Ivanti, bilgisayar korsanlarının cihazlara kötü amaçlı yazılım yüklemek için sıfır gün saldırılarında CVE-2025-0282 olarak takip edilen Connect Secure uzaktan kod yürütme güvenlik açığından yararlandıkları konusunda uyarıyor.
Şirket, Ivanti Integrity Checker Tool’un (ICT) müşterilerin cihazlarında kötü amaçlı etkinlik tespit etmesinden sonra güvenlik açıklarından haberdar olduğunu açıkladı. Ivanti bir soruşturma başlattı ve tehdit aktörlerinin CVE-2025-0282’yi aktif olarak sıfır gün olarak kullandığını doğruladı.
CVE-2025-0282, 22.7R2.5 sürümünden önceki Ivanti Connect Secure, 22.7R1.2 sürümünden önceki Ivanti Policy Secure ve 22.7R2.3 sürümünden önceki ZTA ağ geçitleri için Ivanti Neurons’ta kritik (9.0) yığın tabanlı bir arabellek taşması hatasıdır. Kimliği doğrulanmamış bir saldırganın cihazlarda uzaktan kod yürütmesine olanak tanıyan.
Kusur her üç ürünü de etkilese de Ivanti, bu kusurun yalnızca Ivanti Connect Secure cihazlarında kullanıldığını gördüklerini söylüyor.
Ivanti’nin bir blog yazısında şöyle yazıyor: “Açıklama sırasında CVE-2025-0282 tarafından istismar edilen sınırlı sayıda müşterinin Ivanti Connect Secure cihazının farkındayız.”
“Bu CVE’lerin Ivanti Policy Secure veya ZTA ağ geçitleri için Neurons’ta istismar edildiğinin farkında değiliz.”
Ivanti, Ivanti Connect Secure için donanım yazılımı sürümü 22.7R2.5’te çözülen güvenlik yamalarını hızla yayınladı.
Ancak bugün yayınlanan bir güvenlik bültenine göre Ivanti Policy Secure ve ZTA Gateways için Ivanti Neurons yamaları 21 Ocak’a kadar hazır olmayacak.
Ivanti Policy Secure: Bu çözümün internete yönelik olması amaçlanmamıştır, bu da istismar riskini önemli ölçüde azaltır. Ivanti Policy Secure düzeltmesinin 21 Ocak 2025’te yayınlanması planlanıyor ve standart indirme portalında mevcut olacak. Müşteriler her zaman IPS cihazlarının Ivanti tavsiyelerine göre yapılandırıldığından ve internete açık olmadığından emin olmalıdır. Ivanti Policy Secure’da bu CVE’lerin istismar edildiğinin farkında değiliz.
ZTA Ağ Geçitleri için Ivanti Neurons: Ivanti Neurons ZTA ağ geçitleri üretim sırasında kullanılamaz. Bu çözüm için bir ağ geçidi oluşturulursa ve bir ZTA denetleyicisine bağlantısız bırakılırsa, oluşturulan ağ geçidinde kötüye kullanım riski ortaya çıkar. Düzeltmenin 21 Ocak 2025’te yayınlanması planlanıyor. Bu CVE’lerin ZTA Ağ Geçitlerinde istismar edildiğinden haberimiz yok.
Şirket, tüm Ivanti Connect Secure yöneticilerinin dahili ve harici ICT taramaları gerçekleştirmesini tavsiye ediyor.
Taramalar temiz çıkarsa Ivanti yine de yöneticilerin Ivanti Connect Secure 22.7R2.5’e yükseltme yapmadan önce fabrika ayarlarına sıfırlama yapmasını öneriyor.
Ancak taramalar bir tehlike belirtisi gösterirse Ivanti, fabrika ayarlarına sıfırlamanın yüklü tüm kötü amaçlı yazılımları kaldırması gerektiğini söylüyor. Cihaz daha sonra 22.7R2.5 sürümü kullanılarak tekrar üretime alınmalıdır.
Bugünkü güvenlik güncellemeleri aynı zamanda CVE-2025-0283 olarak takip edilen ve Ivanti’nin şu anda CVE-2025-0282 ile kullanılmadığını veya zincirlenmediğini söylediği ikinci bir güvenlik açığını da düzeltiyor. Bu kusur, kimliği doğrulanmış yerel bir saldırganın ayrıcalıklarını artırmasına olanak tanır.
Ivanti, saldırıları araştırmak için Mandiant ve Microsoft Tehdit İstihbaratı Merkezi ile birlikte çalıştığından, tespit edilen kötü amaçlı yazılımla ilgili raporları kısa süre içinde göreceğiz.
BleepingComputer, saldırılarla ilgili daha fazla soru sormak için Ivanti ile temasa geçti ve bir yanıt alırsak bu hikayeyi güncelleyecek.
Ekim ayında Ivanti, saldırılarda aktif olarak istismar edilen üç Bulut Hizmetleri Cihazının (CSA) sıfır gününü düzeltmek için güvenlik güncellemeleri yayınladı.