Tehdit avcıları hasarın kapsamını ve bir saldırının potansiyel etkisini belirlemek için çabalıyor. Üç Ivanti ürününü etkileyen kritik sıfır gün güvenlik açığıIvanti Connect Secure VPN cihazları dahil.
Shadowserver taramaları belirlendi 900’den fazla yama yapılmamış Ivanti Connect Secure örneği Pazar günü yaptığı açıklamada, cihazların muhtemelen istismara açık olduğunu söyledi. Shadowserver taramaları tarafından bulunan yamalı ve savunmasız örneklerin miktarı Perşembe günü 2.000’den fazla olan sayı düştü.
Kötü niyetli etkinlikleri analiz eden ve 175 ülkeyi kapsayan 200’den fazla ulusal bilgisayar güvenliği olay müdahale ekibiyle paylaşan kar amacı gütmeyen kuruluştan, bu örneklerin yamasız olduğunu nasıl bildiğini ancak henüz herhangi bir yanlış olumlu geri bildirim almadığını açıklaması istendi. Shadowserver CEO’su Piotr Kijewski Siber Güvenlik Dalışına Cuma günü e-posta yoluyla söyledi.
Araştırmacılar, Ivanti ürünlerindeki yazılım kusurlarıyla bağlantılı daha önceki siber saldırılar nedeniyle sıfır günün yaygın şekilde kullanılmasından özellikle endişe duyuyor.
“Motivasyonlu bir tehdit grubunun, belirli satıcıdan bağımsız olarak kuruluşların ortamlarında genellikle açıkta kalan bir yerde bulunan popüler bir teknolojide yeni bir saldırı vektörü bulabilmesi şaşırtıcı değil.” Caitlin Condon, Rapid7’nin güvenlik açığı istihbaratı direktörüe-posta yoluyla söyledi.
Kritik, doğrulanmamış yığın tabanlı arabellek taşması güvenlik açığı, CVE-2025-0282bir tehdit grubunun bir güvenlik açığını istismar etmesinden neredeyse tam bir yıl sonra keşfedildi. bir çift ayrı sıfır gün — CVE-2023-46805 Ve CVE-2024-21887 — aynı Ivanti ürününde.
Ivanti Connect Secure, yeni sıfır günün aktif kullanımından etkilendiği bilinen tek üründür, ancak CVE-2025-0282 aynı zamanda ZTA ağ geçitleri için Ivanti Policy Secure ve Ivanti Neurons’u da etkilemektedir.
Ivanti, ZTA ağ geçitleri için Ivanti Policy Secure veya Neurons’ta CVE-2025-0282’nin aktif olarak kullanıldığına dair bir kanıt görmediğini ve bu ürünler için 21 Ocak’ta bir yama yayınlamayı planladığını söyledi.
Şirket ayrıca yüksek önem derecesine sahip yığın tabanlı bir arabellek taşması güvenlik açığı keşfetti. CVE-2025-0283aynı üç Ivanti ürününü etkiliyor. Ivanti, “CVE-2025-0283’ün istismar edildiğine veya CVE-2025-0282 ile zincirlendiğine dair hiçbir göstergemiz yok” dedi. güvenlik danışmanlığı topluluk forumunda.
Yeni sıfır gün ile ilgili neler oluyor
Ivanti’nin müdahale ve kurtarma çabalarının zamanlaması ve tehdit gruplarının kamuya ifşa edilmeden önce aktif istismar gerçekleştirmesi için fırsat penceresi önemlidir.
Ivanti’nin Bütünlük Denetleyicisi Bir şirket sözcüsü Cuma günü e-posta yoluyla yaptığı açıklamada, aracın meydana geldiği gün CVE-2025-0282’nin aktif olarak kullanıldığını tespit ettiğini söyledi.
Yeni sıfır gün, Ivanti’nin Ivanti Connect Secure için bir yama yayınlamasından önce haftalarca aktif olarak kullanıldı ve güvenlik açığını kamuya açıkladı Çarşamba günü. Olay müdahale firması, Mandiant’ın Aralık 2024 ortasından itibaren sıfır günün aktif olarak kullanıldığını tespit ettiğini söyledi. Çarşamba tehdit istihbaratı özeti.
Ivanti sözcüsü, “Ivanti, bu tehdide yanıt vermek ve bir düzeltme yayınlamak için, ifşa edilmeden önce, önde gelen güvenlik uzmanları Mandiant ve Microsoft Threat Intelligence ile birlikte bilinen tüm etkilenen müşterilerle yakın işbirliği içinde çalıştı” dedi. “Bugüne kadar sömürü sınırlıydı.”
Açıklama sırasında Ivanti Connect Secure’da CVE için bir yama yayınlayan Ivanti, kaç müşterinin açıkta kaldığını veya aktif istismardan halihazırda etkilendiğini söylemedi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, Çarşamba günü bilinen istismar edilen güvenlik açıkları kataloğuna CVE-2025-0282’yi ekledi.
Cuma itibarıyla Censys şunları tespit etti: 33.500’den fazla kamuya açık Ivanti Connect Güvenli örnekleri. Censys, bir danışma belgesinde, internete yönelik örneklerin çoğunun (ki bu durumların sömürüye karşı savunmasız olmadığını) ABD ve Japonya’da bulunduğunu söyledi.
Condon, “Ağ uç cihazları, birçok satıcı ve ürün grubunda genel olarak saldırganlar için ana hedeflerdir” dedi. “Şu ana kadar CVE-2025-0282’de mevcut olan bilgilere göre, tehdit faaliyeti en azından kısmen daha önce bu cihazları hedef alan devlet destekli bir tehdit grubuna atfediliyor; bu da onların muhtemelen kaynaklara, güçlü motivasyona ve özel bilgiye sahip oldukları anlamına geliyor. Ivanti Connect Güvenli cihazlar.”
Kuruluşlar geçen yıl çeşitli Ivanti ürünlerinde aktif olarak istismar edilen çok sayıda güvenlik açığından etkilendi. Ivanti Bulut Hizmet Cihazı Ve Ivanti Uç Nokta Yöneticisi.