CISA bugün, tehdit aktörlerinin savunmasız Uç Nokta Yöneticisi (EPM) cihazlarında uzaktan kod yürütme olanağı sağlayan kritik bir Ivanti güvenlik açığının artık saldırılarda aktif olarak kullanıldığı konusunda uyardı.
Ivanti EPM, yöneticilerin Windows, macOS, Chrome OS ve IoT işletim sistemleri dahil olmak üzere çeşitli platformlardaki istemci cihazlarını yönetmesine yardımcı olan hepsi bir arada uç nokta yönetimi çözümüdür.
CVE-2024-29824 olarak izlenen, Ivanti EPM’nin Çekirdek sunucusundaki bu SQL Enjeksiyon güvenlik açığı, aynı ağ içindeki kimliği doğrulanmamış saldırganların yama uygulanmamış sistemlerde rastgele kod yürütmek için yararlanabileceği bir güvenlik açığıdır.
Ivanti, Mayıs ayında bu güvenlik kusurunu düzeltmek için güvenlik güncellemeleri yayımladı ve bu güncellemeler aynı zamanda EPM’nin Core sunucusundaki tümü Ivanti EPM 2022 SU5 ve önceki sürümleri etkileyen diğer beş uzaktan kod yürütme hatasını da ele aldı.
Horizon3.ai güvenlik araştırmacıları Haziran ayında bir CVE-2024-29824 ayrıntılı incelemesi yayınladılar ve GitHub’da “savunmasız Ivanti EPM cihazlarında komutları körü körüne yürütmek” için kullanılabilecek bir kavram kanıtlama istismarı yayınladılar.
Ayrıca, cihazlarında potansiyel istismar işaretleri arayan yöneticilere, komut yürütmeyi elde etmek için kullanılan xp_cmdshell’in kanıtı için MS SQL günlüklerini incelemelerini tavsiye ettiler.
Ivanti bugün orijinal güvenlik tavsiyesini “CVE-2024-29824’ün vahşi ortamda kullanıldığını doğruladığını” belirterek güncelledi.
Şirket, “Bu güncelleme sırasında, sınırlı sayıda müşterinin istismar edildiğinin farkındayız” diye ekledi.
Federal kurumlara üç hafta içinde yama yapılması talimatı verildi
Salı günü CISA da aynı şeyi yaptı ve Ivanti EPM RCE kusurunu Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve onu aktif olarak istismar edildi olarak etiketledi.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, Bağlayıcı Operasyonel Direktifin (BOD) 22-01) gerektirdiği şekilde, 23 Ekim’e kadar üç hafta içinde savunmasız cihazları güvence altına alması gerekiyor,
CISA’nın KEV kataloğu öncelikle federal kurumları mümkün olan en kısa sürede düzeltmeleri gereken güvenlik açıkları konusunda uyarmak için tasarlanmış olsa da, dünya çapındaki kuruluşlar da devam eden saldırıları engellemek için bu güvenlik açığını düzeltmeye öncelik vermelidir.
Son aylarda şirketin VPN cihazlarını ve ICS, IPS ve ZTA ağ geçitlerini hedef alan yaygın saldırılarda sıfır gün kusurları olarak çok sayıda Ivanti güvenlik açığından yararlanıldı.
Geçtiğimiz ay Ivanti, tehdit aktörlerinin yama yapılmamış cihazlara saldırmak için yakın zamanda düzeltilen iki Bulut Hizmetleri Cihazı (CSA) güvenlik açığını zincirlediği konusunda uyarmıştı.
Buna yanıt olarak Ivanti, Eylül ayında, bu tür güvenlik tehditlerini daha hızlı ele almak için sorumlu açıklama sürecini ve test yeteneklerini geliştirmeye çalıştığını duyurdu.
Ivanti, dünya çapında 40.000’den fazla şirkete sistem ve BT varlık yönetimi çözümleri sunmak için 7.000’den fazla kuruluşla ortaklık yapıyor.