Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Güvenlik Operasyonları
Eski Yazılımlar, İstismar Edilen Kusurlar ve Güvenlik Açıkları Ivanti’nin Cihazlarını Açığa Çıkarıyor
Prajeet Nair (@prajeetspeaks) •
15 Şubat 2024
Araştırmacılar, kurumsal VPN üreticisi Ivanti’nin, Çin casusluğunun sıfır gün hackleme kampanyası sırasında çok sayıda acil durum yamasına maruz kalan Pulse Secure cihazlarının, Linux’un 11 yıllık eski bir sürümünde çalıştığını ve birçok eski yazılım paketini kullandığını buldu.
Ayrıca bakınız: CDD ile Müşteri Riskinizi Doğru Şekilde Anlayın
Tedarik zinciri güvenlik firması Eclypsium Perşembe günü yaptığı açıklamada, Ivanti’nin yerleşik bütünlük kontrol aracında da bir kusur keşfettiğini söyledi; bu, Ivanti’nin kullanıcıları saldırı saldırısı sırasında defalarca kullanmaya çağırdığı bir tarama işleviydi.
Muhtemelen Çinli ulus-devlet bilgisayar korsanları, Utah’lı üreticinin yaptığı ağ geçitlerine sızmak için Aralık başından itibaren bir çift sıfır gün kullandı. Şirket, Ocak ayının ortasında yamalar yayınlamaya başladı ve ek güvenlik açıkları keşfetti; bunların en sonuncusu 8 Şubat’ta açıklandı.
Akamai Çarşamba günü, CVE-2024-22024 olarak izlenen en son kusura karşı savunmasız olan cihazları ararken “önemli tarama faaliyeti” gözlemlediğini bildirdi. Akamai, araştırmacıların 9 Şubat’ta konseptin kanıtını yayınlamasının ardından taramaların arttığını söyledi.
Eclypsium’un Ivanti ile ana sıkıntısı, şirketin tersine mühendisliği önlemek amacıyla donanım yazılımını şifrelemesi ve savunmacılar temel kodu inceleyemediği için şifrelemenin saldırganlara fayda sağlamasıdır. “Bu süreç ne kadar açık olursa, dijital tedarik zincirini doğrulamak için o kadar iyi iş yapabiliriz” dedi.
Firmadaki araştırmacılar, Ivanti VPN görüntüsünün şifresini çözdüler ve işletim sisteminin, ilk olarak 2013’te piyasaya sürülen ve Kasım 2020’de kullanım ömrünün sonuna ulaşan CentOS 6.4 olduğunu keşfettiler. Ivanti, temel CentOS görüntüsünü mutlak minimum ikili dosyalara indirgemiş gibi görünüyor. Eclypsium dedi.
Ayrıca, Şubat 2016’da kullanım ömrünün sonuna gelmiş bir Linux çekirdeği, “bilinen CVE’ler ve açıklardan yararlanan bir dizi güncelliğini kaybetmiş kitaplık” ve Aralık 2017’de kullanım ömrünün sonuna gelmiş bir OpenSSL sürümü de bulundu. Grafiksel kullanıcı arayüzünün çoğu Perl’de yazıldığı ve “devasa bir saldırı yüzeyi sunduğu” belirtildi; bu, istismar edilen güvenlik açıklarının sürekli akışı göz önüne alındığında hiç de şaşırtıcı değil.
İşin iyi tarafı, Eclypsium araştırmacıları komut kabuğunun 2014 yılında Shellshock olarak bilinen bir güvenlik açığına karşı yamalandığını söyledi.
.
Eclypsium ayrıca tarayıcının bir düzine dizini hariç tuttuğunu söyleyerek Ivanti bütünlük denetleyicilerini de suçladı. Araştırmacılar, bir saldırganın bu dizinlerde bir arka kapı bırakabileceğini söyledi. Saldırganların ayrıca, taranmamış dizinlere veri sızmak üzere düzenleyebileceklerini ve bir yama sonrasında veri hırsızlığını tamamlamak için yeni bir açıktan yararlanarak geri dönebileceklerini söylediler.
Eclypsium, “Mükemmel derecede güvenli donanım ve yazılım sunma konusunda satıcılara güvenemeyiz” dedi. “Müşterilerin ve üçüncü tarafların ürün bütünlüğünü ve güvenliğini doğrulamasına olanak tanıyan bir kontrol ve denge sistemi bulunmalıdır.”