Dalış Özeti:
- Ivanti Connect Güvenli ve Ivanti Politika Güvenliği Ağ geçitleri, saldırıdan birkaç gün sonra yeniden sömürülmeyle karşı karşıya şirket iki sıfır gün güvenlik açığı için bir yama yayınladı aktif sömürü altındaydı. Ivanti, bilinen tüm sorunları gideren yamayı yayınladığında iki yeni güvenlik açığını açıkladı.
- “Shadowserver Vakfı CEO’su Piotr Kijewski, e-posta yoluyla şunları söyledi: Bu noktada, açığa çıkan her Ivanti Connect Secure VPN örneğinde istismar yaygınlaşıyor. Saldırganlara ilişkin spesifik ayrıntılar hemen bilinmiyor ancak saldırılar arasında ters kabuk kurulumu girişimleri ve yapılandırma dökümü yer alıyor.
- Siber Güvenlik ve Altyapı Güvenliği Ajansı Geçtiğimiz hafta, etkilenen Ivanti ürünlerini çalıştıran Federal Sivil Yürütme Organı kurumlarının 2 Şubat sonuna kadar bu ürünleri ajans sistemlerinden ayırmalarını emreden ek bir direktif yayınladı.
Dalış Bilgisi:
Çin bağlantısı olduğundan şüphelenilen bir tehdit aktörü, Ivanti Connect Secure ve Ivanti Policy Secure’da Aralık ayı başına kadar uzanan iki zincirleme güvenlik açığından yararlandı. Olarak listelenen güvenlik açıkları CVE-2023-46805 Ve CVE-2024-21887binlerce cihaza kötü amaçlı web kabuklarının yüklenmesine yol açtı.
Güvenlik açıklarının ilk kez ifşa edilmesinin ardından Ocak ortasından itibaren istismar girişimleri artmaya başladı ve finansal motivasyona sahip ek tehdit aktörleri bu güvenlik açıklarından yararlandı. Tehdit aktörleri aynı zamanda geçici azaltma çabalarını atlatacak ve şirketin bütünlük kontrol aracını manipüle edecek geçici çözümler de bulabildiler ve bu da onları bulmayı zorlaştırdı.
19 Ocak itibarıyla 2.100’den fazla cihazın güvenliği ihlal edildi ve binlercesi daha haftalarca aktif istismara maruz kaldı. Güvenlik araştırmacıları, ilk yamaların 31 Ocak’ta yayınlanmasının ardından tehdit faaliyetlerinin devam ettiğini gözlemledi.
Ivanti geçen hafta yeni güvenlik açıklarını açıkladı: CVE-2024-21888Ayrıcalık yükseltmeye izin veren ve CVE-2024-21893SAML bileşeninde sunucu tarafı istek sahteciliği.
Güvenlik araştırmacıları yamaya kadar artan aktiviteyi ve o zamandan beri yeni aktiviteleri gözlemlediler. Volexity araştırmacıları son günlerde yeni arka kapıların düştüğünü bildirdi.
“Bu noktada kuruluşlar için en iyi seçenek, fabrika ayarlarına sıfırlama sürecini takip etmek, yeni bir kurulum yapmak ve tam yama yapmaktır.” Volexity’nin kurucusu ve başkanı Steven Adair, e-posta yoluyla söyledi.
Ivanti geçen hafta sömürüde olası bir artış konusunda uyarıda bulundu ancak mevcut faaliyetin çoğunlukla tarama olduğunu söyledi.
“CVE-2024-21893 açıklandığı sırada, KB’de tehdit aktörünün davranışlarını değiştirmesini beklediğimizi ve bilgi kamuya açıklandığında istismarda keskin bir artış olacağını öngörmüştük; ne yazık ki bu gerçekleşmedi durum,” dedi şirket Salı günü e-posta yoluyla. “Gördüğümüz şey, çok sayıda güvenlik araştırmacısının, araştırma çalışmalarının bir parçası olarak güvenlik açıklarını taradıklarıdır.”
Şirket, yamaları uygulamalarına ve hafifletmelerine yardımcı olmak için müşterilerle aktif olarak çalıştığını ve birçoğunun güncellemeleri zaten tamamladığını da sözlerine ekledi.
Rapid7’nin baş güvenlik araştırmacısı Steven Fewer, Cuma günü eski adıyla Twitter olarak bilinen X sitesi üzerindeki bir gönderide, CVE-2024-21893’ün aslında xmltooling kütüphanesinde n günlük bir güvenlik açığı olduğunu söyledi. Haziran 2023’te yama uygulandı ve CVE-2023-36661 olarak atandı.
Fewer, sunucu tarafındaki istek sahteciliği güvenlik açığının, kimliği doğrulanmamış komut enjeksiyonu için CVE-2024-21887 ile birlikte zincirlenebileceğini söyledi.
Palo Alto Networks’ün 42. Birimi gözlemlendi 26-30 Ocak tarihleri arasında 145 ülkede 28.000’den fazla Ivanti Connect Secure ve Ivanti Policy Secure örneği açığa çıktı.
Azaltma çabaları üzerinde Mandiant ile birlikte çalışan Ivanti’nin önümüzdeki birkaç hafta içinde ek güvenlik güncellemeleri yayınlaması bekleniyor.