Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Siber Ajanslar, Kullanıcıları Yama Yokluğunda Geçici Çözüm Uygulamaya Çağırıyor
Sayın Mihir (MihirBagwe) •
11 Ocak 2024
Muhtemelen Aralık ayından bu yana Çin hükümetiyle bağlantılı olan bilgisayar korsanları, hükümetler ve şirketler tarafından yaygın olarak kullanılan yazılım geliştiricisi Ivanti’nin bir VPN’sindeki iki sıfır günü istismar etti ve bu ayın sonlarına kadar bir yama yayınlanmayacak.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Mobil uç nokta güvenliği sağlayıcısı, hafifletme adımlarını sunarken, şirketin desteklenen sürümler için yamaları kademeli hale getireceği 22 Ocak haftasına kadar bir yamanın mevcut olmayacağını belirtti. Azaltmalar ve yamalar geçmişteki uzlaşmaları çözmeyecek, siber güvenlik firması Volexity’yi Çarşamba günkü bir gönderide bilgisayar korsanlığının ayrıntılarını detaylandırdığı konusunda uyardı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü, bilinen istismar edilen güvenlik açıkları kataloğuna iki sıfır günü ekledi ve federal kurumlara Ivanti’nin rehberliğini takip etmelerini tavsiye etti. Avustralya’nın en büyük siber ajansı da benzer bir tavsiye yayınladı.
Güvenlik cihazları, ağların kenarlarındaki güvenilir konumları ve bu tür sistemlerin çoğunda uç nokta algılama ve yanıt kurulumunun zorluğu göz önüne alındığında, bilgisayar korsanlarının sürekli hedefidir (bkz.: Fortinet VPN Kusuru Güvenlik Cihazlarının Tuzaklarını Gösteriyor).
Ivanti, güvenlik açıklarından 10’dan az müşterinin etkilendiğini söyledi. Siber güvenlik uzmanı Kevin Beaumont, zincirleme istismarlara verdiği takma adı kullanarak, “Açık bir nokta; muhtemelen daha fazla #ConnectAround kurbanı olacak” diye yazdı. Sıfır günler, daha önce Pulse Secure olarak bilinen Ivanti Connect Secure VPN cihazını ve Ivanti Policy Secure Gateway’leri etkiliyor.
Volexity, CVE-2023-46805 ve CVE-2024-21887 olarak takip edilen kusurların “saldırganların sistemde komut çalıştırmasını önemsiz hale getirdiğini” yazdı. Firma, bilgisayar korsanlığı faaliyetini UTA0178 adlı bir tehdit aktörüne bağlıyor. Aktör hakkında çok az şey bilinmesine rağmen Volexity “UTA0178’in Çin ulus devleti düzeyinde bir tehdit aktörü olduğuna inanmak için nedenleri olduğunu” yazdı.
Güvenlik araştırmacıları, Çinli bilgisayar korsanlarının artan karmaşıklığına dikkat çekti; bu gelişme, yaygın olarak, güvenlik açığı raporlarının hükümete zorunlu olarak açıklanmasını gerektiren Pekin yasasına atfediliyor. Çin hükümeti onlarca yıldır Microsoft Outlook ve Atlassian Confluence Veri Merkezi ve Sunucu ürünleri de dahil olmak üzere yaygın olarak kullanılan yazılımları etkileyen kampanyalarda dijital istihbarat toplama ve ekonomik casusluk operasyonlarına imza atıyor. Tehdit istihbarat firması Mandiant, 2021’de Ivanti’nin Pulse Secure VPN’inin daha önce ele geçirilmesini olası bir Çin devleti tehdit aktörüne bağladı.
Stratejik ve Uluslararası Çalışmalar Merkezi, “Hack, Çin’in tercih ettiği casusluk yöntemidir” diye yazdı.
Volexity kurucu ortağı Sean Koessel, CNN’e, bu son kampanyanın kurbanlarından birinin, Çin meseleleri de dahil olmak üzere jeopolitik konusundaki araştırmaları için düzenli olarak devlet destekli bilgisayar korsanlarının odağını çektiğini söyledi. “Çin’de gördüğümüz casuslukla uyumlu” [hackers] geçmişte” dedi ağa.
CVE-2023-46805, bilgisayar korsanlarının “kontrol kontrollerini atlayarak kısıtlı kaynaklara erişmesine” olanak tanıyan bir yetkilendirme güvenlik açığıdır; CVE-2024-21887 ise saldırganların bir cihaza komut göndermesine olanak tanır. Ivanti, bilgisayar korsanlarının çok faktörlü kimlik doğrulama gibi korumaları atlatmak için her iki güvenlik açığını da zincirlediğini söyledi.
Beaumont’un nesnelerin interneti arama motoru Shodan’da yaptığı bir sorgu, internette Connect Secure VPN’in 15.000’den fazla açıkta kalan örneğini ortaya çıkardı. En çok etkilenen ülke ABD olurken, onu Japonya takip etti.
Volexity, ilk olarak Aralık 2023’ün ortasında bir müşterinin ağında şüpheli yatay hareket gözlemledi ve etkinliğin izini Ivanti VPN’ye kadar sürdü. Bilgisayar korsanlarının cihaza sızdığına dair bir ipucu da “günlüklerin silindiği ve kayıt tutmanın devre dışı bırakıldığı”ydı. Ağ trafiği üzerinde yapılan incelemede, 3 Aralık’a kadar uzanan şüpheli iletişimler tespit edildi.
Volexity’ye göre tehdit aktörü, kimlik bilgileri toplamak için web kabukları, proxy yardımcı programları ve dosya değişiklikleri kullandı.
“UTA0178, ICS VPN cihazı aracılığıyla ağa eriştiğinde, genel yaklaşımları, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak sistemden sisteme geçiş yapmaktı. Daha sonra, ihlal edilen herhangi bir yeni sistemdeki kullanıcıların kimlik bilgilerini daha da tehlikeye atacak ve bu kimlik bilgilerini, oturum açmak için kullanacaklardı. RDP aracılığıyla ek sistemlere aktarılabilir.”