HABER ÖZETİ
Siber saldırganlar, şirketin Bulut Hizmet Cihazını (CSA) çökertmek için çeşitli Ivanti güvenlik açıklarını içeren yeni bir tehdit vektörü kullanıyor.
Siber Güvenlik ve Altyapı Güvenliği’ne (CISA) ve FBI’a göre bunlar arasında şunlar yer alıyor: CVE-2024-8963bir yönetici atlama güvenlik açığı; CVE-2024-9379bir SQL enjeksiyon güvenlik açığı; Ve CVE-2024-8190 ve CVE-2024-9380, her ikisi de uzaktan kod yürütme (RCE) güvenlik açığıdır.
Üçüncü taraf olay müdahale verilerini kullanan CISA, tehdit aktörlerinin hataları birbirine zincirleyerek kullandığını tespit etti. ilk erişimi elde edinuzaktan kod yürütme (RCE) yapmalarına, kimlik bilgileri edinmelerine ve kurban ağlarına Web kabukları yüklemelerine olanak tanıyor.
“Dört güvenlik açığının tümü Ivanti CSA’nın 519’dan önceki 4.6x sürümlerini etkiliyor ve güvenlik açıklarından ikisi (CVE-2024-9379 ve CVE-2024-9380) CSA 5.0.1 ve altındaki sürümlerini etkiliyor; Ivanti’ye göre bu CVE’ler henüz 5.0 sürümünde kullanıldı” CISA belirtildi danışma belgesinde.
Bu tehditleri azaltmak için her iki kuruluş da ağ yöneticilerini Ivanti CSA’nın desteklenen en son sürümüne yükseltmeye ve ağlarındaki kötü amaçlı etkinlikleri aramak için CISA tavsiye belgesinde sağlanan tespit yöntemlerini ve güvenlik ihlali göstergelerini (IoC’ler) kullanmaya teşvik ediyor.
Kuruluşlar bir güvenlik ihlali tespit ederse, potansiyel olarak etkilenen ana bilgisayarların karantinaya alınması veya çevrimdışına alınması ve bunların yeniden görüntülenmesi önerilir. Yöneticiler ayrıca yeni hesap kimlik bilgilerini sağlamalı, yapıları toplayıp incelemeli ve ihlali CISA’ya bildirmelidir. Buna ek olarak, MITRE ATT&CK for Enterprise çerçevesinde listelenen tehdit aktörlerine karşı bir güvenlik programının uygulanması, test edilmesi ve doğrulanması önerilir.