Ivanti, yeni bir blog yazısında başka bir güvenlik açığı bulduğunu söylüyor ve müşterileri “tamamen korunduğunuzdan emin olmak için derhal harekete geçmeye” çağırıyor.
Bu güvenlik açığı yalnızca sınırlı sayıda desteklenen sürümü etkiler: Ivanti Connect Secure (sürüm 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ve 22.5R1.1), Ivanti Policy Secure sürüm 22.5R1.1 ve ZTA sürüm 22.6R1.3.
Lütfen bu güvenlik açığına yönelik hiçbir zaman yama görmeyen, desteklenmeyen sürümlerin olabileceğini satır aralarında okuyun.
Ivanti Connect Secure (sürümler 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 ve 22.6R2.2), Ivanti Policy Secure için artık bir yama mevcut (9.1R17.3, 9.1R18.4 ve 22.5R1.2 sürümleri) ve ZTA ağ geçitleri (22.5R1.6, 22.6R1.5 ve 22.6R1.7 sürümleri).
Müşteriler yamaya standart indirme portalı aracılığıyla erişebilir (oturum açmanız gerekir). Talimatlar en azından biraz karmaşık. Mevcut tüm farklı versiyonlar nedeniyle talimatları dikkatlice okumak zorunludur.
Müşteriler, azaltmanın nasıl uygulanacağına ve her sürüm kullanıma sunulduğunda yamanın nasıl uygulanacağına ilişkin ayrıntılı talimatlar için bu KB makalesini okuyabilir. Güncellemeleri almak için lütfen KB makalesini takip ettiğinizden emin olun. Sorularınız varsa veya daha fazla desteğe ihtiyacınız varsa lütfen Başarı Portalı’nda bir vaka kaydı yapın ve/veya aranma talebinde bulunun.
Dikkat edilmesi gereken önemli:
- 31 Ocak veya 1 Şubat’ta yayınlanan yamayı uygulayan ve cihazlarında fabrika ayarlarına sıfırlama işlemini gerçekleştiren müşterilerin, cihazlarını tekrar fabrika ayarlarına sıfırlamasına gerek yoktur.
- Müşteriler bu yeni yayımlanan yamayı uyguladıktan sonra, hafifletici önlemleri veya 31 Ocak ve 1 Şubat’ta yayımlanan yamaları uygulamalarına gerek kalmayacak.
Güvenlik açığı
CVSS puanı 10 üzerinden 8,3 olan CVE-2024-22024 olarak listelenen güvenlik açığı, bir saldırganın kimlik doğrulaması olmadan belirli kısıtlı kaynaklara erişmesine olanak tanıyor.
XML harici varlık enjeksiyonu (XXE), bir saldırganın bir uygulamanın XML verilerini işlemesine müdahale etmesine olanak tanıyan bir web güvenlik açığıdır. Genellikle bir saldırganın uygulama sunucusu dosya sistemindeki dosyaları görüntülemesine ve/veya uygulamanın kendisinin erişebileceği herhangi bir arka uç veya harici sistemle etkileşime girmesine olanak tanır.
Ivanti, XXE güvenlik açığını Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) ve ZTA ağ geçitlerinin SAML bileşeninde buldu.
Ivanti, güvenlik açığının dahili kod incelemeleri sırasında ortaya çıktığını iddia ettiğinden, halihazırda bir istismarın mevcut olması pek olası değil, ancak bu tür bir güvenlik açığından yararlanmak genellikle kolaydır, dolayısıyla bunun uzun sürmeyeceği de muhtemeldir.
Her ne kadar oldukça ikna edici bir örnek görmüş olsak da iddia bunu kendilerinin bulamadığını:
Ivanti’ye göre müşterilerin CVE-2024-22024 tarafından istismar edildiğine dair herhangi bir kanıttan habersizler.
Sadece bir hafta önce, FCEB kurumları hafta sonundan önce savunmasız Ivanti ürünlerinin bağlantısını kesme talimatı aldı. Bunun nedeni, 11 Ocak 2024’te yazdığımız çok sayıda Ivanti güvenlik açığının yanı sıra, 31 Ocak 2024’te iki yeni yüksek önem dereceli kusur hakkında uyarıların verilmesiydi.
Toplamda, 10 Ocak’tan bu yana Ivanti ürünlerinde beş güvenlik açığı rapor edildi. Ve bunlardan en az üçü aktif sömürüye maruz kalıyor.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.