Ivanti, şirketin Çalışma Alanı Kontrolü (IWC) çözümündeki üç yüksek şiddetli sabit kodlu temel güvenlik açıklarını çözmek için güvenlik güncellemeleri yayınladı.
IWC, işletim sistemi ile kullanıcılar arasında bir aracı görevi gören ve erişim ve çalışma alanı yapılandırmasını düzenleyen Enterprise yöneticilerinin masaüstlerini ve uygulamalarını yönetmesine yardımcı olur.
Kullanıcı çalışma alanları üzerinde merkezi kontrol sağlar ve politikalara ve kullanıcı rollerine dayalı masaüstlerini, uygulamaları ve kullanıcı ayarlarını dinamik olarak yapılandırır.
Her üç güvenlik hatası, sert kodlanmış, değişmez bir kriptografik anahtarın kullanımından kaynaklanır ve başarılı bir şekilde sömürülmenin ardından ve potansiyel bir saldırı sırasında hedeflenen hesaba bağlı olarak ayrıcalık artış ve sistem uzlaşmasına yol açabilirler.
İki güvenlik kusuru (CVE-2025-5353 ve CVE-2025-22455), yerel kimlik doğrulamalı saldırganların IWC sürüm 10.19.0.0 ve önceki sistemlerde depolanmış SQL kimlik bilgilerini şifresini çözmesine izin verir. Bugün yamalanan üçüncü güvenlik açığı (CVE-2025-22463) ayrıca yerel kimlik doğrulamalı saldırganların depolanan ortam parolasının şifresini çözmesini sağlar.
Şirket, “Ivanti, üç yüksek şiddetli güvenlik açıkına değinen Ivanti Çalışma Alanı Kontrolü için güncellemeler yayınladı. Başarılı sömürü, kimlik bilgisinden ödün verebilir.” Dedi.
Ürün | Etkilenen sürümler | Çözülen sürümler | Yama |
Ivanti Çalışma Alanı Kontrolü (IWC) | 10.19.0.0 ve prior | 10.19.10.0 | İndir bağlantısı |
Vahşi doğada aktif sömürü yok
Neyse ki, şirket henüz bu güvenlik açıklarının açıklanmadan önce saldırılarda hedeflendiğine dair kanıt bulamamıştır.
Ivanti, “Kamu açıklamasından önce bu güvenlik açıkları tarafından kullanılmayan hiçbir müşterinin farkında değiliz. Bu güvenlik açıkları sorumlu açıklama programımız aracılığıyla açıklandı.”
Ivanti daha önce IWC’nin Aralık 2026’da yaşamın sonuna ulaşacağını açıkladı, ardından güvenlik yamaları ve teknik destek artık mevcut olmayacaktı.
Mayıs ayında şirket ayrıca ITSM BT hizmet yönetimi çözümü için nöronlarda kritik bir kimlik doğrulama baypas güvenlik açığı ve Uzak Kod Yürütme saldırılarına zincirlenmiş Bitiş Noktası Yöneticisi Mobile (EPMM) yazılımında iki sıfır günlük kusur düzeltildi.
Sıfır günlerinden biri (CVE-2025-4428 olarak izlenen bir uzaktan kod yürütme kusuru) Çinli hackerlar tarafından dünya çapında devlet kurumlarını ve yüksek profilli kuruluşları ihlal etmek için kullanıldı.
Bir ay önce Ivanti, 2025 yılının ortalarından beri kötü amaçlı yazılım dağıtmak için Çin bağlantılı bir Casusluk Grubu (UNC5221) tarafından uzaktan kod yürütme saldırılarında sömürülen kritik bir bağlantı güvenli sıfır gününü yamaladı.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.