.webp "Ivanti VPN 0 Günlük")
Ivanti, Connect Secure (ICS) VPN cihazlarını etkileyen iki kritik CVE-2025-0282 ve CVE-2025-0283 güvenlik açığını kamuya açıkladı.
Duyuru, siber güvenlik firması Mandiant tarafından Aralık 2024 ortasında başladığı tanımlanan CVE-2025-0282’nin aktif sıfır gün istismarına ilişkin endişe verici raporların ortasında geldi.
Bu istismar, etkilenen kuruluşlar için olası ağ ihlalleri ve aşağı yöndeki uzlaşmalar konusunda endişeleri artırdı.
İki sorundan daha ciddi olanı olan CVE-2025-0282, kimliği doğrulanmamış yığın tabanlı arabellek taşması güvenlik açığı olarak tanımlanıyor.
Bu özelliğin kötüye kullanılması, saldırganların kimlik doğrulamaya ihtiyaç duymadan uzaktan kod yürütmesine olanak tanıyarak, onlara kötü amaçlı yazılım dağıtma veya güvenliği ihlal edilmiş bir ağda başka saldırılar gerçekleştirme konusunda bir dayanak sağlayabilir.
CVE-2025-0283 henüz aynı ölçüde ayrıntılandırılmamıştır ancak aynı zamanda kritik olarak değerlendirilmektedir. Mandiant’ın devam eden araştırmaları, CVE-2025-0282’nin birden fazla kuruluşa yönelik hedefli kampanyalarda kullanıldığını gösteriyor.
Saldırganlar, saldırıları başlatmadan önce, özellikle belirli yazılım sürümlerindeki güvenlik açıklarını hedef alarak, ICS cihaz sürümlerini incelemek için karmaşık teknikler gösterdiler.
Teknik Analiz
Mandiant, tehdit aktörlerinin, SPAWN ekosistemi (SPAWNANT yükleyici, SPAWNMOLE tünel oluşturucu ve SPAWNSNAIL SSH arka kapısı) gibi önceden bilinen türler de dahil olmak üzere bir dizi kötü amaçlı yazılım ailesinden yararlandığını gözlemledi.
Ek olarak, ele geçirilen cihazlardan iki yeni kötü amaçlı yazılım ailesi (DRYHOOK ve PHASEJAM) tespit edildi.
SPAWN kötü amaçlı yazılımı daha önce Çin bağlantılı bir casusluk grubu UNC5337 ile ilişkilendirilmiş olsa da Mandiant, CVE-2025-0282 ile ilişkili tüm etkinliği henüz kesin olarak tek bir aktöre bağlamadı.
Saldırı Teknikleri ve Kalıcılık Yöntemleri
Saldırganlar, CVE-2025-0282’den yararlanma konusunda gelişmiş taktikler sergilediler. Tipik saldırı adımları arasında SELinux gibi güvenlik özelliklerinin devre dışı bırakılması, kötü amaçlı komut dosyaları yazılması, web kabuklarının dağıtılması ve güvenlik ihlali izlerini gizlemek için sistem günlüklerine müdahale edilmesi yer alır.
Özellikle endişe verici olan, sistem yükseltmelerinde hayatta kalabilen ve saldırganların sistemlere yama uygulanmış olsa bile erişimi sürdürmesini sağlayan kalıcı kötü amaçlı yazılım bileşenlerinin eklenmesidir.
Analiz aynı zamanda uzaktan erişime ve kod yürütmeye izin vermek için ICS yazılım bileşenlerinde web kabuklarının dağıtımını da ortaya çıkardı.
Örneğin PHASEJAM kötü amaçlı yazılımı, meşru yükseltmeleri engellemek ve sahte bir yükseltme sürecini simüle etmek için sistem yükseltme işlemlerini ele geçirerek yöneticilerin güvenlik açıklarını düzeltmesini engeller.
Başka bir kötü amaçlı yazılım olan SPAWNANT, yükseltmeler sırasında kalıcılığı sağlamak için kendisini sistem dosyalarına yerleştirir.
“Kötüye kullanımın ardından, tehdit aktörünün cihazın çeşitli önemli alanlarından istismara ilişkin kanıtları kaldırdığı gözlemlendi:”
- Çekirdek mesajlarını kullanarak temizleme
dmesgve yararlanma sırasında oluşturulan hata ayıklama günlüklerinden girişlerin kaldırılması - Sorun giderme bilgi paketlerini (durum dökümleri) ve işlem çökmelerinden oluşturulan çekirdek dökümlerini silme
- Sistem günlüğü hataları, dahili ICT hataları, kilitlenme izleri ve sertifika işleme hatalarıyla ilgili günlük uygulaması olay günlüğü girişlerini kaldırma
- Yürütülen komutların SELinux denetim günlüğünden kaldırılması.
Mandiant, tehdit aktörü PHASEJAM tarafından ele geçirilen Ivanti Connect Secure (ICS) cihazlarının sistem yükseltmeleri sırasında bile kalıcılığını korumak için kullandığı iki gelişmiş tekniği ortaya çıkardı.
Tanımlanan taktiklerden biri sahte sistem yükseltmelerinin uygulanmasını içeriyor. PHASEJAM, yöneticilerin meşru sistem yükseltme girişimlerini önlemek için bir yöntem geliştirmiştir.
Teknik, yöneticileri yükseltme işleminin devam ettiğine görsel olarak ikna eden aldatıcı bir HTML tabanlı sahte yükseltme ilerleme çubuğu kullanıyor.
Gerçekte, kötü niyetli kişi yasal yükseltmeyi sessizce engeller ve saldırının tespit edilmemesini sağlarken sistemin tehlikeye açık kalmasını sağlar.
Saldırının Arkasında Kim Var?
Ivanti ve Mandiant, saldırı kampanyasının casusluk belirtileri taşıdığına inanıyor.
SPAWN kötü amaçlı yazılım ekosisteminin dağıtımı, Çin bağlantılı bir aktör olan UNC5337 ile orta derecede güvenle ilişkilendirildi. UNC5337 daha önce CVE-2023-46805 ve CVE-2024-21887 gibi diğer güvenlik açıklarını kullanarak Ivanti cihazlarını hedef almıştı.
UNC5337’nin ayrıca 2023’ten bu yana VPN cihazlarındaki siber güvenlik açıklarından yararlanmasıyla bilinen daha geniş bir grup olan UNC5221’in parçası olduğundan şüpheleniliyor.
Güvenliği ihlal edilen ICS cihazlarının veritabanı önbelleğinin birçok durumda sızdırılması, VPN oturum verilerinin, API anahtarlarının, kimlik bilgilerinin ve sertifikaların açığa çıkması korkusunu artırdı. Diğer kötü niyetli istismar sonrası faaliyetler arasında, yerleşik araçları kullanarak keşif yapmak ve ağ savunmalarını atlamak için tünel oluşturucuların konuşlandırılması yer alır.
Siber güvenlik uzmanları, bu güvenlik açıklarına yönelik kavram kanıtı istismarlarının kamuya açık hale gelmesi durumunda bu saldırıların daha da yaygınlaşabileceği ve potansiyel olarak ek tehdit aktörlerinin de ilgisini çekebileceği konusunda uyarıyor.
Sıfır Gün Güvenlik Açıklarına Ivanti’nin Yanıtı
Ivanti yakın zamanda tespit edilen iki sıfır gün güvenlik açığını ele alıyor. CVE-2025-0282 Ve CVE-2025-0283ZTA ağ geçitleri için Ivanti Connect Secure, Policy Secure ve Neurons’u etkiliyor. İndirme portalımız aracılığıyla artık bir düzeltme mevcut.
“Ivanti Connect Secure’da CVE-2025-0282’nin sınırlı düzeyde kullanıldığının farkındayız ancak ZTA ağ geçitleri için Policy Secure veya Neurons’a yönelik saldırılara dair hiçbir kanıtımız yok. Dürüstlük Denetleyici Aracımız (ICT) etkinliği anında tespit ederek hızlı bir şekilde yanıt vermemize ve bir çözüm geliştirmemize olanak sağladı.”
Müşteri Eylemleri:
- Düzeltmeyi Uygulayın: Güvenlik Danışma belgemizde ayrıntılı rehberlikle birlikte indirme portalımızda mevcuttur.
- Monitör Sistemleri: BİT araçlarını kullanın ve özellikle VPN ağ geçitleri gibi uç cihazlar için sağlam, katmanlı siber güvenlik uygulamalarını sürdürün.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free