5 Nisan 2025 -Ivanti, IVanti Connect Secure, Pulse Connect Secure, Ivanti Politika Güvenli ve ZTA ağ geçitlerini etkileyen kritik bir güvenlik açığı olan CVE-2025-22457 için acil bir güvenlik danışmanlığı yayınladı.
9.0 CVSS skorunda derecelendirilen bu yığın tabanlı tampon taşması, 2025 yılının ortalarından beri aktif olarak kullanılmış ve bu VPN ve erişim çözümlerini kullanan kuruluşlar için ciddi bir risk oluşturmaktadır.
Aktif sömürü
Mantiant’a göre, 3 Nisan 2025’te açıklanan güvenlik açığı Mart ortasından beri sömürüldü.
Saldırılar, CVE-2023-46805 gibi geçmiş Ivanti sıfır günleri de dahil olmak üzere, kenar cihazlarını hedeflemekle bilinen şüpheli bir Çin devlet destekli grup olan UNC5221 ile bağlantılıdır. UNC5221, Trailblaze (bellek içi bir damlalık), Brushfire (bir arka kapı) ve kimlik hırsızlığı ve ağ geçişi için Spawn Suite gibi kötü amaçlı yazılımları dağıtır.
Ayrıca kütükleri manipüle etmek, algılamadan kaçınmak için spawnsloth gibi araçlar kullanırlar.
Kusur, 11 Şubat 2025’te Ivanti Connect Secure 22.7R2.6 sürümünde yamalandı, başlangıçta kısıtlı karakter seti (periyotlar ve sayılar) nedeniyle düşük riskli bir hizmet reddi sorunu olarak değerlendirildi.
Bununla birlikte, UNC5221 muhtemelen yamayı tersine mühendislik ederek, şiddetini artıran, eşleştirilmemiş sistemler için bir RCE istismarını hazırlamıştır.
Güvenlik Açığı Detayları
CVE-2025-22457, uzak, kimlik doğrulanmamış bir saldırganın keyfi kod (RCE) yürütmesini sağlayan yığın tabanlı bir tampon taşmasıdır (CWE-121).
Kusur, yetersiz giriş validasyonu nedeniyle meydana gelir ve saldırganların arabelleği taşmasına ve kötü amaçlı kod çalıştırmasına izin verir.
Ivanti, “Bu danışma, Ivanti Connect Secure’de (11 Şubat 2025’te piyasaya sürüldü) güvenlik açığının tamamen yamalandığını açıkça belirtmek için güncellendi” dedi.
Ivanti, Ivanti Connect Secure (22.7R2.5 veya önceki) ve Pulse Connect Secure 9.1x aletlerinin tehlikeye atıldığını bildirdi. Düzeltme detayları:
- Ivanti Connect Secure: Ivanti Portal’da bulunan 22.7R2.6 sürümüne yükseltin. Meydan okursa, bir fabrika sıfırlama yapın ve 22.7R2.6 ile yeniden konuşlandırın.
- Pulse Connect Secure: Desteklenmemiş bir ürün olarak, müşteriler güvenli bir platforma geçiş yapmak için Ivanti ile iletişime geçmelidir.
- Ivanti Politikası Güvenli: 21 Nisan 2025’te bir yama (sürüm 22.7R1.4) piyasaya sürülecek. Sömürü bildirilmemiştir ve internete bakan olmadığı için risk daha düşüktür.
- ZTA ağ geçitleri: Bir yama (sürüm 22.8R2.2) 19 Nisan 2025’te otomatik olarak uygulanacaktır. Risk sadece bağlantısız ağ geçitleri için mevcuttur; Hiçbir sömürü gözlenmemiştir.
Tespit ve yanıt
Ivanti, Web sunucusu çökmeleri gibi uzlaşmayı tespit etmek için Integrity Checker Aracı (BİT) kullanmayı tavsiye eder. Tespit edilirse, bir fabrika sıfırlama ve 22.7R2.6’ya yükseltme önerilir. Mantiant’ın blogu daha fazla uzlaşma göstergesi sunuyor. Bir x Gönder
@Nekono_naha, 12.471 maruz kalan Ivanti/Pulse Connect Güvenli sunucuların (8.246)% 66’sının, 9.x öncesi sürümlerde% 50 (6.049) ile savunmasız olduğunu ve acil eyleme ihtiyacını vurguladığını ortaya koydu.
Bu, Ivanti’nin CISA’nın bilinen sömürülen güvenlik açıkları kataloğuna 2024’ten bu yana 15. girişini işaret ediyor ve bu da kenar cihazlarıyla devam eden güvenlik sorunlarını vurguluyor.
UNC5221’in katılımı, Çin bağlantılı aktörler casusluk için altyapıyı hedefledikçe daha geniş jeopolitik kaygılara işaret ediyor.
Şubat yamasına rağmen gecikmiş açıklama, güvenlik açığı yönetimi boşluklarını ortaya çıkarır. Başlangıçta hafife alınan kusurun sömürülebilirliği, saldırganlara bir ay süren bir pencere verdi ve daha hızlı tehdit istihbarat paylaşımı ihtiyacının altını çizdi.
CVE-2025-22457’nin aktif sömürüsü, kenar cihazlarına karşı kalıcı tehditlerin altını çizmektedir.
UNC5221 gibi gruplar bu tür kusurları kullandıkça, kuruluşlar yama ve güvenli yapılandırmalara öncelik vermelidir.
Ivanti’nin yanıtı, desteklenen sistemler için riskleri azaltıyor, ancak desteklenmeyen platformlar, hızla gelişen bir tehdit manzarasında proaktif siber güvenlik önlemlerine duyulan ihtiyacı vurgulayarak bir zorluk olmaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!