Ivanti VPN’in Sıfır Gün Güvenlik Açığı Doğada Aktif Olarak İstismara Uğradı

Ivanti, Connect Secure VPN cihazlarında kritik bir sıfır gün güvenlik açığı olan CVE-2025-0282’den aktif olarak yararlanıldığını açıkladı.

Bu güvenlik açığı, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanıyor ve halihazırda sınırlı sayıda durumda kullanılıyor.

Yerel ayrıcalık yükseltmeye olanak tanıyan ikinci bir güvenlik açığı olan CVE-2025-0283 de belirlendi ancak bu güvenlik açığından yararlanıldığı bilinmiyor.

• CVE-2025-0282: Kritik olarak derecelendirilen yığın tabanlı arabellek taşması (CVSS puanı 9,0). 22.7R2.5’ten önceki Ivanti Connect Secure (ICS) sürümlerini, 22.7R1.2’den önceki Ivanti Policy Secure (IPS) sürümlerini ve ZTA ağ geçitleri için 22.7R2.3’ten önceki Ivanti Neurons sürümlerini etkiler. Suistimal, uzaktaki saldırganların kimlik doğrulaması olmadan rastgele kod yürütmesine olanak tanır.
• CVE-2025-0283: Yüksek önem derecesine sahip başka bir yığın tabanlı arabellek taşması (CVSS puanı 7,0). Aynı ürünleri etkiler ve kimliği doğrulanmış yerel kullanıcıların ayrıcalıklarını yükseltmelerine olanak tanır.

Aktif Sömürü

Ivanti, CVE-2025-0282’nin sınırlı sayıda Ivanti Connect Secure cihazında kullanıldığını açıkladı. Bu istismar, etkilenen sistemlerdeki kötü amaçlı etkinlikleri işaretleyen Ivanti’nin Bütünlük Denetleyici Aracı (ICT) kullanılarak tespit edildi.

Ancak bu güvenlik açığının Ivanti Policy Secure veya ZTA ağ geçitlerinde kullanıldığını gösteren hiçbir kanıt yok.

İkinci güvenlik açığı olan CVE-2025-0283, dahili araştırmalar sırasında keşfedildi ancak açıklama tarihi itibarıyla kullanımda değildi.

Ivanti, Connect Secure cihazları için 22.7R2.5 sürümündeki her iki güvenlik açığını da çözen bir acil durum yaması yayınladı. ZTA ağ geçitlerine yönelik Policy Secure ve Neurons yamalarının 21 Ocak 2025’te yayınlanması planlanıyor.

Etkilenen müşteriler için:

• Güvenli Bağlanın: Derhal 22.7R2.5 sürümüne yükseltin. BİT taramaları tehlike işaretleri gösteriyorsa yamayı uygulamadan önce fabrika ayarlarına sıfırlayın.
• Policy Secure ve ZTA Ağ Geçitleri: Bu ürünler henüz kullanıma açılmamış olsa da müşterilerin internete maruz kalmamalarını sağlayarak en iyi uygulamaları takip etmeleri ve 21 Ocak yamasını beklemeleri tavsiye ediliyor.

Mandiant, CVE-2025-0282’nin kötüye kullanılmasının, UNC5221’in parçası olduğuna inanılan, UNC5337 olarak bilinen karmaşık bir tehdit aktörü kümesiyle bağlantılı olduğunu gözlemledi.

Saldırganlar, SPAWNANT (yükleyici), SPAWNMOLE (tünel açıcı) ve SPAWNSNAIL (SSH arka kapısı) gibi araçlar dahil olmak üzere SPAWN ekosisteminden kötü amaçlı yazılım dağıttı. Bu faaliyetler, kurumsal VPN’leri hedef alan gelişmiş kalıcı tehditlerin oluşturduğu artan riskleri vurgulamaktadır.

Ivanti, müşterilerin olası riskleri belirlemesine yardımcı olmak için hem şirket içinde hem de şirket dışında Dürüstlük Denetleme Aracının (BİT) kullanılmasını öneriyor. ICT, dosya bütünlüğünü analiz ederek ve yetkisiz değişiklikleri tespit ederek bir cihazın mevcut durumunun anlık görüntüsünü sağlar.

Ivanti ayrıca, güvenliği ihlal edilmiş cihazlarda ve güvenliği ihlal edilmemiş cihazlarda ICT tarama sonuçlarının nasıl görünmesi gerektiğine dair örnekler yayınladı ve çıktı tarafından bildirilen adım sayısının analiz edilmesinin önemini vurguladı.

Ancak siber güvenlik firması Mandiant, tehdit aktörlerinin ICT tarafından tespit edilmekten kurtulma girişimlerini gözlemledi. Bu çabalar, güvenliği ihlal edilmiş cihazları temiz bir duruma döndürmeyi, karmaların yeniden hesaplanmasını ve diğer adli tıp karşıtı teknikleri içerir.

Ivanti, saldırganların kanıtları kaldırması veya sistemi değiştirilmemiş bir duruma geri yüklemesi durumunda geçmişteki kötü niyetli etkinlikleri tespit edememesi nedeniyle ICT’nin sınırlamaları olduğunu kabul etti. Ayrıca ICT, kötü amaçlı yazılım veya diğer Tehlike Göstergelerini (IoC’ler) taramaz.

IoC’ler

ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free