Dalış Özeti:
- Federal yetkililer Çarşamba günü yaptığı açıklamada, saldırganların daha önce açıklanan birden fazla Ivanti Cloud Service Appliance güvenlik açığını farklı sıralarda kullanarak en az üç kurban kuruluşa izinsiz giriş yaptığını ve zincirlediğini söyledi. ortak danışmanlık.
- FBI ile Siber Güvenlik ve Altyapı Güvenliği Ajansı, Ivanti’nin Eylül ve Ekim aylarında açıkladığı dört güvenlik açığının, saldırganlar tarafından ilk erişim elde etmek, uzaktan kod yürütmek, kimlik bilgileri elde etmek ve kurban ağlarına web kabukları yerleştirmek için kullanıldığını söyledi. Ivanti’nin tavsiyelerine göre dört güvenlik açığından da sıfır gün olarak yararlanıldı.
- Yetkililer, bir istismar zincirinin CVE-2024-8190 ve CVE-2024-9380 ile birlikte CVE-2024-8963’ü kullandığını, diğer zincirin ise CVE-2024-8963 ve CVE-2024-9379’u kullandığını söyledi. Teyidin doğrulandığı bir olayda saldırganlar yan yana iki sunucuya geçti.
Dalış Bilgisi:
Ivanti müşterileri geçen yıl, sıfır günleri hedef alan ve çeşitli ürünleri kapsayan çok sayıda saldırı türüyle karşı karşıya kaldı. Ivanti Connect Güvenli, Ivanti Uç Nokta Yöneticisi Ve Ivanti Bulut Hizmet Cihazı. Şüpheli satıcı açıkladı birden fazla Ivanti ürününde bir sıfır gün dahaBu ayın başlarında Ivanti Connect Secure da dahil.
Ortak danışma belgesinde işaretlenen dörtlü güvenlik açığı, kullanım ömrünün sonuna gelen ve artık yama almayan Ivanti Cloud Service Appliance sürüm 4.6’yı etkiliyor. CVE-2024-9379 ve CVE-2024-9380 adlı bir çift güvenlik açığı, Cloud Service Appliance’ın 5.0.1 ve önceki sürümlerini etkiler.
İvanti müşterileri yükseltmeye teşvik etti Cloud Service Appliance 5.0’a yönelik güvenlik açıklarının bulunduğunu söyledi son sürümde istismar edilmedi ürünün.
Ivanti’nin bir sözcüsü Perşembe günü e-posta yoluyla şunları söyledi: “CISA tarafından dün yayınlanan rapor, kullanım ömrü sona eren bir üründe ve geçen yılın Eylül/Ekim aylarında meydana gelen tehdit aktörü faaliyetinde daha önce açıklanan ve düzeltilen bir güvenlik açığıyla ilgilidir.”
Sözcü, “CISA tarafından açıklanan saldırı zinciri, güncellenmiş Bulut Güvenlik Uygulaması çözümünde istismar edilemez ve Ivanti’nin yönetici portallarını internete maruz bırakmama konusundaki rehberliğini takip eden kullanıcıların bu güvenlik açığından kaynaklanan riskleri azalır” dedi. “Bu nedenle, bu güvenlik açığından bugüne kadar sınırlı düzeyde yararlanıldığı gözlemlendi.”
FBI ve CISA, etkilenen Ivanti cihazlarında depolanan kimlik bilgilerinin ve verilerin ele geçirilmiş sayılması gerektiğini söyledi ve müşterilere kötü niyetli faaliyetlere ilişkin günlükleri toplayıp analiz etmeleri tavsiyesinde bulundu. Ajanslar, ortak danışma belgesinde ayrıntılı uzlaşma göstergeleri yayınladı.
Ivanti, Ivanti Connect Secure ve diğer ürünlerdeki kusurları hedef alan bir dizi saldırının ardından Nisan ayında iç güvenlik kültürünü ve uygulamalarını elden geçirme sözü verdi. Saldırılar hedef kitleye ulaştı CISA, Mitre Corp. ve diğerleri.