Bilgisayar korsanları, ZTA için Ivanti Connect Secure, Policy Secure ve Neurons’taki bir güvenlik açığından (CVE-2024-21893) DSLog adı verilen “daha önce bilinmeyen ve ilginç bir arka kapı” enjekte etmek için aktif olarak yararlanıyor.
CVE-2024-21893 yamaları ve kullanımı
Ivanti, etkilenen cihazlar için yamalar yayınladığı Ocak ayı sonlarında Ivanti Connect Secure, Policy Secure ve Neurons for ZTA’nın SAML bileşeninde bulunan bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı olan CVE-2024-21893’ü açıkladı.
Şirket aynı zamanda bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-21888’i de düzeltti ve yamaların aynı zamanda Aralık 2023’te saldırganlar tarafından istismar edilen iki sıfır gün kusuru olan CVE-2023-46805 ve CVE-2024-21887’yi de düzelttiğini belirtti. .
2 Şubat’ta Rapid7, işlevsel bir kavram kanıtını (PoC) istismar eden CVE-2024-21893 için bir teknik analiz yayınladı ve Shadowserver Vakfı, saldırganların ertesi gün bu güvenlik açığından yararlanmaya çalıştığını gözlemledi.
Arka kapıyı yüklemek için CVE-2024-21893’ten yararlanıldı
Orange Cyberdefense CERT, PoC’nin yayınlanmasından sadece birkaç saat sonra bu SAML güvenlik açığını hedef alan saldırıları da gözlemledi.
“3 Şubat’ın ilk saatinde Orange Cyberdefense, güvenliği ihlal edilmiş bir cihazın anlık görüntüsünü ve günlüklerini analiz etti. Ekip, bu cihazın ilk XML azaltma işlemini (API uç noktaları engellendi) uyguladığını ancak henüz ikinci azaltmayı (veya yamayı) yapmadığını söyledi.
“Anlık görüntünün şifresini çözdükten sonra analiz, cihazın güvenliğinin nasıl ihlal edildiğini açıklayabilecek herhangi bir güncel modeli belirlemeye başladı. Daha sonra Orange Cyberdefense, cihazın kod tabanına yerleştirilmiş bir arka kapı keşfetti.”
Ekip birkaç saat içinde güvenliği ihlal edilmiş 670 Ivanti sunucusunu tespit etti.
“Bu cihazların %20’si de ilk kampanya sırasında ele geçirildi. Ancak geri kalanlara ilk XML azaltma uygulandı (bu nedenle CVE-2023-46805 ve CVE-2024-21887’ye karşı savunmasız değillerdi) ancak ikinci azaltma veya yamalar eksikti” diye ekledi araştırmacılar.
DSLog arka kapısı
Yeni arka kapı, normalde Ivanti cihazlarındaki olayları günlüğe kaydetmek için kullanılan bir komut olan “DSLog.pm” Perl komut dosyasına enjekte edildi.
Ekip, Ivanti cihazlarına yönelik önceki saldırılarda kullanılan arka kapılar/web kabuklarından farklı olarak, DSLog arka kapısının cihaz başına benzersiz bir karma kullandığını ve bunun başka bir cihazda uygulanan aynı arka kapıyla iletişim kurmak için kullanılamayacağını buldu.
Bu, arka kapının varlığının arka kapıyla iletişim kurmaya çalışarak tespit edilmesini imkansız hale getirir; bu nedenle savunucular, SSRF güvenlik açığını tetiklerken saldırgan tarafından oluşturulan yapıtların (.txt dosyaları) varlığını kontrol ederek cihazlarının ele geçirilip geçirilmediğini kontrol etmelidir.