Diğeri ise Policy Secure’dur ve yeni kusurlar ZTA için Ivanti Neurons sürümlerini de etkilemektedir.
Şirket, müşterilere “ilk olarak en yüksek kurulum sayısı için yamaları yayınlayıp daha sonra azalan sırayla devam ettiğini” belirterek yama yayınlama programını şaşırtıyor.
Şirket, “tehdit aktörünün ortamınızda yükseltme kalıcılığı kazanmasını önlemek için” müşterilerin yamayı uygulamadan önce cihazlarını fabrika ayarlarına sıfırlamasını önerdi.
İki yeni kusur, ayrıcalık yükseltmeye izin veren CVE-2024-21888 ve SAML bileşeninde bulunan sunucu tarafı istek sahteciliği güvenlik açığı olan CVE-2024-21893’tür.
Şirket, “Bilgisayar korsanlarının sıfır gün ayrıcalık yükseltme özelliğini istismar ettiğine dair hiçbir kanıt yok ve CVE-2024-21893’ten etkilenen sınırlı sayıda müşterinin farkındayız” dedi. Güvenlik açığının artık kamuya açık olması nedeniyle bu sınırlı sayının muhtemelen artacağı uyarısında bulunuldu. “Ivanti, tehdit aktörünün davranışlarını değiştirmesini bekliyor ve istismarda keskin bir artış bekliyoruz” dedi.
Ivanti, mevcut bir yaması olmayan müşteriler için XML dosyası olarak indirilebilen hafifletme adımlarının uygulanmasını önerdi.
Bu ayın başlarında duyurulan ve CVE-2023-46805 ve CVE-2024-21887 olarak takip edilen iki güvenlik açığı, tehdit aktörlerinin veri sızdırma operasyonları gerçekleştirirken kalıcı sistem erişimi oluşturmasına ve hedef ağ üzerinde yatay olarak hareket etmesine olanak tanıyor. Araştırmalar, Ocak ortası itibarıyla dünya çapında 2.100’den fazla Ivanti cihazının web kabuğu arka kapısıyla ele geçirildiğini gösteriyor. Bilinen kurbanlar arasında Fortune 500 şirketleri, hükümetler ve savunma, finans, teknoloji ve danışmanlık gibi çeşitli sektörler yer alıyor.
10 Ocak’ta kusurlarla ilgili ayrıntıları yayınlayan siber güvenlik firması Volexity, suçluların Çin devleti saldırganları olduğundan şüphelendiğini söyledi.
Tehdit istihbaratı firması Mandiant Çarşamba günü benzer bulgular yayınlayarak, 3 Aralık gibi erken bir tarihte bu güvenlik açıklarından yararlanan tehdit aktörünün Çin istihbaratıyla bir bağlantısı olduğunu söyledi. Mandiant’ın UNC5221 olarak takip ettiği tehdit aktörünün, Pekin açısından stratejik öneme sahip hedefleri hackleme geçmişi bulunuyor. Şirket, “İlk göstergeler, araç ve altyapının, Çin merkezli olduğundan şüphelenilen casusluk aktörlerine atfedilen geçmiş saldırılarla örtüştüğünü gösteriyor” dedi.