Ivanti, bir açığı düzeltmesinin üzerinden iki haftadan kısa bir süre geçtikten sonra, 19 Eylül’de ikinci ve kritik bir Bulut Hizmetleri Cihazı (CSA) açığının yaygın olarak istismar edildiğini duyurdu.
Güvenlik açığı (CVE-2024-8963CVSS 9.4) Ivanti CSA’da uzaktan, kimliği doğrulanmamış bir saldırganın kısıtlı işlevlere erişmesine izin veren bir yol geçişidir. Saldırganlar bunu daha önce açıklanan kusura zincirlemiştir, CVE-2024-8190cihazlara yetkisiz erişime izin verebilen yüksek önem dereceli bir işletim sistemi komut enjeksiyon açığıdır. Saldırganın yönetici düzeyinde ayrıcalıkları varsa, zincir uzaktan kod yürütme (RCE) için kullanılabilir.
“CVE-2024-8963, aşağıdakilerle birlikte kullanılırsa CVE-2024-8190 Şirket, “Bir saldırgan yönetici kimlik doğrulamasını atlatabilir ve cihazda keyfi komutlar yürütebilir” dedi.
Bu haber, Ivanti’nin 2023’ten bu yana karşı karşıya kaldığı bir dizi güvenlik sorunu sırasında geldi.
İlk Değil ve Muhtemelen Son da Olmayacak
Sadece bu yıl bile Ivanti, kusur üstüne kusurla karşı karşıya kaldı; Şubat ayında Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Ivanti VPN sipariş edildi Sistemlerde bulunan güvenlik açıklarından çok sayıda tehdit unsurunun yararlandığı yönündeki endişeler nedeniyle cihazların 48 saat içinde bağlantısının kesilmesi, yeniden kurulması ve yeniden yapılandırılması gerektiği belirtildi.
Nisan ayında, yabancı ulus devlet bilgisayar korsanları savunmasız Ivanti ağ geçidi cihazlarından yararlandı ve MITRE’ye saldırdı15 yıllık olaysız olma serisini bozdu. Ve MITRE bu konuda yalnız değildi, çünkü binlerce Ivanti VPN örneği iki adet yamalanmamış sıfır günlük güvenlik açığı nedeniyle tehlikeye atıldı.
Ve Ağustos ayında, Ivanti’nin Sanal Trafik Yöneticisi (vTM) Kuruluşun sağladığı yama olmadan kimlik doğrulamanın atlanmasına ve yönetici kullanıcı oluşturulmasına yol açabilecek kritik bir güvenlik açığı barındırıyordu.
Sevco Security’nin kurucu ortağı Greg Fitzgerald, Dark Reading’e gönderdiği e-postada, “Bu bilinen ancak düzeltilmemiş güvenlik açıkları, saldırganlar için favori hedef haline geldi, çünkü bunlardan faydalanmak kolay ve kuruluşlar çoğu zaman ağlarında EOL sistemlerine sahip cihazların hala çalıştığından habersiz.” dedi.
Devam Eden Bir Fırtınada Koruma
Bu tehdidi azaltmak için Ivanti, müşterilerine Ivanti CSA 4.6’yı CSA 5.0’a yükseltmelerini öneriyor. Ayrıca CSA 4.6 Patch 518’i Patch 519’a da güncelleyebilirler; ancak bu ürünün kullanım ömrü sona ermiştir, bu nedenle bunun yerine CSA 5.0’a yükseltmeleri önerilir.
Ivanti, buna ek olarak tüm müşterilere dahili ağ olarak eth0’ı kullanan çift ana bilgisayarlı CSA yapılandırmalarını sağlamalarını öneriyor.
Müşteriler, tehlikeye atılmış olabileceklerinden endişe duyuyorlarsa, değiştirilmiş veya yeni eklenen yöneticiler için CSA’yı incelemelidir. Kullanıcılar uç nokta algılama ve yanıt (EDR) yüklediyse, bu uyarıları da incelemeleri önerilir.
Kullanıcılar, Ivanti’nin Başarı Portalı üzerinden bir vaka kaydederek veya bir çağrı talebinde bulunarak yardım talebinde bulunabilir veya soru sorabilirler.