Ivanti, müşterilerini, NATO Siber Güvenlik Merkezi araştırmacıları tarafından bildirilen kritik öneme sahip Bağımsız Nöbetçi güvenlik açığını derhal düzeltmeleri konusunda uyardı.
Bağımsız Sentry, bir kuruluşun Kerberos Anahtar Dağıtım Merkezi Proxy (KKDCP) sunucusu olarak veya ActiveSync özellikli Exchange ve Sharepoint sunucuları için ağ geçidi denetleyicisi olarak dağıtılır.
CVE-2023-41724 olarak takip edilen güvenlik açığı, desteklenen tüm sürümleri etkiliyor ve aynı fiziksel veya mantıksal ağ içindeki kimliği doğrulanmamış kötü aktörlerin, düşük karmaşıklıktaki saldırılarda rastgele komutlar yürütmesine olanak tanıyor.
Ivanti ayrıca, Neurons for ITSM BT hizmet yönetimi çözümünde, düşük ayrıcalıklara sahip bir hesaba erişime sahip uzak tehdit aktörlerinin “web uygulaması kullanıcısı bağlamında” komutları yürütmesine olanak tanıyan ikinci bir kritik güvenlik açığını (CVE-2023-46808) düzeltti.
Bu yama ITSM Bulut ortamları için tüm Ivanti Neuron'lara halihazırda uygulanmış olsa da şirket içi dağıtımlar hâlâ potansiyel saldırılara karşı savunmasızdır.
Şirket, bu iki güvenlik açığının vahşi ortamda istismar edildiğine dair hiçbir kanıt bulamadığını da sözlerine ekledi.
Ivanti, “Şu anda standart indirme portalı aracılığıyla kullanılabilen bir yama var. Müşterilerimizin, tam olarak korunduklarından emin olmak için hemen harekete geçmelerini şiddetle tavsiye ediyoruz” dedi.
“Açıklama sırasında herhangi bir müşterinin bu güvenlik açığından yararlandığının farkında değiliz.”
Ivanti cihazları saldırı altında
Yılın başından bu yana, ulus devlet aktörleri birden fazla Ivanti güvenlik açığını sıfır gün olarak (yani CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 ve CVE-2024-21893) kullandı. Çok çeşitli tehdit aktörleri, çeşitli özel kötü amaçlı yazılım türlerini dağıtmak için bunları daha büyük ölçekte kullanmaya başladı.
Geçen ay 13.000'den fazla Ivanti Connect Secure ve Policy Secure uç noktası aynı güvenlik hatalarını hedef alan saldırılara karşı hâlâ savunmasızdı.
Bir ay önce CISA, federal kurumlara Ivanti Connect Secure ve Policy Secure sistemlerini yaygın saldırılarda hedeflenen sıfır gün kusurlarına karşı derhal güvence altına almalarını emreden bu yılın ilk acil durum direktifini yayınladı.
ABD siber güvenlik kurumu, acil durum direktifini yaklaşık iki hafta sonra değiştirerek, kurumlara tüm savunmasız Ivanti VPN cihazlarının bağlantısını mümkün olan en kısa sürede kesmelerini ve onları tekrar çevrimiçi hale getirmeden önce yamalı yazılımla yeniden inşa etmelerini emretti.
Birkaç şüpheli Çinli tehdit grubu, üç yıl önce CVE-2021-22893 olarak takip edilen başka bir Connect Secure sıfır gün kullanarak Avrupa ve Amerika Birleşik Devletleri'ndeki düzinelerce hükümet, savunma ve finans kuruluşuna saldırı düzenledi.