Ivanti, Volexity güvenlik araştırmacıları tarafından keşfedilip ifşa edilen Connect Secure VPN cihazlarındaki iki sıfır gün güvenlik açığına karşı kullanıcıları uyarıyor.
Volexity, “UTA0178” olarak adlandırdığı ve “Çin ulus devleti düzeyinde bir tehdit aktörü olduğuna inanmak için nedenleri olan” bir grup tarafından saldırıya uğrayan bir sistemi analiz ederken güvenlik açıklarını tespit etti.
Burada açıklanan hatalar, birbirine zincirlenebilen bir kimlik doğrulama atlamasından ve bir komut ekleme hatasından oluşur.
Volexity’den Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair ve Thomas Lancaster’ın bir blog yazısında uyardığı gibi, CVE-2023-46805 ve CVE-2024-21887’nin zincirlenmesi, güvenliği ihlal edilmiş bir sistemde “saldırganların komut çalıştırmasını önemsiz hale getiriyor” .
Volexity, sıfır gün güvenlik açıklarını bir müşterinin sistemine yapılan saldırıda kullanıldıktan sonra keşfetti.
Saldırganın faaliyetleri kapsamlıydı: yapılandırma verilerini çaldılar, bazı dosyaları değiştirdiler, diğerlerini indirdiler ve VPN cihazından uzak bir tünel kurdular.
Saldırgan ayrıca sistemin bütünlük denetleyicisinden kaçmak için değişiklikler yaptı ve komutların yürütülmesine izin vermek için cihazdaki meşru bir CGI dosyasına arka kapılar ekledi.
Ayrıca kullanıcı kimlik bilgilerini toplamak için bir keylogger da yüklediler.
Volexity, “Saldırgan tarafından toplanan bilgi ve kimlik bilgileri, dahili olarak bir avuç sisteme erişmelerine ve sonuçta ağdaki sistemlere sınırsız erişim elde etmelerine olanak sağladı” dedi.
Saldırgan ayrıca halka açık web sunucularına GLASSTOKEN adlı bir web kabuğu yerleştirdi.
Ivanti, indirme portalında bir XML dosyası olarak bir azaltım yayınladı.
Bir bilgi bankası makalesinde Ivanti, Connect Secure ve Policy Secure yazılımlarının bazı özelliklerinin azaltımlardan etkileneceği konusunda uyarıyor.