Bilinmeyen bilgisayar korsanları, Siber Güvenlik ve Altyapı Güvenlik Ajansı'na (CISA) sızmak için Ivanti yazılımındaki güvenlik açıklarından yararlandı ve ağlarında önemli bir ihlale yol açtı. Bu CISA siber saldırısı, ajansı ihlale yanıt olarak önemli sistemleri kapatmaya zorladı.
Tüm ABD hükümetinin altyapı ve siber güvenliğinin birincil koruyucusu olan CISA'nın hedeflemesi, saldırının karmaşıklığının altını çiziyor.
Yaklaşık bir ay önce CISA, hayati önem taşıyan yazılımı Ivanti ürünlerinin istismar amacıyla kullanıldığını gösteren bir faaliyet tespit etti.
CISA Siber Saldırı Kurtarma
CISA'nın röportaj yaptığı bir sözcüye göre Siber Güvenlik DalışıTeşkilat, tedbir amaçlı olarak ele geçirilen iki sistemi derhal çevrimdışına aldı. Neyse ki bu dönemde operasyonel faaliyetler etkilenmedi.
Bir CISA sözcüsü, “Yaklaşık bir ay önce CISA, ajansın kullandığı Ivanti ürünlerindeki güvenlik açıklarından yararlanıldığını gösteren bir faaliyet tespit etti” dedi.
Bu olaydan önce CISA, Şubat ayı sonlarında Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerindeki bilinen güvenlik açıklarından yararlanan siber tehdit aktörlerine ilişkin bir uyarı yayınlamıştı.
Güvenli ağ erişiminin ayrılmaz bir parçası olan bu ürünler, yetkisiz erişim isteyen kötü niyetli aktörlerin hedefi haline gelmişti.
CISA Daha Geniş Etkilerle Hacklendi
CISA'nın altyapısındaki ihlal, iki kritik sistemin tehlikeye girmesiyle ortaya çıktı. Etkilenen sistemlerden biri, ABD altyapısının karşılıklı bağımlılığına ilişkin önemli bilgileri barındıran Altyapı Koruma (IP) Ağ Geçidiydi. Güvenliği ihlal edilen diğer sistem, özel sektörün kimyasal güvenlik planlarını yönetmekten sorumlu olan Kimyasal Güvenlik Değerlendirme Aracı (CSAT) idi.
Cyber Express, bu siber saldırı hakkında daha fazla bilgi edinmek için CISA'ya ulaştı. Ancak bu yazının yazıldığı sırada hackerlarla ilgili resmi bir açıklama alınmadı. Ancak CISA'nın, güvenlik açıklarının ilk tespitinin ardından Ivanti ürünlerinin sistemlerinden bağlantısını keserek önlem aldığı doğrulandı.
Ivanti ürünlerindeki güvenlik açıklarından yararlanma yalnızca CISA ile sınırlı değildi. Tehdidin daha geniş etkileri oldu ve federal ve uluslararası siber yetkililerin Şubat ayı sonlarında küresel bir uyarı yayınlamasına neden oldu. Güçlü olay müdahale planlarına sahip olmanın önemi vurgulanarak, Ivanti ürünlerini kullanan kuruluşların sistemlerini güvence altına almak için acil adımlar atması tavsiye edildi.
Ivanti Güvenlik Açığı
Ivanti güvenlik açığı veya CVE-2024-22024 (XXE), Ivanti Connect Secure ve Ivanti Policy Secure ürünlerini etkiledi ve CISA siber saldırısına bağlı bağlantının bir parçasıydı. Ulusal Siber Güvenlik Merkezi'ne (NCSC) göre Ivanti güvenlik açığı, “ICS (9.x, 22.x) ve IPS'nin web bileşeninde bulunan ve uzaktaki bir saldırganın kontrol kontrollerini atlayarak kısıtlı kaynaklara erişmesine izin veren bir kimlik doğrulama atlama güvenlik açığıdır” .”
Dahili kod incelemesi sırasında keşfedilen ve watchTowr tarafından açıklanan bu güvenlik açığı, Ivanti Connect Secure'un belirli sürümlerini (9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 ve 22.5R2.2) etkiledi. ), Ivanti Policy Secure (22.5R1.1) ve ZTA (22.6R1.3).
Etkilenen sürümler için yama güncellemeleri kullanıma sunuldu. Sağlanan hafifletme etkili oldu ve Ocak veya Şubat ayında yayınlanan yamayı uygulayanların cihazlarını sıfırlamalarına gerek kalmadı.
Ancak güvenlik yamaları haftalarca süren istismar faaliyetlerinden sonra yayımlandı ve güvenlik açığı değerlendirmesini ve bunun daha geniş sonuçlarını ortaya çıkardı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.