Siber Muhbir

Aralık 2023'ün ikinci haftasında müşterilerinden birinin ağındaki etkinliği tespit eden siber güvenlik firması Volexity, bunu UTA0178 adı altında takip ettiği bir bilgisayar korsanlığı grubuna bağladı. VPN cihazının 3 Aralık 2023 gibi erken bir tarihte ele geçirilmiş olabileceğini gösteren kanıtlar var.

ICS cihazında kimliği doğrulanmamış komut yürütmeyi gerçekleştirmek için vahşi ortamda yararlanılan iki güvenlik açığı aşağıdaki gibidir:

• CVE-2023-46805 (CVSS puanı: 8.2) - Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure'un web bileşenindeki bir kimlik doğrulama atlama güvenlik açığı, uzaktaki bir saldırganın kontrol kontrollerini atlayarak kısıtlı kaynaklara erişmesine izin verir.

• CVE-2024-21887 (CVSS puanı: 9.1) - Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure'un web bileşenlerindeki bir komut enjeksiyonu güvenlik açığı, kimliği doğrulanmış bir yöneticinin özel hazırlanmış istekler göndermesine ve alet üzerinde rastgele komutlar yürütmesine olanak tanır.

Güvenlik açıkları, internet üzerinden hassas örnekleri ele geçirmek için bir istismar zincirine dönüştürülebilir.

Ivanti bir danışma belgesinde, "CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılırsa, istismar kimlik doğrulama gerektirmez ve bir tehdit aktörünün kötü amaçlı istekler oluşturmasına ve sistemde rastgele komutlar yürütmesine olanak tanır" dedi.

Şirket, tehdit aktörlerinin Ivanti'nin cihazın mevcut durumunun bir anlık görüntüsünü sunan dahili bütünlük denetleyicisini (ICT) manipüle etme girişimlerini gözlemlediğini söyledi.

Yamaların 22 Ocak 2024 haftasından itibaren kademeli olarak yayınlanması bekleniyor. Bu arada, kullanıcıların olası tehditlere karşı korunmak için bir geçici çözüm uygulamaları önerilmiştir.

Volexity tarafından analiz edilen olayda, ikiz kusurların "yapılandırma verilerini çalmak, mevcut dosyaları değiştirmek, uzak dosyaları indirmek ve ICS VPN cihazından ters tünel açmak" için kullanıldığı söyleniyor.

Saldırgan, komut yürütülmesine izin vermek için ICS VPN cihazındaki meşru bir CGI dosyasını (compcheck.cgi) daha da değiştirdi. Ayrıca, Web SSL VPN oturum açma sayfası tarafından yüklenen bir JavaScript dosyası, tuş vuruşlarını günlüğe kaydetmek ve cihazda oturum açan kullanıcılarla ilişkili kimlik bilgilerini sızdırmak için değiştirildi.

Volexity araştırmacıları Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair ve Thomas Lancaster, "Saldırgan tarafından toplanan bilgiler ve kimlik bilgileri, dahili olarak bir avuç sisteme dönmelerine ve nihayetinde ağdaki sistemlere sınırsız erişim elde etmelerine izin verdi" dedi.

Saldırılar ayrıca keşif çabaları, yanal hareket ve dışarıya bakan web sunucularına kalıcı uzaktan erişimi sürdürmek için arka kapılı CGI dosyası aracılığıyla GLASSTOKEN adlı özel bir web kabuğunun konuşlandırılması ile karakterize edilir.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kendi uyarısında, iki eksikliği Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklediğini ve federal kurumları düzeltmeleri 31 Ocak 2024'e kadar uygulamaya çağırdığını söyledi.

Volexity, "İnternete erişilebilen sistemler, özellikle VPN cihazları ve güvenlik duvarları gibi kritik cihazlar, bir kez daha saldırganların favori hedefi haline geldi" dedi.

"Bu sistemler genellikle ağın kritik bölümlerinde bulunur, geleneksel güvenlik yazılımlarını çalıştıramaz ve genellikle bir saldırganın çalışması için mükemmel bir yerde bulunur. Kuruluşların, bu cihazlardan gelen etkinliği izleyebilmek ve beklenmedik bir şey olduğunda hızlı bir şekilde yanıt verebilmek için bir stratejiye sahip olduklarından emin olmaları gerekiyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.