Ivanti Connect Secure’un, kimlik doğrulama bypass’ına (CVE-2023-46805) ve ortamdaki tehdit aktörleri tarafından aktif olarak kullanılan bir komut ekleme güvenlik açığına (CVE-2024-21887) karşı savunmasız olduğu daha önce bildirilmişti.
Ayrıca bu zafiyetler CISA’nın bilinen istismar edilen zafiyetler kataloğuna eklenmiş ve tüm FCEB kurumlarına bu zafiyetlerin en kısa sürede azaltılması yönünde bilgi verilmiştir. Ancak dünya çapında bu güvenlik açıklarından büyük ölçüde yararlanılıyor.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
Büyük Sömürü Ivanti VPN’nın
Cyber Security News ile paylaşılan raporlara göre, internete bakan 26.000’den fazla benzersiz Ivanti Connect Secure ana bilgisayarı vardı. Bunlardan 412 ana bilgisayarın, kimlik bilgileri hırsızlığı nedeniyle arka kapıya sahip tehdit aktörleri tarafından ele geçirildiği tespit edildi.
Buna ek olarak Ivanti henüz bu güvenlik açığını giderecek bir yama yayınlamadı. Bunun yerine, bu güvenlik açığına yönelik kurtarma, geçici çözümler ve azaltımlar sağladılar. CISA tarafından yayınlanan acil durum direktifine göre, bu iki güvenlik açığından yararlanmanın Federal Sivil Yürütme Şubesi (FCEB) kurumları tarafından azaltılması zorunlu kılındı.
Ek olarak, Ivanti’nin resmi yamasının bulunmamasının yanı sıra, internete yönelik sistemlerin yaygın olarak açığa çıkması ve hafifletme karmaşıklığı nedeniyle bu güvenlik açıklarının özellikle ciddi olduğu belirtildi.
Volexity Araştırması
Volexity’nin bu güvenlik açıklarına ilişkin araştırmasına göre, son seçilen kimlik doğrulama alanının hafızasında tutulması için kullanılan meşru bir Javascript bileşeni (/danana/auth/lastauthserverused.js) vardı.
Ancak bunun, tehdit aktörleri tarafından, istemci oturum açma bilgilerinin ele geçirilmesi ve sızdırılmasına yönelik çeşitli mekanizmaları içerecek şekilde değiştirildiği keşfedildi. Ayrıca, bu arka kapılı javascript, kullanıcı adlarını, şifreleri ve kimlik doğrulama URL’sini tehdit aktörü tarafından kontrol edilen bir HTTP sunucusuna gönderir.
Bununla birlikte, ele geçirilen ana bilgisayarlarda yapılan ikincil taramalar, bu büyük istismara birden fazla tehdit aktörünün dahil olduğunu gösterebilecek 22’den fazla geri arama yöntemi çeşidini ortaya çıkardı.
Volexity, bu güvenlik açıkları, bunların kullanımı ve diğer bilgiler hakkında ayrıntılı bilgi sağlar. Kapsamlı istismar taraması, tarama sonuçları ve ele geçirilen ana bilgisayarlar hakkında tam kapsamlı bir rapor sağlayan Censys’teki araştırmacılar tarafından gerçekleştirildi.
Satıcıdan resmi bir yama yayınlanana kadar tüm Ivanti kullanıcılarının, Ivanti’nin güvenlik tavsiyesinde tavsiye edildiği şekilde bu güvenlik açıklarını azaltmaları önerilir.