Tehdit aktörleri, tespit edilen beş güvenlik açığını gidermeye devam ediyor yakın zamanda Ivanti VPN cihazlarında açıklandı. Bu hafta araştırmacılar, saldırganların hedef ağlara kalıcı uzaktan erişim için daha önce hiç görülmemiş bir arka kapı enjekte ettiğini ve şimdiye kadar kitlesel bir sömürü kampanyasında 670’den fazla BT altyapısının tehlikeye atıldığını söyledi.
Ivanti, 31 Ocak’ta güvenlik açığını (CVE-2024-21893 olarak izlenen SAML bileşenindeki sunucu tarafı istek sahteciliği güvenlik açığı) açıkladı. ek yeni hata ve düzeltmeler daha önce açıklanan iki kusur için. 3 Şubat’ta Orange Cyberdefense’deki araştırmacılar, cihaz içindeki yasal bir kayıt modülünden sonra “DSLog” adı verilen yeni bir arka kapının bulaştığı, güvenliği ihlal edilmiş bir Ivanti cihazını tespit etti.
Cyberdefense’in yeni danışma belgesinde, “Bu cihazda ilk XML azaltımı (API uç noktaları engellendi) mevcuttu ancak henüz ikinci azaltma (veya düzeltme eki) yapılmadı” diye açıklandı. Raporda, daha yakından incelendiğinde arka kapının “ilginç” olduğu ortaya çıktı çünkü temel bir “API anahtarı” mekanizmasıyla kontrol ediliyordu. Ayrıca, Ivanti hatalarını hedefleyen kampanyalarda kullanılan önceki web kabuklarından farklıdır: 1), çünkü web kabuğu, temastan sonra bir durum mesajı döndürmez, dolayısıyla bunu doğrudan tespit etmenin bilinen bir yolu yoktur; ve 2), DSLog cihaz başına benzersiz bir karma kullanır. Firma, “Bu karma, başka bir cihazda uygulanan aynı arka kapıyla iletişim kurmak için kullanılamaz” dedi.
Cyberdefense, raporunda Ivanti Bütünlük Denetleyicisi Aracının güvenlik ihlali tespiti için tamamen doğru bir yöntem olmadığı, ancak yararlı bir araç olmaya devam ettiği konusunda uyardı.
Rapora göre siber ekipler bu kutuları işaretleyebilirse sistemleri muhtemelen temiz demektir:
-
cihazınız erkenden hafifletildi (11 Ocak civarında)
-
hiçbir tarihsel BİT ya da harici BİT taraması uzlaşma belirtisi göstermedi,
-
ve altyapının geri kalanında IOC’lerde, günlüklerde veya güvenlik çözümlerinden gelen uyarılarda başka hiçbir şüpheli davranış bulunamadı.
Araştırmacılar, “Eğer bunlar doğruysa, o zaman cihaz muhtemelen tehlikelerden uzaktır” diye ekledi.
Bu, tehdit aktörlerinin ilk örneği değil Çin destekli devlet siber saldırganları, öncü kötü amaçlı yazılımları ortadan kaldırıyor korumasız Ivanti sistemlerinde. Siber savunma raporu güvenliği ihlal edilmiş herhangi bir Ivanti cihazının veya Çinli tehdit aktörlerinin potansiyel hedefinin tam yama ile fabrika ayarlarına sıfırlama yapması gerektiğini tavsiye etti. Cyberdefense ekibi, Ivanti’nin mevcut bir yaması olmayan versiyonlarının bulunduğunu ve bu durumda siber ekiplere geçici bir çözüm olarak XML hafifletme yöntemini uygulamaları ve daha kalıcı bir yama için tekrar kontrol etmeye devam etmeleri önerildiğini ekledi.