Ivanti, bugün tehdit aktörlerinin sınırlı sayıda müşteriyi hedef alan saldırılarda Bulut Hizmetleri Cihazı (CSA) güvenlik açığından daha yararlandığı konusunda uyardı.
CVE-2024-8963 olarak izlenen bu yönetici atlama güvenlik açığı, bir yol geçiş zayıflığından kaynaklanır. Başarılı bir istismar, uzaktan kimliği doğrulanmamış saldırganların güvenlik açığı olan CSA sistemlerindeki (kurumsal kullanıcılara dahili ağ kaynaklarına güvenli erişim sağlamak için ağ geçidi olarak kullanılan) kısıtlı işlevlere erişmesine olanak tanır.
Saldırganlar, CVE-2024-8963’ü CVE-2024-8190 ile zincirleyen istismarları kullanıyorlar. Bu istismarlar, son olarak düzeltilen ve Cuma günü aktif olarak istismar edildiği etiketlenen yüksek öneme sahip bir CSA komut enjeksiyon hatasıdır. Bu sayede, yönetici kimlik doğrulamasını atlatıp yama uygulanmamış cihazlarda keyfi komutlar yürütüyorlar.
Ivanti bugün yaptığı açıklamada, “Bu güvenlik açığı, Ivanti’nin 13 Eylül’de ifşa ettiği istismarı araştırırken keşfedildi.” dedi.
“Bu güvenlik açığının temel nedenini değerlendirirken, sorunun 519 numaralı yamada yer alan bazı işlevlerin kaldırılmasıyla tesadüfen çözüldüğünü keşfettik.”
Ivanti, yöneticilere, istismar girişimlerini tespit etmek için uç nokta algılama ve yanıt (EDR) veya diğer güvenlik yazılımlarından gelen uyarıları ve yeni veya değiştirilmiş yönetici kullanıcılarının yapılandırma ayarlarını ve erişim ayrıcalıklarını incelemelerini öneriyor.
Ayrıca, istismar riskini önemli ölçüde azaltmak için dahili ağ olarak eth0’ın kullanıldığı çift ana bilgisayarlı CSA yapılandırmalarını da sağlamalılar.
Şirket Perşembe günü ayrıca “Eğer bir uzlaşmadan şüpheleniyorsanız, Ivanti’nin önerisi CSA’nızı 519 numaralı yamayla (09/10/2024’te yayımlandı) yeniden oluşturmanızdır. Mümkünse CSA 5.0’a geçmenizi şiddetle tavsiye ederiz” diye uyardı.
“Ivanti CSA 4.6, Kullanım Ömrü Sonu’ndadır ve artık işletim sistemi veya üçüncü taraf kütüphaneleri için yamalar almamaktadır. Ayrıca, kullanım ömrü sonu durumuyla birlikte 10 Eylül’de yayımlanan düzeltme, Ivanti’nin bu sürüme geri taşınacağı son düzeltmedir.”
Federal kurumlar mümkün olan en kısa sürede yama yapmalı
CISA ayrıca Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna CVE-2024-8190 ve CVE-2024-8963 Ivanti CSA açıklarını da ekledi.
Federal Sivil Yürütme Organı (FCEB) kurumları, Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca, sırasıyla 4 Ekim ve 10 Ekim tarihlerine kadar üç hafta içinde savunmasız cihazları yamalamak zorunda.
Şirket geçen hafta, dahili tarama ve test yeteneklerini artırdığını ve olası güvenlik sorunlarını daha hızlı ele almak için sorumlu açıklama sürecini iyileştirdiğini söyledi.
Son aylarda, şirketin VPN cihazları ile ICS, IPS ve ZTA ağ geçitlerini hedef alan yaygın saldırılarda, Ivanti’deki çeşitli açıklar sıfır gün açığı olarak kullanıldı.
Ivanti, “Bu durum keşif ve ifşada artışa neden oldu ve CISA’nın, CVE’lerin sorumlu bir şekilde keşfedilmesi ve ifşa edilmesinin ‘sağlıklı kod analizi ve test topluluğunun bir işareti’ olduğu yönündeki açıklamasına katılıyoruz” diye itiraf etti.
Ivanti, dünya çapında 7.000’den fazla ortağı olduğunu ve 40.000’den fazla şirketin sistemlerini ve BT varlıklarını yönetmek için ürünlerini kullandığını söylüyor.