Bilgisayar korsanları, Fortune 500 firmaları, devlet kurumları ve savunma yüklenicileri dahil olmak üzere hedeflere kötü amaçlı yazılım ve kripto para madencilerini dağıtarak Ivanti VPN’deki sıfır gün güvenlik açıklarından yararlanıyor.
Bilgisayar korsanları, kötü amaçlı yazılım ve kripto para madencilerini dağıtmak için Ivanti VPN cihazlarındaki sıfır gün güvenlik açıklarından yararlanmaya çalışırken siber güvenlik endişeleri artıyor. CVE-2023-46805 ve CVE-2024-21887 olarak tanımlanan güvenlik açıkları, Ivanti Connect Secure (ICS) ve Ivanti Policy Secure Gateway cihazlarında keşfedildi ve saldırganların hedeflenen ana bilgisayarlarda uzaktan rastgele komutlar çalıştırarak Rust tabanlı bir kötü amaçlı yazılım yüklemesine olanak tanıdı. KrustyLoader.
“Eskiden Pulse Connect Secure ve Ivanti Policy Secure ağ geçitleri olarak bilinen Ivanti Connect Secure’da (ICS) güvenlik açıkları keşfedildi. Bu güvenlik açıkları, desteklenen tüm sürümleri (Sürüm 9.x ve 22.x) etkiliyor,” diye doğruladı Ivanti yakın zamanda yayınlanan bir danışma belgesinde.
CVE-2023-46805, CVSS puanı 8,2 olan bir Kimlik Doğrulama Baypas hatasıdır. Uzaktaki bir saldırganın Ivanti ICS 9.x, 22.x ve Ivanti Policy Secure’un web bileşenindeki kontrol kontrollerini atlamasına olanak tanır.
CVE-2024-21887, CVSS puanı 9,1 olan bir komut enjeksiyon güvenlik açığıdır. Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure web bileşenlerinde keşfedilir ve kimliği doğrulanmış bir yöneticinin, hazırlanmış istekler göndererek ve rastgele komutlar yürüterek Ivanti cihazlarından yararlanmasına olanak tanır.
Hedefler arasında Fortune 500 şirketleri, devlet daireleri, telekomünikasyon, savunma yüklenicileri, teknoloji firmaları, bankacılık, finans, muhasebe kurumları, danışmanlık hizmetleri ve havacılık kuruluşları dahil olmak üzere küresel küçükten büyüğe işletmeler yer alıyor.
Sorunlar ilk olarak Volexity tarafından rapor edildi ve buna göre bu güvenlik açıklarından 3 Aralık 2023 gibi erken bir tarihte sıfır gün olarak yararlanıldı. Bu istismardan sorumlu olarak UTA0178 (Mandiant tarafından UNC5221 olarak takip edilen) adlı Çinli bir tehdit aktörü belirlendi. Volexity, bir saldırganın birden fazla dahili ve harici web sunucusunda web kabukları çalıştırdığını tespit ettikten sonra uyarıldı.
Şirket bir araştırma başlattı ve Aralık 2023’te GIFTEDVISITOR web kabuğunu kullanan 2.100’den fazla güvenliği ihlal edilmiş Ivanti Connect Secure VPN cihazı keşfetti. Ocak 2024’te yapılan yeni bir tarama, güvenliği ihlal edilmiş 368 cihazı daha ortaya çıkardı.
Araştırmacılar, güvenliği ihlal edilmiş bir Connect Secure VPN cihazını incelediler ve UTA0178’in yerleşik Bütünlük Denetleyicisi Aracında değişiklikler yaparak aracın yeni veya uyumsuz dosyalar raporlamamasına neden olduğunu buldu.
Synacktiv araştırmacısı Théo Letailleur kapsamlı bir araştırma gerçekleştirdi ve tehdit aktörlerinin bir XMRig kripto para madencisini kurmak ve uzak bir sunucudan Golang tabanlı bir Sliver arka kapısını çalıştırmak için Ivanti’nin sıfır günlerinden yararlandığını keşfetti.
KrustyLoader, güvenliği ihlal edilmiş ana bilgisayarlarda Sliver’ı indirmek/yürütmek için bir yükleyici görevi gördü. Rust dilini temel aldığı için kötü amaçlı yazılımın davranışını tam olarak anlamak zordur.
Bishop Fox’s Sliver, siber suçluların güvenliği ihlal edilmiş sistemler üzerinde kontrolü sürdürmeleri için tasarlanmış bir istismar sonrası araç setidir. 2023 yılında kolluk kuvvetlerinin Cobalt Strike’ın “kırılmış” versiyonlarını kapatmaya çalışmasının ardından siber suçlular arasında popülerlik kazandı.
Arka kapı, ağ casusluğu, komut yürütme, yansıtıcı DLL’leri yükleme ve oturum açma dahil olmak üzere kapsamlı işlevler sunar. Synacktiv, tüm örneklerin Sliver’ı farklı URL’lerden indirdiğini ve HTTP/HTTPS iletişimini kullanarak C2 ile bağlantı kurduğunu bildirdi.
Ivanti’nin tavsiyesi, CVE-2024-21887 ve CVE-2023-46805’in birlikte kullanılması halinde, bir saldırganın kimlik doğrulaması yapılmadan yama uygulanmamış sistemlere kötü amaçlı istekler göndererek keyfi komut yürütülmesine izin verebileceğini öne sürüyor.
Ivanti ve Mandiant 2100’den fazla sistem açığını gidermek için çalışıyor ve 30 Ocak için bir yama planlandı. Ancak şu anda herhangi bir yama mevcut değil.
İLGİLİ MAKALELER
- GNU C Kütüphanesinde Kritik Kusurlar Bulundu, Başlıca Linux Dağıtımları Risk Altında
- Aşırı Genişleme Kusurları Jenkins Sunucularını Saldırılara Açık Bırakıyor
- Kritik “PixieFail” Kusurları Milyonlarca Cihazı Siber Saldırılara Maruz Bırakıyor
- TeamViewer Uzaktan Erişim Sağlamak ve Fidye Yazılımını Dağıtmak İçin Suistimal Edildi
- Windows Defender SmartScreen Kusuru Phemedrone Stealer ile Kullanıldı