Bugün Ivanti, Connect Secure, Policy Secure ve ZTA ağ geçitlerini etkileyen iki güvenlik açığının daha olduğu konusunda uyardı; bunlardan biri halihazırda aktif olarak istismar edilen sıfır gün hatasıdır.
Sıfır gün kusuru (CVE-2024-21893), ağ geçitlerinin SAML bileşeninde bulunan ve saldırganların kimlik doğrulamasını atlamasına ve güvenlik açığı bulunan cihazlardaki kısıtlı kaynaklara erişmesine olanak tanıyan, sunucu tarafı istek sahteciliği güvenlik açığıdır.
Ağ geçitlerinin web bileşenindeki ikinci bir kusur (CVE-2024-21888), tehdit aktörlerinin ayrıcalıkları bir yöneticinin ayrıcalıklarına yükseltmesine olanak tanıyor.
“10 Ocak’ta Ivanti Connect Secure, Ivanti Policy Secure ve ZTA ağ geçitlerinde bildirilen güvenlik açıklarına ilişkin devam eden araştırmamızın bir parçası olarak yeni güvenlik açıkları keşfettik. Bu güvenlik açıkları desteklenen tüm sürümleri etkiliyor – Sürüm 9.x ve 22.x.” şirket bugün söyledi.
“Şu anda herhangi bir müşterinin CVE-2024-21888’den etkilendiğine dair bir kanıtımız yok. Şu anda yalnızca az sayıda müşterinin CVE-2024-21893’ten etkilendiğini biliyoruz.”
Ivanti, “Tamamen korunduğunuzdan emin olmak için derhal harekete geçmeniz kritik önem taşıyor.” diye uyardı.
Ivanti, etkilenen bazı ZTA ve Connect Secure sürümleri için her iki kusuru da gidermek üzere güvenlik yamaları yayınladı ve hâlâ bir yama bekleyen cihazlar için hafifletme talimatları sağlıyor.
Aktif olarak yararlanılan iki sıfır gün için yamalar
Şirket ayrıca, Ocak ayının başında açıklanan diğer iki sıfır gün için de yamaları bugün yayınladı: kimlik doğrulama bypass’ı (CVE-2023-46805) ve komut enjeksiyonu (CVE-2024-21887) ve bu yamalar, savunmasız ICS’ye kötü amaçlı yazılım dağıtmak için yaygın saldırılarla zincirlendi. 11 Ocak’tan bu yana IPS ve ZTA ağ geçitleri.
Ivanti ayrıca saldırı girişimlerini engellemek için hafifletici önlemler ve güvenliği ihlal edilmiş cihazların geri yüklenmesine ve tekrar çevrimiçi hale getirilmesine yardımcı olmak için tasarlanmış kurtarma talimatlarını da yayınladı.
Tehdit izleme platformu Shadowserver şu anda Amerika Birleşik Devletleri’nde 7.200’den fazla olmak üzere 24.700’den fazla İnternet’e açık ICS VPN ağ geçidini izliyor (Shodan ayrıca 22.000’den fazla Ivanti ICS VPN’in çevrimiçi olarak açığa çıktığını görüyor).
Gölge sunucusu aynı zamanda takip ediyor Yalnızca 30 Ocak’ta keşfedilen 460’tan fazla güvenliği ihlal edilmiş cihazla dünya çapında günlük olarak güvenliği ihlal edilmiş Ivanti VPN örnekleri.
CISA ayrıca 2024’ün ilk acil durum direktifini (ED 24-01) yayınlayarak federal kurumlara birden fazla tehdit aktörünün kitlesel istismarına yanıt olarak CVE-2023-46805 ve CVE-2024-21887 Ivanti sıfır gün kusurlarını derhal azaltmalarını emretti.
Zincirlendiğinde, iki sıfır gün, saldırganların kurbanların ağlarında yatay olarak hareket etmesine, verileri çalmasına ve arka kapılar açarak kalıcı erişim kurmasına olanak tanır.
Şu ana kadar keşfedilen kurbanların listesi dünya çapındaki hükümet ve askeri kuruluşları, ulusal telekom şirketlerini ve savunma yüklenicilerinin yanı sıra bankacılık, finans ve muhasebe kuruluşları ile havacılık, havacılık ve teknoloji firmalarını da içeriyor.
Hepsinin boyutları, küçük işletmelerden en büyük çok uluslu holdinglere kadar, çeşitli sanayi sektörlerinden çok sayıda Fortune 500 şirketi de dahil olmak üzere önemli ölçüde farklılık göstermektedir.
Mandiant, bu kapsamlı saldırılarda, tehdit aktörlerinin kimlik bilgilerini çalmasına, web kabuklarını dağıtmasına ve ek kötü amaçlı yükleri düşürmesine yardımcı olan beş özel kötü amaçlı yazılım türünün konuşlandırıldığını buldu.
Volexity ve GreyNoise ayrıca saldırganların bazı kurbanların güvenliği ihlal edilmiş sistemlerine XMRig kripto para madencilerini ve Rust tabanlı kötü amaçlı yazılım yüklerini dağıttığını da gözlemledi.