Sırasında Tehdit aktörleri Ivanti uç cihazlarında bir araya geldi Bu yılın başlarında içlerinden biri diğerlerinden daha hızlı hareket etti ve kamuya açıklanmasının ertesi günü bir günlük bir istismar gerçekleştirdi.
Son aylarda ortaya çıkan beş güvenlik açığından CVE-2024-21887 öne çıktı. Ivanti Connect Secure ve Policy Secure ağ geçitlerindeki komut ekleme güvenlik açığı, CVSS ölçeğinde 10 üzerinden “kritik” 9,1 olarak derecelendirildi; o zamandan beri kanıtlandı kötü niyetli geliştiriciler için güçlü bir fırlatma rampası.
Yakın zamanda adı “Mıknatıs Goblin” Check Point araştırma blog yazısı, bu potansiyelden en hızlı şekilde yararlananlardan biriydi. Kavram kanıtı (PoC) istismarının yayınlanmasından sonraki bir gün içinde grubun elinde, bunu istismar edebilecek kötü amaçlı yazılım vardı.
Check Point'in tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Oldukça hızlı” diye itiraf ediyor. Daha da önemlisi, “Bunu nasıl yapacaklarına dair devam eden bir süreçleri olduğunu gösterdi; halka açık hizmetlerden yararlanmaları ilk kez değil.”
Mıknatıslı Goblin Hakkında Bilmeniz Gerekenler
Daha önce adı açıklanmayan Magnet Goblin, bir süredir e-ticaret platformu Magento, veri analiz hizmeti Qlik Sense ve Apache ActiveMQ dahil olmak üzere halka açık hizmetlerden bir gün boyunca yararlanıyor.
Windows çalıştıran bir cihazdaki bir güvenlik açığını tehlikeye sokarsa, Magnet Goblin genellikle ConnectWise'ın ScreenConnect veya AnyDesk gibi bir uzaktan izleme ve yönetim (RMM) aracını devreye alır.
Bu kötü amaçlı yazılım örneklerinin, radarın altından geçme şansı ortalamanın üzerindedir; bunun nedeni, doğaları gereği karmaşık olmaları değil, genellikle uç cihazlara karşı konuşlandırılmalarıdır. Shykevich şöyle diyor: “Çünkü Linux'a odaklanıyorlar. Daha fazla yayın Windows'a daha fazla odaklanıyor; ayrıca şu anda Windows için daha iyi savunma yetenekleri var.”
Ne Yapmalı (Yama Yapmak İçin Çok Geç Olduğu İçin)
Sadece Magnet Goblin değil, Raspberry Robin fidye yazılımı grubu gibi diğer büyük tehdit aktörleri de saldırıya uğradı. bir günlük istismarları kamçılamak daha önce görülmemiş oranlarda.
Bu nedenle Shykevich şunu öneriyor: “Yapılacak en önemli şey mümkün olduğu kadar çabuk yama yapmaktır. Yama, yama, yama.” Ancak şunu da ekliyor: “Umarım şirketler zaten yama uygulamıştır. Bu önerinin aslında konuyla alakası yok, çünkü henüz yapmamışlarsa istatistiksel olarak son iki ayda birileri onları istismar etmiş demektir.”
Bunun yanı sıra kuruluşları, Linux sunucularının ve diğer Linux varlıklarının uç nokta korumasına sahip olmasını sağlamaya teşvik ediyor.
“Son bir buçuk yıla kadar birçok kuruluş Linux'u korumayı ihmal etti, çünkü genel olarak Linux ile çalışan tehdit aktörleri çok daha az ve bunun için daha az kötü amaçlı yazılım var. Ancak genel olarak giderek daha fazlasını gördük. Buradaki kötü amaçlı yazılımlar ve daha fazla fidye yazılımı gibi kötü adamlardan Linux'a odaklanın. Bu bir trend.” diye bitiriyor. “Bu yüzden insanlara Linux sunucularının Windows'larından daha az korunmadığını doğrulamalarını öneriyorum.”