Yazılım satıcısı Ivanti, müşterilerini Ivanti Connect Secure ve Ivanti Policy Secure Gateway’lerin tüm desteklenen sürümlerindeki aktif olarak istismar edilen iki güvenlik açığı konusunda uyardı. Başarılı bir şekilde yararlanma, saldırgana Ivanti’nin Sanal Özel Ağ (VPN) sistemi üzerinde rastgele kod çalıştırma yeteneği verecektir.
Uyarı, CISA ve Alman BSI gibi birçok uluslararası güvenlik kurumu tarafından da yineleniyor. Her ikisi de bu iki zincirleme güvenlik açığından aktif olarak yararlanıldığını işaret ediyor. Ivanti Connect Secure, kullanıcıların kuruluşlarının ağına bağlanmasına olanak tanıyan, yaygın olarak kullanılan bir VPN çözümüdür.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu raporlarda bahsedilen CVE’ler şunlardır:
CVE-2023-46805 (CVSS puanı 10 üzerinden 8,2): Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un web bileşeninde bulunan ve uzaktaki bir saldırganın kısıtlı kaynaklara erişmesine izin veren bir kimlik doğrulama atlama güvenlik açığı kontrol kontrollerini atlayarak.
CVE-2024-21887 (CVSS puanı 10 üzerinden 9,1): Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un web bileşenlerindeki bir komut ekleme güvenlik açığı, kimliği doğrulanmış bir yöneticinin özel hazırlanmış istekler göndermesine ve keyfi yürütmesine olanak tanır cihazdaki komutlar.
Ivanti Neurons for Secure Access bu CVE’lere karşı savunmasız değildir. Ancak yönetilen ağ geçitleri bağımsız olarak bunlara karşı savunmasızdır.
Saldırganlar, yönetici olarak kimlik doğrulamak için kimlik doğrulama bypass’ını kullandıktan sonra, kalıcılık kazanmak için VPN sistemine web kabukları yükleyebilir ve güvenliği ihlal edilen cihazlarda komutları çalıştırabilirler.
Etkin istismarın 3 Aralık 2023’e kadar uzandığı görüldü. Bu saldırganlar, günlük dosyalarını sildi ve ele geçirilen sistemdeki oturumu kapattı. Bunun yanı sıra, yapılandırma dosyalarını çalmışlar, mevcut dosyaları değiştirmişler, uzaktaki dosyaları bırakmışlar ve onlara sınırsız erişim sağlayan bir ters tünel kurmuşlardı.
Bırakılan dosyalardan biri, oturum açan kullanıcıların kimlik bilgilerini çalan ve aynı zamanda yanal hareket için de kullanılabilen bir JavaScript içeriyordu.
Azaltma
Yamalar, sürümlere dayalı bir programa göre yayınlanacak ve ilki 22 Ocak haftasında çıkacak. Son sürüm ise 19 Şubat haftasında çıkacak.
“Çalıştırdıkları sürüm numarasını bize bildiren, mevcut kurulu çözümlerden elde ettiğimiz telemetri bilgilerine dayalı yamaları yayınlıyoruz. İlk önce en yüksek kurulum sayısı için yamaları yayınlıyoruz ve ardından azalan sırayla devam ediyoruz.”
O zamana kadar müşterilere bir geçici çözüm uygulamaları, ağ trafiğini şüpheli etkinliklere karşı izlemeleri ve Connect Secure cihazlarındaki günlükleri analiz etmeleri tavsiye ediliyor.
Geçici çözüm, indirme portalı aracılığıyla edinilebilecek bir mitigation.release.20240107.1.xml dosyasının içe aktarılmasını gerektirir (oturum açmanız gerekir). XML dosyası sıkıştırılmış formatta olduğundan, sıkıştırmayı açıp XML dosyasını içe aktarmanız gerekir.
- Şu yöne rotayı ayarla Bakım > İthalat ihracat > XML’i içe aktar
- Kullan Araştır sıkıştırılmamış XML dosyasını işaret eden düğme
- Tıkla İçe aktarmak Düğme
Bu XML’in bir Kümenin herhangi bir düğümüne aktarılması yeterlidir. SSS ve daha ayrıntılı talimatları Ivanti’nin tavsiye niteliğindeki makalesinde bulabilirsiniz.
Geçici çözümü veya yamayı kullanıma sunulduklarında uygulamanın, bir saldırının etkilerini geri almak için yeterli olmadığını unutmamak önemlidir. Bulut sunucularınızın ele geçirildiğine dair işaretler görürseniz, saldırganların neler elde etmiş olabileceğini ve gerekli güvenlik seviyesini yeniden kazanmak için ne yapılması gerektiğini öğrenmek için araştırmalı veya uzman bir araştırmacı tutmalısınız.
CISA, FCEB ağlarını aktif tehditlere karşı korumak için Federal Sivil Yürütme Organı (FCEB) kurumlarının belirlenen güvenlik açıklarını 21 Ocak 2024’e kadar düzeltmesini gerektiren Bilinen Yararlanan Güvenlik Açıkları Kataloğu’na CVE-2023-46805 ve CVE-2024-21887’yi ekledi.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.