Shelltrail’in yakın tarihli bir güvenlik değerlendirmesi, Ixon VPN istemcisinde üç kritik güvenlik açığını ortaya çıkardı ve potansiyel olarak saldırganların hem Windows hem de Linux sistemlerinde ayrıcalıkları artırmasına izin verdi.
CVE-2025-ZZZ-01, CVE-2025-ZZZ-02 ve CVE-2025-ZZZ-03 olarak tanımlanan bu kusurlar, kullanıcıları şu anda açıklanmamış bir ek etki ile yerel ayrıcalık artış (LPE) risklerine maruz bırakıyor.
CVE ID’leri, finansman kısıtlamaları ve MITER’deki bir birikmiş işler nedeniyle beklemede, ancak güncellemeler atandıktan sonra izlenecek.
.png
)
Endüstriyel uzaktan erişim çözümlerinin Hollandalı bir sağlayıcısı olan Ixon, Ethernet veya mobil veriler aracılığıyla bağlı fiziksel bir cihaz gerektiren bulut tabanlı bir VPN hizmeti sunar.
Kullanıcılar, yerel ağlara güvenli VPN bağlantıları oluşturmak için https://ixon.cloud adresinden bir bulut portalına erişir.
Portaldan indirilen tescilli bir yazılım olan Ixon VPN istemcisi, bağlantı için gereklidir ve https: // localhost: 9250’de yerel bir web sunucusu çalıştırır ve Linux’ta bir kök seviyesi Systemd hizmeti ve NT Authority \ System Windows’ta çalışır.
Güvenlik Açığı Detayları
CVE-2025-ZZZ-01 (açıklanmayan)
Bu güvenlik açığının detayları, kullanımı önemli yapılandırma değişiklikleri gerektirebileceğinden, Ixon halka açık bir düzeltme yayınlayana kadar gizli kalır. Shelltrail, Ixon bilgilendirilmiş olsa da, sorumsuz maruziyeti önlemek için erken açıklamaya karşı tercih etti.
CVE-2025-ZZZ-02:
Linux yerel ayrıcalık artışı Linux’ta VPN istemcisi, öngörülebilir /tmp/vpn_client_openvpn_configuration.ovpn konumunda geçici olarak bir OpenVPN yapılandırma dosyasını saklar.
Shelltrail araştırmacıları, bir saldırganın VPN istemcisini durdurabileceğini ve MKFIFO komutunu kullanarak bu yolda adlandırılmış bir boru (FIFO) oluşturarak kötü amaçlı bir OpenVPN yapılandırması enjekte edebileceğini keşfetti.
Bu yapılandırma, kök seviyesi kod yürütülmesini sağlayan komut dosyası güvenlik 2 ile TLS-Doğrulama gibi komutları içerebilir. Saldırı, önceki OpenVPN tartışmalarında belirtilen bir sınırlama olan komut dosyası yürütmesini tetiklemek için geçerli bir VPN bağlantısı gerektirir.
CVE-2025-ZZZ-03:
Windows Yerel ayrıcalık artışı Windows’ta VPN istemcisi, OpenVPN yapılandırmasını benzer şekilde, standart kullanıcıların tam izinli dosya ve klasörler oluşturabileceği bir dizin olan C: \ Windows \ Temp’te saklar.
Bir yarış koşulundan yararlanarak, saldırganlar, geçici yapılandırma dosyasını kötü niyetli bir sürümle tekrar tekrar yazmak için bir PowerShell komut dosyası kullanabilir ve sistem düzeyinde kod yürütme gerçekleştirebilir.
Linux’un aksine, bu yöntem başarılı bir VPN bağlantısı gerektirmez, bu da onu özellikle güçlü hale getirir.
Güvenlik açıkları, Ixon VPN istemcisinin bulut portalı ile etkileşiminden kaynaklanmaktadır. Bir kullanıcı bir VPN bağlantısı başlattığında, tarayıcı yerel web sunucusuna kimlik doğrulama jetonları ve cihaz tanımlayıcıları içeren bir XHR isteği gönderir.
Bu sunucu, isteği https://ixon.cloud’a ileterek, yerel yapılandırma ayrıntılarını ekleyerek ve bir OpenVPN yapılandırma dosyası alıyor. Bu dosyanın diskte güvensiz işlenmesi, ayrıcalık artış fırsatı yaratır.
Ixon’un yanıtı ve hafifletme
Ixon, VPN istemcisinin 1.4.4 sürümündeki ayrıcalık artış güvenlik açıklarını ele alarak hızlı yanıtı için övgüyle karşılandı.
Düzeltme, geçici OpenVPN yapılandırmasını yalnızca yüksek ayrıcalıklı kullanıcılar tarafından erişilebilen bir dizine değiştirerek istismarları etkisiz hale getirir.
Açıklanmayan güvenlik açığı (CVE-2025-ZZZ-01) çözünürlüğü bekler, Ixon aktif olarak bir çözüm üzerinde çalışır. Kullanıcılar, https://support.ixon.cloud adresinden Ixon’un Güvenlik Danışmanlığı’nda (ADV-2025-03-17) ayrıntılı olarak açıklandığı gibi 1.4.4 veya üstüne yükseltme istenir.
Saldırganların kök veya sistem erişimi kazanma potansiyeli göz önüne alındığında, Ixon’un uzaktan erişim için VPN’sine dayanan endüstriyel sistemler özellikle savunmasızdır.
Endüstriyel siber güvenlik tehditleri geliştikçe, bu keşif VPN çözümleri için titiz güvenlik değerlendirmelerinin öneminin altını çizmektedir. CVE atamaları ve daha fazla açıklama ile ilgili güncellemeler için bizi izlemeye devam edin.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.