Şüpheli bir Çin APT grubu, IVanti Connect Secure (ICS) 22.7R2.5 veya daha önceki veya Pulse Connect Secure 9.1x çalıştıran cihazlardan ödün vermek için daha önce sömürü olmadığı düşünülen bir tampon taşma hatası olan CVE-2025-22457’den yararlandı.
Güvenlik açığı, 11 Şubat 2025’te piyasaya sürülen ICS 22.7R2.6’da Ivanti tarafından yamalandı. Ancak görünüşe göre, tehdit oyuncusu yamayı inceledi ve “karmaşık bir süreçle ortaya çıkarıldı. [that] Uzaktan kod yürütülmesini sağlamak için 22.7R2.5 ve daha erken kullanma mümkün oldu ”dedi.
“Mantiant ve Ivanti, ICS 9.x (yaşamın sonu) ve 22.7R2.5 ve önceki sürümlere karşı vahşi doğada aktif sömürü kanıtı tespit ettiler.”
CVE-2025-22457 Sömürülmüş, eski ve yeni kötü amaçlı yazılımlar
Geçici olarak UNC5221 olarak etiketlenen şüpheli Çin-Nexus casusluk aktörünün, Ivanti’nin çözümlerinde daha önce birkaç sıfır günlük böceği kullananla aynı olduğuna inanılıyor: CVE-2025-0282, CVE-2023-46805 ve CVE-2024-21887. Ayrıca CVE-2023-4966, yani “Citrixbleed” aracılığıyla NetScaler ADC ve NetScaler Gateway Cihazları’na çarpan sıfır gün saldırılarının arkasında.
Google’ın araştırmacıları, “Gözlenen CVE-2025-22457 sömürüsünün en eski kanıtları Mart 2025 ortasında meydana geldi” dedi.
Bir kez, saldırganlar iki yeni kötü amaçlı yazılım ailesi kullandı-Trailblaze sadece bellek içi damlalık ve fırça ateşi pasif arka kapısı-ve önceki UNC5221 saldırılarında görülen yumurtlama kötü amaçlı yazılım ekosisteminin unsurları:
- Spawnsloth – bir günlük kurcalama yardımcı programı
- Spawnsnare – sıkıştırılmamış Linux çekirdek görüntüsünü (vmlinux) bir dosyaya çıkarmak ve şifrelemek için kullanılan bir yardımcı program
- Spawnwave – Spawnchimera’nın yeteneklerini birleştiren bir araç ve kötü amaçlı yazılım aileleri
- Ivanti’nin Integrity Checker Aracı’nın (BİT) değiştirilmiş bir versiyonu tespit etmek
“[Google Threat Intelligence Group (GTIG)] UNC5221’in, tutarlı başarı geçmişine ve agresif operasyonel tempolara göre kenar cihazlarının sıfır gün sömürülmesini sürdürmeye devam edeceğini değerlendirir. Ek olarak, (…) GTIG, UNC5221’in, müdahale işlemleri sırasında gerçek kaynaklarını maskelemek için tehlikeye atılmış siberoam cihazları, QNAP cihazları ve ASUS yönlendiricilerinden oluşan bir şaşkınlık ağından yararlandığını gözlemledi. ”
Ne yapalım?
“[CVE-2025-22457] Dönem ve sayılarla sınırlı karakterlere sahip bir tampon taşmasıdır, değerlendirildi ve uzaktan kod yürütme olarak sömürülemeyecekleri ve hizmet reddi gereksinimlerini karşılamadığı belirlenmiştir ”dedi.
Ivanti Connect Secure sürümlerini 22.7R2.5 ve önceki sürümleri etkiler, Pulse Connect Secure 9.x (Aralık 2024’te destek Sonu), Ivanti Politika Güvenli ve ZTA ağ geçitlerini etkiler.
Son iki çözüm biraz korunuyor ve hedeflendiklerine dair bir gösterge yok.
Ancak savunmasız Ivanti Connect Secure ve Pulse Connect Secure’u çalıştıran “sınırlı” sayıdaki müşteri etkilenmiştir.
Daha önce de belirtildiği gibi, CVE-2025-22457, Ivanti Connect Secure 22.7R2.6’da sabitlendi ve kullanıcılar buna veya daha sonraki bir sürüme yükseltmeli. Pulse Connect Secure 9.x artık desteklenmediğinden, Ivanti müşterilere “güvenli bir platform” için bir geçişte yardımcı olabilmeleri için iletişim kurmalarını tavsiye eder.
Ivanti Politikası Güvenli ve ZTA Gateways’deki kusurların yamaları geliştiriliyor ve sırasıyla 21 Nisan ve 19 Nisan tarihlerinde piyasaya sürülecek.
Olası kurban havuzunun bir parçası olan müşteriler – yani, hala savunmasız bir Ivanti Connect Secure ve Pulse Connect Secure sürümünü çalıştıranlar – cihazlarının tehlikeye girip girmediğini kontrol etmelidir.
Şirket, “Müşteriler harici BİT’lerini izlemeli ve web sunucusu çökmelerini aramalıdır. ICT sonucunuz uzlaşma belirtileri gösteriyorsa, cihazda bir fabrika sıfırlaması yapmalı ve ardından cihazı 22.7R2.6 sürümünü kullanarak üretime koymalısınız” dedi.
Google’ın profesyonelleri, kullanılan kötü amaçlı yazılımların ve bunlardan bazılarını tespit etmek için YARA kurallarının karmalarını yayınladılar, “Bu, Web süreciyle ilgili temel dökümleri aktif olarak izlemeli, ICT belirtilen dosyaları araştırmalı ve cihaza sunulan istemci TLS sertifikalarının anomali tespiti yapmalıdır.”
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!