CISA, Ivanti’nin Endpoint Manager Mobile (EPMM) ve MobileIron Core cihaz yönetimi yazılımındaki (Ağustos 2023’te yamalanan) kritik bir kimlik doğrulama atlama güvenlik açığının şu anda aktif olarak istismar edildiği konusunda uyarıyor.
CVE-2023-35082 olarak takip edilen kusur, tüm EPMM 11.10, 11.9 ve 11.8 ile MobileIron Core 11.7 ve önceki sürümlerini etkileyen, kimliği doğrulanmamış uzaktan API erişim güvenlik açığıdır.
Başarılı bir şekilde yararlanma, saldırganların mobil cihaz kullanıcılarının kişisel olarak tanımlanabilir bilgilerine (PII) erişmesini sağlar ve hatayı diğer kusurlarla zincirlerken güvenliği ihlal edilmiş sunuculara arka kapı açmalarına olanak tanıyabilir.
Şirket, Ağustos ayında yaptığı açıklamada, “Ivanti’nin şu anda kullanılabilir bir RPM komut dosyası var. Müşterilerin önce desteklenen bir sürüme yükseltmelerini ve ardından RPM komut dosyasını uygulamalarını öneriyoruz.” dedi. “Daha ayrıntılı bilgiyi Ivanti Topluluğu portalındaki bu Bilgi Bankası makalesinde bulabilirsiniz.”
Güvenlik açığını keşfeden ve bildiren siber güvenlik şirketi Rapid7, yöneticilerin CVE-2023-35082 saldırısının işaretlerini tespit etmesine yardımcı olmak için güvenlik ihlali göstergeleri (IOC’ler) sağlıyor.
Shodan’a göre, 6.300 Ivanti EPMM kullanıcı portalı şu anda çevrimiçi olarak açığa çıkarken, Shadowserver tehdit izleme platformu 3.420 İnternet’e açık EPMM cihazını izliyor.
Shodan’ın verileri ayrıca dünya çapındaki devlet kurumlarıyla bağlantılı 150’den fazla örneğe İnternet üzerinden doğrudan erişilebileceğini de ortaya koyuyor.
CVE-2023-35082 aktif istismarına ilişkin henüz daha fazla ayrıntı sunmasa da CISA, aktif istismar kanıtlarına dayanarak güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekledi ve fidye yazılımı saldırılarında kötüye kullanım kanıtı bulunmadığını söyledi.
Siber güvenlik kurumu ayrıca ABD federal kurumlarına, üç yıl önce yayınlanan bağlayıcı bir operasyonel direktifin (BOD 22-01) gerektirdiği şekilde 2 Şubat’a kadar yama yapmalarını emretti.
Ivanti henüz Ağustos ayı tavsiyelerini güncellemedi veya saldırganların bu güvenlik açığını yaygın olarak kullandığına dair başka bir uyarı bildirimi yayınlamadı.
Diğer iki Ivanti Connect Secure (ICS) sıfır günü, kimlik doğrulama bypass’ı (CVE-2023-46805) ve komut ekleme (CVE-2024-21887) de 11 Ocak’tan itibaren birden fazla tehdit grubu tarafından toplu olarak istismar ediliyor.
Şu ana kadar ele geçirilen kurbanlar, küçük işletmelerden çeşitli endüstri sektörlerindeki çok sayıda Fortune 500 şirketine kadar uzanıyor; saldırganlar, GIFTEDVISITOR web kabuğu varyantını kullanarak halihazırda 1.700’den fazla ICS VPN cihazına arka kapı açmış durumda.
Diğer birçok Ivanti sıfır günü (örn. CVE-2021-22893, CVE-2023-35078, CVE-2023-35081, CVE-2023-38035) son yıllarda düzinelerce hükümet, savunma ve finans kuruluşunu ihlal etmek için istismar edildi Amerika Birleşik Devletleri ve Avrupa genelinde, çeşitli Norveç hükümet kuruluşlarının yanı sıra hedefli saldırılarda.