Siber Muhbir

Geliştirme, güvenlik açıklarının (kimlik doğrulama atlama (CVE-2023-46805) ve kod enjeksiyon hatası (CVE-2024-21887) birden fazla tehdit aktörü tarafından yaygın bir şekilde istismar edilmesiyle ortaya çıkıyor. Kusurlar, kötü niyetli bir aktörün kötü amaçlı istekler oluşturmasına ve sistemde rastgele komutlar yürütmesine olanak tanır.

ABD'li şirket, eksikliklerin kamuya açıklanmasının ardından 11 Ocak 2024'ten itibaren "tehdit aktörü faaliyetlerinde keskin bir artışa" tanık olduğunu bir danışma belgesinde kabul etti.

Ajans, "Etkilenen bu ürünlerdeki güvenlik açıklarının başarılı bir şekilde kullanılması, kötü niyetli bir tehdit aktörünün yanal olarak hareket etmesine, veri hırsızlığı gerçekleştirmesine ve kalıcı sistem erişimi sağlamasına olanak tanıyarak hedef bilgi sistemlerinin tam olarak tehlikeye atılmasına neden oluyor" dedi.

Önümüzdeki hafta kusurları gidermek için bir güncelleme yayınlaması beklenen Ivanti, gerekli yapılandırma değişikliklerini yapmak için etkilenen ürünlere aktarılabilen bir XML dosyası aracılığıyla geçici bir geçici çözüm sağladı.

CISA, ICS çalıştıran kuruluşları, risk azaltmayı uygulamaya ve uzlaşma belirtilerini belirlemek için bir Harici Bütünlük Denetleyici Aracı çalıştırmaya ve bulunursa, bunları ağlardan ayırmaya ve cihazı sıfırlamaya ve ardından XML dosyasını içe aktarmaya çağırıyor.

Buna ek olarak, FCEB varlıklarının depolanan sertifikaları iptal etmesi ve yeniden vermesi, yönetici etkinleştirme parolasını sıfırlaması, API anahtarlarını depolaması ve ağ geçidinde tanımlanan tüm yerel kullanıcıların parolalarını sıfırlaması istenir.

Siber güvenlik firmaları Volexity ve Mandiant, virüslü cihazlara kalıcı erişim için web kabukları ve pasif arka kapılar dağıtmak için ikiz kusurları silahlandıran saldırılar gözlemledi. Bugüne kadar dünya çapında 2.100 kadar cihazın güvenliğinin ihlal edildiği tahmin ediliyor.

Aralık 2023'te tespit edilen ilk saldırı dalgası, UTA0178 olarak izlenen bir Çin ulus devlet grubuna atfedildi. Mandiant, belirli bir grup veya ülkeyle bağlantılı olmamasına rağmen, UNC5221 takma adı altındaki faaliyeti takip ediyor.

Tehdit istihbarat firması GreyNoise, güvenlik açıklarının kalıcı arka kapıları ve XMRig kripto para madencilerini düşürmek için kötüye kullanıldığını gözlemlediğini ve bunun da kötü aktörler tarafından finansal kazanç için fırsatçı bir şekilde sömürüldüğünü gösterdiğini söyledi.

Güncelleştirmek

Censys tarafından yapılan yeni bir analiz, 22 Ocak 2024 itibarıyla 26.095 benzersiz Connect Secure ana bilgisayarının halka açık internette açığa çıktığını ve 412 ana bilgisayarın bir arka kapıyla güvenliğinin ihlal edildiğini ortaya koydu. Enfeksiyonların çoğu ABD, Almanya, Güney Kore, Çin, Japonya, Hong Kong, İngiltere, Kanada, İtalya ve Hollanda'da gözlenmiştir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.