2023’ün sonunda ve 2024’e doğru, Ivanti Policy Secure ağ erişim kontrolü (NAC), Ivanti Connect Secure güvenli yuva katmanı sanal özel ağı (SSL VPN) ve sıfır güven erişimi (ZTA) ürünleri için Ivanti Neurons’ta bir dizi güvenlik açığı ortaya çıktı ulus devlet casusluk faaliyetleriyle bağlantısı olduğundan şüphelenilen bir tehdit aktörü tarafından istismar edildikten sonra dünya çapındaki kuruluşlarda endişe yarattı.
Bu açıklayıcıda, Ivanti’nin açıklamalarından kaynaklanan bazı temel sorunları inceleyerek güvenlik açıklarına ve bunların etkilerine, Ivanti’nin nasıl yanıt verdiğine, etkilenen kullanıcıların bundan sonra ne yapması gerektiğine ve Ivanti ürünlerini kullanmaya devam etmenin güvenli olup olmadığına bakacağız.
Ivanti ne yapar?
Merkezi Utah’ta bulunan Ivanti, güvenlik yazılımı, BT hizmeti ve varlık yönetimi yazılımı, kimlik yönetimi yazılımı ve tedarik zinciri yönetimi yazılımı konularında uzmanlaşmıştır.
Geçmişi 1985 yılına ve LAN Systems adlı şirketin kuruluşuna kadar uzanır. Geçtiğimiz kırk yıl boyunca kuruluş bir dizi birleşme ve satın alma yoluyla büyüdü, ancak Ivanti adı ancak 2017 yılında iki firmanın, LAN Systems’in halefi LANDESK ve HEAT Software’in özel sermaye kurumu gözetiminde birleşmesiyle ortaya çıktı. Clearlake Başkenti.
Ivanti, 2017’den bu yana istikrarlı bir şekilde büyüdü ve şu anda dünya çapında 23 ülkede binlerce çalışana sahip. Kovid-19 salgını sırasında MobileIron, Pulse Secure, Cherwell Software ve RiskSense gibi isimleri satın alarak büyük bir satın alma gerçekleştirdi.
Ivanti, “her yerde çalışmayı” yükseltme ve güvence altına alma konseptinden yararlanarak müşteri çalışanlarının cihazlarını kullanarak ihtiyaç duydukları yerde ve zamanda BT uygulamalarına ve verilerine erişmelerine olanak tanıyor. Aynı zamanda güvenlik konularında sık sık ve sesli yorumcu haline gelmiştir ve uzmanlarından BT ve siber güvenlik medyasında sıklıkla alıntı yapılmaktadır.
Ivanti’nin güvenlik açıkları nelerdir?
Sorunlar yalnızca Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) ve ZTA ağ geçitlerini etkiliyor ve diğer Ivanti ürünlerinde mevcut değil.
İlk iki güvenlik açığı CVE-2023-46805 ve CVE-2024-21887’dir. Bunlardan ilki, ICS 9.2, 22.x ve Policy Secure’un web bileşenindeki, uzaktaki bir saldırganın kontrol kontrollerini atlayarak kısıtlı kaynaklara erişmesine olanak tanıyan bir kimlik doğrulama atlama hatasıdır. İkincisi, aynı ürünlerin web bileşenlerinde, kimliği doğrulanmış bir yöneticinin özel hazırlanmış istekler göndermesine ve rastgele komutlar yürütmesine olanak tanıyan bir komut ekleme güvenlik açığıdır.
Bu iki sorun ilk kez 10 Ocak 2024’te resmi olarak açıklandı; bir müşteri ağında şüpheli yatay hareket tespit eden ve aktif istismarı tespit edebilen Volexity’deki araştırmacılar tarafından bir ay önce keşfedildi. Volexity, tehdit aktörünün bunları Glasstoken ve Giftedvisitor dahil olmak üzere web kabuklarını dahili ve harici web sunucularına yerleştirmek için kullandığını ve daha sonra bu kabukları ele geçirilen cihazlarda komutları yürütmek için kullandığını belirledi.
Bu başlı başına büyük bir sorun olabilirdi ama daha sonra mesele endişe verici bir yöne doğru ilerledi. Ivanti’nin ilk hafifletme rehberliğini takiben tehdit aktörleri, Bushwalk, Lightwire ve Chainline olmak üzere üç web kabuğu çeşidini daha dağıtmak için hızla onları aşmanın bir yolunu buldu.
Bu, üç yeni güvenlik açığının açığa çıkmasına yol açtı. Bunlar şunlardı:
- CVE-2024-21893, ICS, IPS ve ZTA’nın güvenlik onayı biçimlendirme dili (SAML) bileşenlerinde, saldırganların kimlik doğrulaması olmadan kısıtlı kaynaklara erişmesine olanak tanıyan, sunucu tarafı istek sahteciliği sıfır gün güvenlik açığı;
- CVE-2024-22024, ürünlerin SAML bileşeninde bulunan ve CVE-2024-21893 ile aynı etkiye sahip olan genişletilebilir bir işaretleme dili (XML) güvenlik açığı;
- Ayrıca ICS ve IPS’nin web bileşeninde bulunan ve saldırganların yönetici hakları kazanmasına olanak tanıyan bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-21888 de bulunuyor.
Ivanti neden hedef alınıyor?
ICS gibi SSL VPN ürünleri, son birkaç yılda tarihsel olarak hem mali motivasyonlu siber suçlular hem de ulus devlet bağlantılı gruplar gibi çok çeşitli tehdit aktörleri tarafından hedef alındı - beş yıllık bir hata olan CVE-2019- ile. ICS’deki 11510 bugün bile hâlâ kullanılmaktadır.
Neden öyle? Cevap nispeten basittir: SSL VPN’ler, kurumsal kaynaklara erişim için bir hazırlık noktası görevi görerek hedef kuruluşlara olağanüstü değerli bir giriş kapısı sağlar.
Özellikle Kovid-19 salgınının ardından sosyal mühendislik saldırıları ve diğer kimlik avı türleri tarafından istismar edilmeye karşı özellikle savunmasız olan uzak çalışanlar tarafından yaygın şekilde kullanılması, onları yumuşak bir hedef haline getiriyor.
Bu nedenle, SSL VPN’lerdeki ve ilgili erişim ürünlerindeki güvenlik açıklarını ele almak, güvenlik ekipleri için kolay bir önceliklendirme kararı olmalıdır.
Ivanti güvenlik açıklarına nasıl tepki verdi?
14 Şubat 2024’te web sitesinde yayınlanan yeni güncellenen SSS’de Ivanti, son sorunlarla ilgilenirken gösterdikleri “destek ve sabır” için müşterilerine teşekkür etti. Bu dönemin müşterileri için bir test olduğunu kabul eden şirket, sorunları çözmek için dışarıdan uzman desteğiyle 24 saat çalıştığına dair onlara güvence verdi.
“İlk günden itibaren müşteri odaklı bir yaklaşım benimsemeye kararlıyız. Kuruluş, hafifletme ve yamaların mümkün olan en kısa sürede yayınlanmasına öncelik verirken, aynı zamanda sektörümüzün karşı karşıya olduğu giderek karmaşıklaşan ve agresif tehdit ortamıyla mücadele etmek için proaktif önlemlerimizi güçlendirmeye devam ediyoruz” dedi.
“Müşterilerimizi desteklemek için çalışırken sürekli ve doğrudan iletişimi ön planda tutmaya çalıştık. Ayrıca iletişimimizi sürekli olarak geliştirmek için duyduğumuz geri bildirimleri dinleyip bunları birleştirmeye de çok zaman ayırdık.”
Şubat ortası itibarıyla Ivanti, etkilenen ürünlerin tüm desteklenen sürümleri için güvenli bir yapıya sahipti.
SSS, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bir direktifinin yanlış yorumlanmasının ardından ortaya çıkan bazı yanlış bilgileri ele almaya devam etti; bu direktif, çoğu kişinin yanlış bir şekilde Amerikan hükümetinin federal kurumlarına, etkilenen ürünleri atmaları ve değiştirmeleri yönünde talimat verdiğini düşünüyordu. Hiçbir zaman durum böyle olmadı; yalnızca onlara ürünlerinin bağlantısını kesmeleri söylendi ve CISA o zamandan beri kılavuzunu düzeltti ve güncelledi.
Ivanti ayrıca Connect Secure ürününün eski Linux kodu nedeniyle savunmasız olduğu yönündeki iddiaları da yalanladı, ancak ürün son 18 aydır müşterilerin desteklenmeyen eski sürümlerden kurtulmasına yardımcı oluyor.
İkinci güvenlik açığı grubundan birinin (CVE-2024-22024) vahşi doğada istismar edildiğine dair hiçbir belirti olmadığını ekleyerek, bu güvenlik açığının aynı bölümde bulunması nedeniyle bu konuda bazı karışıklıkların ortaya çıkmış olabileceğini söyledi. kod CVE-2024-21893.
Ayrıca, 10 Ocak’ta açıklanan güvenlik açıklarının tehdit aktörleri tarafından sınırlı düzeyde kullanıldığını ve bu durumun keskin bir şekilde arttığını da doğruladı.
Ayrıca şirket içinde kendi araçlarını ve teknolojisini kullanmasına rağmen, şirket olarak güvenliğinin ihlal edildiğine dair hiçbir belirti bulunmadığını, elinde tuttuğu müşteri verilerinin güvende kaldığına dair bir gösterge olduğunu vurguladı.
Ivanti’deki güvenlik açıklarını gidermek için ne yapmalıyım?
Ivanti’nin güvenlik açıklarını gidermeye nasıl başlayacağınıza dair tam rehberini burada bulabilirsiniz. Aşağıda verilen rehberlik, resmi olarak yalnızca ABD’deki federal hükümet kurumlarıyla ilgili olan CISA’nın 9 Şubat tarihli son danışma belgesinden alınmıştır.
9 Şubat itibarıyla, etkilenen kuruluşlara öncelikle Ivanti Connect Secure ve Ivanti Policy Secure’un tüm örneklerinin bağlantısını kesmeleri, bunları mümkün olduğunca diğer kurumsal kaynaklardan izole etmeleri ve ona bağlı tüm sistemlerde tehdit avcılığı yapmaları söylendi. Güvenlik ekipleri ayrıca potansiyel olarak açığa çıkmış kimlik doğrulama veya kimlik hizmetlerini izlemeli ve ayrıcalıklı erişime sahip hesapları denetlemelidir.
Etkilenen ürünleri hizmetlere geri getirmek için kuruluşlara ilk başta aşağıdakileri yapmaları tavsiye edildi:
- Yapılandırma ayarlarınızı dışa aktarın;
- Ürünü, Ivanti’nin talimatlarına göre fabrika ayarlarına sıfırlayın; her ne kadar bu, 31 Ocak ve 1 Şubat’ta yayınlanan yamaları uygulamadan önce zaten yapılmış olsa da, bunu yapmanıza gerek kalmayacak;
- Ürünü yeniden oluşturun – bunun nasıl yapılacağına ilişkin talimatlar yukarıdaki bağlantıda bulunabilir – ve ücretsiz olarak Ivanti aracılığıyla desteklenen bir yazılım sürümüne yükseltin;
- Yapılandırmanızı yeniden içe aktarın;
- Herhangi bir azaltıcı XML dosyası uyguladıysanız, bu yükseltme sonrası işlemlerin nasıl kaldırılacağına ilişkin talimatlar için Ivanti portalını incelemelisiniz;
- Bağlı veya açığa çıkan sertifikaları, anahtarları ve parolaları iptal edin ve yeniden yayınlayın; buna yönetici etkinleştirme parolalarının sıfırlanması, depolanan uygulama programlama arabirimi (API) anahtarlarının sıfırlanması ve ağ geçidinde tanımlanan yerel kullanıcılara ait tüm parolaların sıfırlanması dahildir. Bu son adım, kimlik doğrulama sunucusu yapılandırması için kullanılan hizmet hesaplarını içermelidir;
- Etkilenen ürünleri hizmete geri gönderdikten sonra, güvenlik açıklarını giderebilecek gelecekteki güncellemeleri takip edin.
CISA ayrıca, etkilenen Ivanti ürünlerini çalıştıran kuruluşların kendileriyle ilişkili etki alanı hesaplarının ele geçirildiğini varsaymaları gerektiğini tavsiye etti; bu nedenle, şirket içi hesaplar için iki kez şifre önerildi, tüm Kerberos biletleri iptal edildi ve kuruluşunuz hibrit bir dağıtım çalıştırıyorsa bulut hesapları için diğer belirteçleri iptal edildi. .
Ancak hikaye artık önemli ölçüde daha da gelişti. 29 Şubat’ta ABD yetkililerinden gelen yeni bir tavsiye belgesi, tehdit aktörlerinin Ivanti’nin dahili ve harici Dürüstlük Denetleme Aracını (ICT) nasıl aldatabileceklerini ve bunun sonucunda CVE-2023-46805, CVE-2024-21887 aracılığıyla uzlaşmanın tespit edilememesine neden olabileceğini ayrıntılı olarak açıkladı. , CVE-2024-22024 ve CVE-2024-21893.
CISA, bu sorunu geçtiğimiz haftalarda yapılan çok sayıda olaya müdahale çalışması sırasında tespit ettiğini ve laboratuvar tabanlı testlerin, bir tehdit aktörünün fabrika ayarlarına sıfırlama yapıldıktan sonra kök düzeyinde kalıcılık kazanabileceği yönündeki endişelerini doğruladığını söyledi.
Bu büyük bir endişe kaynağıdır ve CISA artık güvenlik ekiplerine, etkilenen cihazlarda depolanan kullanıcı ve hizmet hesabı kimlik bilgilerinin büyük olasılıkla tehlikeye girdiğini varsaymalarını, güncellenen danışma belgesindeki yöntemleri ve IoC’leri kullanarak ağlarındaki kötü amaçlı etkinlikleri aramalarını ve bu bilgileri uygulamalarını tavsiye ediyor. Sürüm güncellemeleri kullanıma sunuldukça Ivanti tarafından sağlanan yama kılavuzu.
Güvenliğin ihlal edilmesi veya olası bir güvenlik ihlalinin tespit edilmesi durumunda, güvenlik ekipleri kötü amaçlı faaliyetlere ilişkin günlükleri ve yapıları toplamalı ve analiz etmeli ve danışma belgesindeki olay müdahale önerilerini uygulamalıdır.
Ivanti konusunda endişelenmeli miyim veya kullanmayı bırakmalı mıyım?
29 Şubat güncellemelerine yanıt olarak Ivanti, belirlenen kalıcılık tekniğinin henüz doğada gözlemlenmediğini belirtti. Ancak, harici Bütünlük Denetleyici Aracı’nda (ICT) müşteri cihazlarına ve sistemdeki tüm dosyalara ek görünürlük sağlayan yeni bir geliştirme yayınladı. Bununla ilgili daha fazla bilgiyi burada bulabilirsiniz.
Bu durum göz önüne alındığında, etkilenen Ivanti ürünlerinin kullanımının güvenli olduğunu güvenle söyleyemeyiz ve söylemiyoruz. Bu, güvenlik ekiplerinin mevcut tüm yönergeleri takip ederek almaya hazır olması gereken bir karardır.
Müşteriler, şimdi ve gelecekte kendilerine karşı istismar girişimleri görmeyi kesinlikle bekleyebilirler, bu da harekete geçmeyi daha da önemli kılmaktadır.
Ivanti’nin müşterilerini desteklemeyi ve bir müşterinin güvenliğinin ihlal edildiğine dair bir kanıt bulması durumunda olay müdahalesine ve soruşturmaya yardımcı olmak için ek bilgiler iletmeyi taahhüt etmesine rağmen, kendisinin bir adli siber hizmet sağlayıcısı olmadığını ve olaya müdahale ve soruşturmaya yardımcı olacağını belirtmek önemlidir. müşteri adına sorun. Güvenliği ihlal edilen müşteriler bir adli tıp sağlayıcısından rehberlik ve destek almalıdır.