Dalış Özeti:
- Federal siber yetkililer ve araştırmacılar, saldırganların Ivanti Connect Secure da dahil olmak üzere birçok Ivanti ürünündeki sıfır gün güvenlik açığından yararlandıkları konusunda uyarıyor.
- Ivanti kabul etti CVE-2025-0282 Çarşamba günü yapılan açıklama sırasında zaten istismar edilmişti. bir tavsiye yayınladı ve bir yama yayınladı kimliği doğrulanmamış kritik yığın tabanlı arabellek taşması güvenlik açığı için. Siber Güvenlik ve Altyapı Güvenliği Ajansı CVE-2025-0282’yi bilinen istismar edilen güvenlik açıkları kataloğuna ekledi Çarşamba günü.
- Mandiant, “Mandiant, Aralık 2024 ortasından itibaren CVE-2025-0282’nin sıfır gün istismarını tespit etti” dedi. Çarşamba tehdit istihbaratı özeti. “Başarılı bir istismar, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine neden olabilir ve bu da kurban ağının potansiyel olarak aşağı yönde tehlikeye atılmasına yol açabilir.”
Dalış Bilgisi:
Araştırmacılar, bir tehdit grubunun bir güvenlik açığını istismar etmesinden neredeyse tam bir yıl sonra keşfedilen sıfırıncı günün yaygın şekilde kullanılmasından endişe duyuyor. aynı Ivanti ürünündeki sıfır gün çifti.
Önceki sıfır gün sayısı, CVE-2023-46805 Ve CVE-2024-21887 vardı aylarca aktif olarak sömürüldüCISA da dahil olmak üzere birçok kuruluşu etkiliyor. Federal kurum, bir çift sisteminin saldırılardan etkilendiğini söyledi ancak hiçbir veri çalınmadı.
Yanıt ve kurtarma çabaları üzerinde Ivanti ile birlikte çalışan Mandiant, CVE-2025-0282’nin kullanılması sonrasında kullanılan kötü amaçlı yazılımlardan bazılarını, UNC5337 olarak tanımladığı Çin bağlantılı bir tehdit grubuna bağladı. Mandiant, grubun, Ocak 2024 gibi erken bir tarihte Ivanti Connect Secure cihazlarındaki önceki sıfır gün çiftini aktif olarak kullanan UNC5221’in bir parçası olduğundan şüpheleniyor.
“Bu çeşitli kod ailelerinin oluşturulmasından ve dağıtılmasından birden fazla aktörün sorumlu olması mümkündür, ancak bu raporun yayınlanması itibarıyla, CVE-2025-0282’yi hedef alan tehdit aktörlerinin sayısını doğru bir şekilde değerlendirmek için yeterli veriye sahip değiliz.” Mandiant araştırmacıları tehdit istihbaratı brifinginde şunları söyledi.
Mandiant tarafından gözlemlenen istismar sonrası faaliyetler arasında kurban ortamları arasında yanal hareket, günlük girişlerinin kaldırılması, ağ tüneli açma ve kimlik bilgileri toplama yer alıyor. Saldırganlar ayrıca sistemlere yama yapmaya çalışan bazı ağ güvenliği müdahalecilerini de kandırdı.
“Tehdit aktörü, yöneticileri bir sistemi başarıyla yükselttiklerini düşünmeleri için kandırmak amacıyla yeni bir teknik uyguladı. Mandiant Consulting CTO’su Charles Carmakal Çarşamba günü yaptığı açıklamada, “Tehdit aktörü, yasal sistem yükseltmelerini engellerken aynı zamanda sahte bir yükseltme ilerleme çubuğu görüntüleyen kötü amaçlı yazılım kullandı” dedi. LinkedIn gönderisi.
“Bu, başarılı bir güncellemenin ikna edici bir görüntüsünü yaratıyor; gerçekte kötü amaçlı yazılım, gerçek yükseltmenin gerçekleşmesini sessizce engelliyor. Bazı kuruluşlar, gerçekte yapmadıkları halde güvenlik açığını giderdiklerini varsayabilirler,” dedi Carmakal.
CISA ayrıca Çarşamba günü kuruluşlara çağrıda bulunan bir uyarı yayınladı: Ivanti örneklerinde kötü amaçlı etkinlikleri araştırın ve bulguları federal kuruma rapor edin.
Güvenlik tavsiyesinde Ivanti, “Açıklama sırasında CVE-2025-0282 tarafından istismar edilen sınırlı sayıda müşterinin Ivanti Connect Secure cihazının farkındayız” dedi. “Bu CVE’lerin Ivanti Policy Secure veya ZTA ağ geçitleri için Neurons’ta istismar edildiğinin farkında değiliz.”
Ivanti müşterileri, geçen yıl çeşitli ürünlerde aktif olarak istismar edilen birden fazla CVE’den etkilendi. Ivanti Bulut Hizmet Cihazı Ve Ivanti Uç Nokta Yöneticisi.