BT güvenlik yazılımı şirketi Ivanti, Connect Secure ve Policy Secure ağ geçitlerini etkileyen birden fazla güvenlik açığını gidermek için yamalar yayınladı.
Kimliği doğrulanmamış saldırganlar, uzaktan kod yürütme elde etmek ve kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda yama yapılmamış cihazlarda hizmet reddi durumlarını tetiklemek için CVE-2024-21894 olarak izlenen yüksek önem dereceli bir kusur olan bunlardan birini kullanabilir.
Güvenlik açığı, desteklenen tüm ağ geçidi sürümlerinin IPSec bileşenindeki yığın taşması zayıflığından kaynaklanıyor.
Ivanti, uzaktan kod yürütme risklerinin “belirli koşullarla” sınırlı olduğunu söylese de şirket, savunmasız yapılandırmalar hakkında ayrıntılı bilgi vermedi.
Ivanti, “Açıklama sırasında herhangi bir müşterinin bu güvenlik açıklarından yararlandığının farkında değiliz” diye ekledi.
Şirket bugün aynı ürünleri etkileyen ve kimliği doğrulanmamış tehdit aktörleri tarafından DoS saldırıları için kullanılabilecek üç güvenlik açığını da daha yamaladı:
- CVE-2024-22052: IPSec bileşeninde bir boş işaretçi referansı güvenlik açığı
- CVE-2024-22053: IPSec bileşeninde yığın taşması güvenlik açığı
- CVE-2024-22023: SAML bileşeninde bir XML varlık genişletmesi veya XEE güvenlik açığı
Ivanti, bu Bilgi Bankası Makalesinde günümüzün güvenlik yamalarına erişme ve bunları uygulama konusunda ayrıntılı talimatlar sunmaktadır.
İnternet'e açık hizmetleri ve cihazları keşfetmek için kullanılan bir arama motoru olan Shodan, şu anda çevrimiçi olarak açığa çıkan 29.000'den fazla Ivanti Connect Secure VPN ağ geçidini izliyor, tehdit izleme platformu Shadowserver ise 18.000'den fazlasını görüyor.
Ulus devlet aktörleri bu yıl Ivanti yazılımındaki çok sayıda güvenlik açığından yararlanıyor ve binlerce Ivanti Connect Secure ve Policy Secure uç noktası hâlâ risk altında.
Bu güvenlik açıkları (yani CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 ve CVE-2024-21893), diğer saldırganların özel kötü amaçlı yazılım yaymak amacıyla yaygın saldırılarda bunları istismar etmesinden önce sıfır gün olarak kullanıldı.
Buna yanıt olarak ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara Ivanti sistemlerini sıfır gün kusurlarını kullanan saldırılara karşı korumalarını emreden bir acil durum talimatı yayınladı.
Yönerge daha sonra, kurumların savunmasız Ivanti VPN cihazlarının bağlantısını kesmesini ve onları tekrar çevrimiçi hale getirmeden önce yamalı yazılımla yeniden oluşturmasını gerektirecek şekilde değiştirildi.
Üç yıl önce, şüpheli Çinli tehdit grupları, Amerika Birleşik Devletleri ve Avrupa'daki düzinelerce hükümet, savunma ve finans kuruluşuna sızmak için başka bir Connect Secure sıfır gününü (CVE-2021-22893) kullandı.