Siber Muhbir

Söz konusu güvenlik açığı CVE-2023-35082 (CVSS puanı: 9.8), CVE-2023-35078 (CVSS puanı: 10.0) ile aynı çözümde izlenen başka bir kusur için yama atlama olan bir kimlik doğrulama atlamasıdır ve Nisan 2023'te sıfır gün olarak Norveç devlet kurumlarını hedef alan saldırılarda aktif olarak kullanılmıştır.

Ivanti, Ağustos 2023'te "Bu güvenlik açığından yararlanılırsa, yetkisiz, uzak (internete yönelik) bir aktörün kullanıcıların kişisel olarak tanımlanabilir bilgilerine potansiyel olarak erişmesine ve sunucuda sınırlı değişiklikler yapmasına olanak tanır" dedi.

Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 ve 11.8'in tüm sürümleri ile MobileIron Core 11.7 ve altı sürümler bu güvenlik açığından etkileniyor.

Kusuru keşfeden ve bildiren siber güvenlik firması Rapid7, bir saldırganın cihaza kötü amaçlı web kabuğu dosyaları yazmasına izin vermek için CVE-2023-35081 ile zincirlenebileceğini söyledi.

Şu anda güvenlik açığının gerçek dünya saldırılarında nasıl silahlandırıldığına dair hiçbir ayrıntı yok. Federal kurumların, satıcı tarafından sağlanan düzeltmeleri 8 Şubat 2024'e kadar uygulamaları önerilir.

Açıklama, Ivanti Connect Secure (ICS) sanal özel ağ (VPN) cihazlarındaki (CVE-2023-46805 ve CVE-2024-21887) diğer iki sıfır gün kusurunun da web kabuklarını ve pasif arka kapıları düşürmek için toplu istismara maruz kalmasıyla geldi ve şirketin önümüzdeki hafta güncellemeler yayınlaması bekleniyor.

Ivanti bir danışma belgesinde, "Tehdit aktörünün, VPN'nin çalışması için önemli sırları içeren sistemin yapılandırmasını ve çalışan önbelleğini hedef aldığını gözlemledik" dedi.

"Bunu her durumda gözlemlememiş olsak da, çok dikkatli bir şekilde, Ivanti yeniden inşa ettikten sonra bu sırları döndürmenizi tavsiye ediyor."

Volexity, bu hafta, dünya çapında 2.100'den fazla cihazın güvenliğinin ihlal edildiğine dair kanıt bulabildiğini açıkladı. İlk istismar, UTA0178 adlı şüpheli bir Çinli tehdit aktörüyle bağlantılı olsa da, o zamandan beri istismar kervanına ek tehdit aktörleri katıldı.

İzinsiz girişler ABD, Almanya, İngiltere, Fransa, İspanya, Çin, Hindistan, Avustralya, Rusya ve Brezilya'daki hükümet, ordu, telekom, savunma müteahhitleri, teknoloji, bankacılık, danışmanlık, havacılık, havacılık ve mühendislik kuruluşlarını hedef aldı.

Siber güvenlik firması ayrıca, Aralık 2023'teki ilk saldırı dalgasının arkasındaki şüpheli Çinli tehdit aktörü UTA0178'in, tespit edilmekten kaçınmak için yerleşik Bütünlük Denetleyicisi Aracında değişiklikler yaptığını kaydetti.

Güvenlik araştırmacıları Matthew Meltzer, Sean Koessel ve Steven Adair, "Bu dosyanın analizi, yeni veya uyumsuz dosyalar tespit edilse bile, sistemin yerleşik Bütünlük Denetleyicisi Aracı'nın her zaman hiçbir bulgu göstermemesi için değiştirildiğine dair kanıtları ortaya çıkardı" dedi.

Kuruluşların, bir cihazın olası yeniden güvenliğinin aşılmasını önlemek için herhangi bir yedekleme yapılandırmasını içe aktardıktan sonra Ivanti tarafından sağlanan azaltmayı uygulamaları önerilir.

Assetnote tarafından ikiz kusurların daha fazla tersine mühendisliği, kimlik doğrulama atlama kusurunun (CVE-2023-46805) ICS'nin eski sürümlerinde kötüye kullanılabileceği ve bir ters kabuk elde edebileceği ek bir uç nokta ("/api/v1/totp/user-backup-code") ortaya çıkardı.

Güvenlik araştırmacıları Shubham Shah ve Dylan Pindur, bunu "nispeten basit güvenlik hatalarının bir sonucu olarak kendisini geniş çaplı istismara maruz bırakan güvenli bir VPN cihazının başka bir örneği" olarak nitelendirdi.

Güncelleştirmek

Yorum için ulaşıldığında Ivanti, aşağıdaki açıklamayı paylaştı:

"Müşterilerimizin güvenliği bizim önceliğimizdir. Ivanti, bu güvenlik açığını Ağustos 2023'te açıkladı ve o sırada bir düzeltme sağladı. Sorun, ürünün 21 Ağustos 2023'te yayınlanan 11.11.0.0 sürümünde de çözüldü. Müşterilerimizi, ortamları için en iyi işlevsellik ve en iyi koruma için ürünün en son sürümüne yükseltmeye teşvik ediyoruz."

"Açıklamadan kısa bir süre sonra, Kavram Kanıtı (PoC) üçüncü bir tarafça kamuya açıklandı ve Ağustos ayında müşterilerin halka açık PoC'nin ardından istismar edildiğini açıkladık. Ivanti, KEV'e eklenmek üzere Ağustos ayında CISA'ya bilgi verdi.

(Hikaye, Volexity tarafından yayınlanan ek bulguları ve Ivanti'den resmi bir açıklamayı içerecek şekilde yayınlandıktan sonra güncellendi.)

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.