Güvenlik tedarikçisi Ivanti, bazı ürünlerinde yeni ortaya çıkan iki güvenlik açığının muhtemelen Çin destekli tehdit aktörleri tarafından istismar edildiğinin ortaya çıkmasının ardından kendisini bir kez daha genişleyen bir ihlal serisinin merkezinde buldu.
CVE-2025-0282 ve CVE-2025-0283 olarak adlandırılan söz konusu güvenlik açıkları, Ivanti’nin ZTA ağ geçidi ürünlerine yönelik Connect Secure, Policy Secure ve Neurons ürünlerini etkiliyor.
Birincisinin kullanılması, bir tehdit aktörünün kimlik doğrulamasız uzaktan kod yürütme (RCE) gerçekleştirmesine olanak tanır ve ikincinin kullanılması, yerel olarak kimliği doğrulanmış bir saldırganın ayrıcalıklarını yükseltmesine olanak tanır.
CVE-2025-0282 resmi olarak sıfır gün olup Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklenmiştir. Birleşik Krallık’ta Ulusal Siber Güvenlik Merkezi’nin (NCSC) bir sözcüsü şunları söyledi: “NCSC, Birleşik Krallık’ın etkisini tam olarak anlamak için çalışıyor ve Birleşik Krallık ağlarını etkileyen aktif istismar vakalarını araştırıyor.”
Ivanti, gerçek dünyada Connect Secure cihazlarının sınırlı sayıda kullanıcısının 9 Ocak 2025 Perşembe itibarıyla CVE-2025-0282’den etkilendiğini söyledi. Ancak Policy Secure veya ZTA ağ geçitlerinin hiçbir kullanıcısı etkilenmedi ve şu ana kadar 9 Ocak’ta CVE-2025-0283’ün istismar edildiğine dair hiçbir kesin kanıt yoktu.
Connect Secure’da her iki CVE için de bir yama mevcut ancak şimdilik her ikisi de Policy Secure ve ZTA için Neurons’ta yama yapılmamış durumda ve 21 Ocak’a kadar bir düzeltme beklenmiyor.
Ivanti’nin bir sözcüsü şunları söyledi: “Bu tehdide yanıt verirken etkilenen müşteriler, dış güvenlik ortakları ve emniyet teşkilatlarıyla yakın işbirliği içinde çalışmaya devam ediyoruz. Tüm ağ altyapısının bütünlüğünü ve güvenliğini sağlamak için siber güvenliğe yönelik sağlam ve katmanlı bir yaklaşımın parçası olarak tüm müşterilerimize iç ve dış BİT’lerini yakından izlemelerini şiddetle tavsiye ediyoruz.
“Müşterilere yamayı uygulama ve endişelerini giderme konusunda yardımcı olmak için ek kaynaklar ve destek ekipleri hazırladık.
“Müşterilerimize ve güvenlik ortaklarımıza, bu sorunu hızlı bir şekilde tespit etmemizi ve yanıt vermemizi sağlayan katılımları ve destekleri için teşekkür ederiz” diye eklediler. “Ürünlerimizi ve süreçlerimizi işbirliği ve şeffaflık yoluyla sürekli iyileştirmeye kararlıyız.
“Bu olay, özellikle kurumsal bir ağa ilk erişim noktası olarak önemli bir hizmet sağlayan ancak aynı zamanda son derece çekici olan uç cihazlar (VPN’ler gibi) için sürekli izlemenin ve proaktif ve katmanlı güvenlik önlemlerinin önemini hatırlatıyor.” Saldırganlara.”
Çin ile son bağlantı
Ivanti ile birlikte araştırma ve iyileştirme konusunda çalışan Google Cloud Mandiant’a göre, en az bir örnekte bir tehdit aktörü, bir tünel açıcı olan SPAWNMOLE ve SPAWNSNAIL dahil olmak üzere SPAWN kötü amaçlı yazılım ekosisteminin öğelerini dağıtmak için kusurları kullanmayı başardı. bir SSH arka kapısı.
Mandiant’ın araştırmacıları, Ivanti ürünlerinin hedeflenmesinin ardından bu kötü amaçlı yazılımların kullanılmasının, 2024’ün başlarında diğer Ivanti güvenlik açıklarından yararlandığı bilinen Çin-nexus casusluk grubu olduğundan şüphelenilen UNC5221 ile bağlantılı UNC5337 tehdit faaliyet kümesine atfedildiğini söyledi.
LinkedIn’de yazan Mandiant baş teknoloji sorumlusu Charles Carmakal, UNC5221’in son kampanyasının gelişmekte olduğunu ve halen analiz altında olduğunu belirtti ve karışımda başka tehdit aktörlerinin de bulunabileceğini ima etti. “Potansiyel kitlesel sömürü” senaryosunu açıklayarak Ivanti kullanıcılarını yeni yamaları derhal uygulamaya öncelik vermeye çağırdı.
Ancak bu sürecin risksiz olmayabileceği konusunda da uyardı. “Tehdit aktörü, yöneticileri bir sistemi başarıyla yükselttiklerini düşünmeleri için kandırmak için yeni bir teknik uyguladı” diye yazdı.
“Tehdit aktörü, yasal sistem yükseltmelerini engellerken aynı zamanda sahte bir yükseltme ilerleme çubuğu görüntüleyen kötü amaçlı yazılım kullandı. Bu, başarılı bir güncellemenin ikna edici bir görünümünü oluşturur; gerçekte kötü amaçlı yazılım, gerçek yükseltmenin gerçekleşmesini sessizce engeller. Bazı kuruluşlar, gerçekte yapmadıkları halde güvenlik açığını giderdiklerini varsayabilir.”
Saldırganların, kötü amaçlı yazılımlarının varlığına dair kanıtları gizlemek için Ivanti’nin (kullanıcıların riskleri belirlemesine yardımcı olmak için tasarlanmış) yerleşik Bütünlük Denetleyici Aracı ile de oynamış olabileceğini ekledi.
‘Bu işi ciddiye alın’
Saldırı yüzeyi yönetimi uzmanı WatchTowr’un CEO’su Benjamin Harris, Ivanti kullanıcılarını en son gelişmeleri yakından takip etmeye çağırdı.
“Endişemiz önemli çünkü bu, APT’nin kritik bir cihaza karşı sıfır gün kullanımının tüm özelliklerini taşıyor” dedi. “Bu aynı zamanda, sektör olarak Ocak 2024’te gördüğümüz Ivanti ürünlerinde dolaşan davranış ve dramlara da benziyor ve Ivanti’nin bu deneyimden etkili bir tepki verme konusunda ders çıkardığını ancak umabiliriz.”
Harris, etkilenen ürün grubunun tamamında yama bulunmamasının ek bir endişe kaynağı olması gerektiğini ekledi.
“Ivanti Connect Secure kullanıcılarının bir yaması var, ancak bir kez daha söylüyorum: Ivanti’nin Policy Secure’u ve ZTA ağ geçitleri için Neurons gibi etkilenen diğer cihazlara yönelik yamalar, bir yama için üç hafta bekletiliyor. Bu ürünlerin kullanıcıları tereddüt etmemeli; yamalar çıkana kadar bu cihazlar devre dışı bırakılmalıdır” dedi.
“WatchTowr müşterisi olsun ya da olmasın, herkesi lütfen bunu ciddiye almaya çağırıyoruz. Bu gibi durumlarda güvenlik açığı SLA’larınızı herkesçe bilinen rüzgara atın; bunlar artık geçerli değildir ve hızlı yanıt ile saatler içinde yanıt arasındaki fark, kuruluşunuzun siber sigortacınızı arayıp aramaması arasındaki fark olabilir.”