Güvenlik araştırmacıları, Ivanti’nin ayrı bir güvenlik soruşturması sırasında keşfettiği bir güvenlik açığının yaygın biçimde istismar edildiğini söylüyor.
Ivanti, CVE-2023-46805 ve CVE-2024-21887’yi araştırıp yamalarken, CVE-2024-21893 adında bir sunucu tarafı istek sahteciliği (SSRF) hatası keşfetti.
O dönemde sıfır gün güvenlik açığının “az sayıda müşteriyi” etkilediği söylendi.
31 Ocak’ta Mandiant, saldırganların SSRF hatasını istismar etmeye çalışırken “geniş bir istismar faaliyeti tespit ettiğini” söyledi.
5 Şubat’ta Rapid7, bir istismar gösterisi de dahil olmak üzere güvenlik açığına ilişkin ayrı bir analiz yayınladı.
Shadowserver, güvenlik açığından yararlanma hacminin arttığını bildirdi.
“CVE-2024-21893’ün, @Rapid7 paylaşımından 2 saat önce ‘/dana-na/auth/saml-logout.cgi’ kullanılarak kullanıldığını ve şaşırtıcı olmayan bir şekilde, yayınlandıktan sonra ‘/dana-ws/saml20.ws’ adresine çok sayıda saldırı yapıldığını gözlemledik.” Shadowserver X’te bir gönderi paylaştı.
“Buna ters kabuk denemeleri ve diğer kontroller de dahildir. Bugüne kadar 170’in üzerinde saldıran IP söz konusu oldu”.
ABD Siber ve Altyapı Güvenliği Ajansı (CISA), ABD kurumlarına hizmetteki Ivanti Connect Secure birimlerinin bağlantısını kesmeleri ve yama uygulanıp fabrika ayarlarına sıfırlanana kadar yeniden bağlanmamaları talimatını verdi.