Ivanti, vahşi doğada aktif sömürü altına giren Connect Secure’sini etkileyen şimdi yazılmış kritik bir güvenlik açığının ayrıntılarını açıkladı.
Güvenlik açığı, CVE-2025-22457 (CVSS Puanı: 9.0), etkilenen sistemlerde keyfi kod yürütmek için kullanılabilecek yığın tabanlı bir tampon taşması durumuyla ilgilidir.
Ivanti Perşembe günü yayınlanan bir Alert’te Ivanti, “22.7R2.6 sürümünde Ivanti Connect Secure, 22.7R2.6 sürümünden önce Secure, 22.7R1.4 sürümünden önce Secure ve Ivanti ZTA ağ geçitlerinden önce Secure ve Ivanti ZTA ağ geçitlerinden önce güvenli bir arabellek taşması.
Kusur, aşağıdaki ürün ve sürümleri etkiler –
- Ivanti Connect Secure (sürüm 22.7R2.5 ve Prior) – 22.7R2.6 sürümünde sabit (11 Şubat 2025’te yayınlanan yama)
- Pulse Connect Secure (sürümler 9.1R18.9 ve Prior)-Sürüm 22.7R2.6’da düzeltildi (cihaz 31 Aralık 2024 itibariyle destek Sonu’na ulaştığında taşınması için Ivanti ile iletişime geçin)
- Ivanti Politikası Güvenli (sürüm 22.7R1.3 ve Prior) – 22.7R1.4 sürümünde sabit (21 Nisan’da mevcut olacak)
- ZTA Gateways (sürüm 22.8R2 ve Prior) – 22.8R2.2 sürümünde sabit (19 Nisan’da satışa sunulacak)
Şirket, güvenli ve destek sonunda nabız bağlantı sabit cihazları kullanılmış olan “sınırlı sayıda müşteri” nin farkında olduğunu söyledi. Politika Secure veya ZTA ağ geçitlerinin wild içi istismar altına girdiğine dair bir kanıt yoktur.
Ivanti, “Müşteriler harici BİT’lerini izlemeli ve web sunucusu çökmelerini aramalıdır.” Dedi. “BİT sonucunuz uzlaşma belirtileri gösteriyorsa, cihazda bir fabrika sıfırlaması yapmalı ve ardından 22.7R2.6 sürümünü kullanarak cihazı tekrar üretime koymalısınız.”
Burada Secure Secure sürüm 22.7R2.6’nın, uzaktan kalıcı bir saldırganın keyfi dosyalar yazmasına ve yürütme iddiası kodunu yürütmesine izin verebilecek birden fazla kritik güvenlik açığını (CVE-2024-38657, CVE-2025-22467 ve CVE-2024-10644) ele aldığını belirtmek gerekir.
Google’a ait maniant, kendi bülteninde, Mart 2025’in ortalarında CVE-2025-22457’nin kullanıldığına dair kanıtları gözlemlediğini ve tehdit aktörlerinin Trailblaze, pasif bir arka kapı kodlu fırça ateşi ve spawn kötü amaçlı süit olarak adlandırılan bir bellek içi damlalık sunmasına izin verdiğini söyledi.
Saldırı zinciri esasen TrailBlaze’yi yürütmek için çok aşamalı bir kabuk komut dosyası damlasının kullanılmasını içerir, bu da daha sonra fırça ateşini, algılamayı kenarda tutmak için doğrudan çalışan bir web işleminin belleğine enjekte eder. Sömürü faaliyeti, tehlikeye atılan cihazlarda kalıcı arka kapı erişimini sağlamak için tasarlanmıştır, potansiyel olarak kimlik bilgisi hırsızlığı, daha fazla ağ saldırısı ve veri yayılımı sağlar.
Yumurtlama kullanımı, Ivanti Connect Secure (ICS) cihazlarında sıfır gün kusurlarından yararlanma öyküsü olan UNC5221 olarak izlenen bir Çin-nexus düşmanına atfedilir, UNC5266, UNC5291, UNC5325, UNC5330, UNC5886 gibi diğer kümeler ve UNC3886.
ABD hükümetine göre UNC5221, APT27, İpek Typhoon ve UTA0178 gibi tehdit gruplarıyla örtüşmeleri paylaştığı da değerlendirildi. Bununla birlikte, tehdit istihbarat firması Hacker News’e bu bağlantıyı doğrulamak için kendi başına yeterli kanıt bulunmadığını söyledi.
Google Tehdit İstihbarat Grubu Çin Misyonu Teknik Lideri Dan Perez, “Mantiant UNC5221’i sıfır gün güvenlik açıklarıyla tekrar tekrar kullanan bir faaliyet kümesi olarak izler.”
“Hükümet tarafından yapılan bu küme ve APT27 arasındaki bağlantı makul, ancak onaylamak için bağımsız kanıtlarımız yok. İpek Typhoon bu etkinlik için Microsoft’un adıdır ve onların ilişkilendirmesiyle konuşamayız.”
UNC5221 ayrıca, müdahale işlemleri sırasında da Microsoft tarafından vurgulanan ve Silk Typhoon’un en yeni tradecraft’ı detaylandıran bir yönü olan bir yönü, uzlaşmış siberoam aletlerinin, QNAP cihazlarının, QNAP cihazlarının ve ASUS yönlendiricilerinden oluşan bir şaşkınlık ağından yararlandı.
Şirket ayrıca, tehdit aktörünün muhtemelen Ivanti tarafından yayınlanan Şubat yamasını analiz ettiğini ve eşleştirilmemiş sistemlere karşı uzaktan kod yürütülmesi için önceki sürümlerden yararlanmanın bir yolunu bulduğunu teorize etti. Geliştirme, UNC5221’in ilk kez Ivanti cihazlarındaki bir güvenlik kusurunun N-Day sömürüsüne atfedildiği işaretleri.
Mantiant Consulting CTO’su Charles Carmakal, “UNC5221’den gelen bu son etkinlik, Çin-Nexus casusluk grupları tarafından küresel olarak kenar cihazlarının devam eden hedeflemesinin altını çiziyor.” Dedi.
Diyerek şöyle devam etti: “Bu aktörler, EDR çözümlerini desteklemeyen kurumsal sistemler için güvenlik açıklarını araştırmaya ve özel kötü amaçlı yazılım geliştirmeye devam edecekler. China-Nexus casusluk aktörleri tarafından siber saldırı faaliyetinin hızı artmaya devam ediyor ve bu aktörler her zamankinden daha iyi.”