Volexity araştırmacıları, Ivanti Connect Secure VPN cihazlarındaki iki sıfır gün güvenlik açığının (CVE-2023-46805, CVE-2024-21887) bilinmeyen saldırganlar tarafından aktif olarak kullanıldığını keşfetti.
Bu kusurlara yönelik yamalar şu anda mevcut değildir ancak kötüye kullanım riski, Ivanti’nin indirme portalı aracılığıyla mitigation.release.20240107.1.xml dosyasının içe aktarılmasıyla azaltılabilir.
Güvenlik açıkları hakkında (CVE-2023-46805 ve CVE-2024-21887)
İki güvenlik açığı, daha önce Pulse Connect Secure olarak bilinen Ivanti Connect Secure (ICS) ve Ivanti Policy Secure’un (bir ağ erişim kontrolü çözümü) desteklenen tüm sürümlerini (v9.x ve 22.x) etkiliyor.
CVE-2023-46805, saldırganların kimlik doğrulamayı (çok faktörlü kimlik doğrulama dahil) atlamasına olanak tanır ve CVE-2024-21887, kimliği doğrulanmış saldırganların özel hazırlanmış istekler göndermesine ve cihazda rastgele komutlar yürütmesine olanak tanıyan, cihazların web bileşenindeki bir komut ekleme güvenlik açığıdır .
Saldırganlar, ilkini kullanarak, hedef cihazda kimlik doğrulaması yapmadan ikincisinin istismarından yararlanabilirler.
Saldırılar hakkında
“Aralık 2023’ün ikinci haftasında Volexity, Ağ Güvenliği İzleme hizmeti müşterilerinden birinin ağında şüpheli yatay hareket tespit etti. Daha yakından incelendiğinde Volexity, bir saldırganın web kabuklarını birden fazla dahili ve harici web sunucusuna yerleştirdiğini tespit etti.”
Daha sonra yapılan bir olay müdahale araştırması, saldırganların, kuruluşun internete bakan, günlükleri silinen ve günlük kaydının devre dışı bırakıldığı Ivanti Connect Secure cihazı aracılığıyla giriş yaptığını ortaya çıkardı. (Cihazdan kaynaklanan şüpheli etkinlik 3 Aralık 2023’te başlamıştır.)
Saldırganların art arda iki sıfır günden yararlandığına dair kanıt buldular.
“Bu iki güvenlik açığı birleştirildiğinde, saldırganların sistemde komut çalıştırmasını önemsiz hale getiriyor. Volexity olay müdahale ekipleri, bu özel olayda, saldırganın yapılandırma verilerini çalmak, mevcut dosyaları değiştirmek, uzak dosyaları indirmek ve ICS VPN cihazından tüneli tersine çevirmek için bu açıklardan yararlandığını belirtti.
“Volexity, saldırganın meşru ICS bileşenlerini değiştirdiğini ve ICS Bütünlük Denetleyici Aracı’ndan kaçmak için sistemde değişiklikler yaptığını gözlemledi. Özellikle Volexity, saldırganın meşru bir CGI dosyasına arka kapı açtığını gözlemledi (compcheck.cgi) komut yürütülmesine izin vermek için ICS VPN cihazında.
Volexity’nin Çin ulus-devlet düzeyinde bir tehdit aktörü olduğuna inandığı saldırgan, “ayrıca, oturum açan kullanıcılar için keylog oluşturmak ve kimlik bilgilerini sızdırmak amacıyla cihazın Web SSL VPN bileşeni tarafından kullanılan bir JavaScript dosyasını da değiştirdi. Saldırganın topladığı bilgiler ve kimlik bilgileri, dahili olarak bir avuç sisteme erişmelerine ve sonuçta ağdaki sistemlere sınırsız erişim elde etmelerine olanak sağladı.”
Çarşamba günü yayınlanan bir bilgi bankası makalesinde Ivanti, “güvenlik açıklarından etkilenen 10’dan az müşterinin farkında olduklarını” söyledi.
Güvenlik araştırmacısı Kevin Beaumont, internete yönelik potansiyel olarak savunmasız Ivanti cihazlarının sayısını keşfetmek için Shodan’ı kullandı ve bunların sayısının 15.000’den fazla olduğu ortaya çıktı.
Son birkaç yılda kuruluşlar hibrit bir çalışma yaklaşımını benimsedi ve çalışanların kurumsal varlıklara güvenli bir şekilde erişmesine olanak tanıyan VPN cihazları bir zorunluluk haline geldi. Bu cihazlar her zaman internete bağlı olduğundan, sıfır gün olsun ya da olmasın, bu cihazların güvenlik açıklarından yararlanmak, iyi kaynaklara sahip tehdit aktörlerinin favori taktiği haline geldi.
Azaltma ve iyileştirme
“Desteklenen sürümlere yönelik yamalar kademeli bir programla yayınlanacak ve ilk sürümün 22 Ocak 2024 haftasında müşterilerin kullanımına sunulması hedefleniyor. Son sürümün ise 19 Şubat 2024 haftasında kullanıma sunulması hedefleniyor. Desteklenen bir sürüme yükseltme olanağı da sağlanacak,” dedi Ivanti.
Bu arada, yukarıda belirtilen azaltma sürümü uygulanmalı ve tüm müşterilere harici ICS Bütünlük Denetleyicisi Aracını (eklenmiştir) çalıştırmaları tavsiye edilmelidir.
Ne yazık ki bu eylem saldırganları “kovmayacaktır”. Kuruluşlar, sistemlerinin ele geçirilip geçirilmediğini kontrol etmeli ve eğer öyleyse, tehlikenin boyutunu keşfetmelidir. Volexity’nin gönderisinde, kullanabilecekleri uzlaşma göstergelerinin yanı sıra iyileştirme önerileri de özetleniyor.
Ivanti, “Bir müşteri, gizliliğinin ihlal edildiğine dair kanıt bulursa bir adli tıp sağlayıcısıyla iletişime geçmelidir” dedi.