Ivanti VPN cihazlarındaki güvenlik açıkları, uzak, kimliği doğrulanmamış bilgisayar korsanlarının hedeflenen cihazları tehlikeye atmasına, rastgele komutlar yürütmesine, dahili ağlara sızmasına ve hassas verileri çalmasına olanak tanır.
Tehdit istihbarat şirketi Volexity, Aralık 2023’ün ikinci haftasında keşfedilen iki Ivanti sıfır gün güvenlik açığından yararlanan saldırılarda bir artış olduğunu keşfetti.
Volexity’ye göre, Ivanti Connect Secure VPN cihazlarını kullanan en az 20 kuruluş, Ivanti’nin CVE-2023-46805 ve CVE-2024-21887 sıfır gün kusurlarından yararlanan siber saldırılarda ele geçirildi. Volexity, güvenliği ihlal edilen sistem sayısının muhtemelen keşfettiğinden daha yüksek olduğunu “orta güvenle” doğruladı.
Volexity araştırmacıları tarafından keşfedilen kusurlar, Ivanti Connect Secure VPN ve Policy Secure NAS cihazlarını etkiledi ve geçen hafta Avanti tarafından açıklandı.
10 Ocak’ta Volexity, Çin’e bağlı olduğu iddia edilen bir grup UTA0178’in, iç ağlara erişim sağlamak ve bilgi çalmak için bu güvenlik açıklarından yararlandığı konusunda uyardı. 11 Ocak’ta şirket, Ivanti VPN cihazlarına yönelik bir dizi hedefli saldırı gözlemledi ve bu da bu kusurların yaygın şekilde kullanılmasına neden oldu.
Bilginiz olsun diye söylüyorum, CVE-2023-46805, CVSS derecesi 8,2 olan ve Ivanti ICS 9.x, 22.x ve Ivanti Policy Secure’u etkileyen bir kimlik doğrulama atlama hatasıdır. İkinci kusur olan CVE-2024-21887, CVSS puanı 9,1 olan ve Ivanti Connect Secure 9.x, 22.x ve Ivanti Policy Secure’u etkileyen bir komut enjeksiyon güvenlik açığıdır.
Bunlar kötüye kullanılırsa, uzak, kimliği doğrulanmamış saldırganların keyfi komutlar yürüterek, dahili ağlara sızarak ve hassas verileri çalarak hedeflenen cihazların güvenliğini aşmasına olanak tanır.
Volexity, bilinmeyen bir APT grubunun Aralık 2023’te ICS VPN cihazlarına ilk saldırıları başlattığını ve casusluk için kötü amaçlı yazılım araç kitleri indirdiğini belirtti. O zamandan bu yana çok sayıda tehdit aktörü, GIFTEDVISITOR web kabuğu varyantını kullanarak yüzlerce cihaza ve arka kapılı hedef sistemlerine saldırdı.
Araştırmacılar, 50.000 Ivanti VPN bağlantılı IP’yi taradıktan sonra, 14 Ocak 2023 itibarıyla 1.700’den fazla ICS VPN cihazının ele geçirildiğini ortaya çıkardı. Kurbanların en yüksek yüzdesi ABD ve Avrupa’da görüldü ve hükümet, askeriye, telekomünikasyon, savunma, teknoloji, bankacılık, finans, muhasebe, havacılık, havacılık ve mühendislik sektörlerindeki Fortune 500 şirketlerine kadar küçük ölçekli işletmeler etkilendi.
Mandiant ayrıca UNC5221 adlı devlet destekli olduğundan şüphelenilen bir tehdit aktörünün, geçen ay beşe kadar özel kötü amaçlı yazılım ailesi dağıtmak için bu kusurlardan yararlandığını da gözlemledi. Bunlar arasında ZIPLINE arka kapısı, WARPWIRE kimlik bilgisi toplayıcısı, THINSPOOL kabuk komut dosyası bırakıcısı ve LIGHTWIRE web kabuğu yer alır.
Mandiant raporunda, tehdit aktörleri UNC5221’in, “kaçınılmaz olarak bir yama yayınlandıktan sonra” tehlikeye attığı yüksek öncelikli hedefler üzerinde kalıcılığı sürdürmek için “fırsatçı saldırılar” başlattığını kaydetti.
Ivanti, bu kusurları düzeltmek için yamaları 22 Ocak 2024’e kadar yayınlamayı planlıyor ve son yamaların 19 Şubat 2024’te çıkması bekleniyor. Yamalar yayınlanana kadar kötüye kullanımı önlemek için bir geçici çözüm mevcut. Savunmasız ürünleri kullanan kuruluşlar bunu derhal uygulamalıdır.
İLGİLİ MAKALELER
- APT’ler Yama Kullanılabilirliğine Rağmen WinRAR 0day Kusurunu İstismar Ediyor
- CACTUS fidye yazılımı ağları hacklemek için VPN açıklarından yararlanıyor
- Windows Defender SmartScreen Kusuru Phemedrone Stealer ile Kullanıldı
- Flashpoint, Sıfır Günler Dahil 100.000’den Fazla Gizli Güvenlik Açığı Ortaya Çıkarıyor
- UAC-0099 Bilgisayar Korsanları Ukrayna’ya Yapılan Yeni Siber Saldırıda Eski WinRAR Kusurunu Kullanıyor