Siber Muhbir

Bu, kavram kanıtı (PoC) kodunun kamuya açıklanmasından sonraki saatler içinde CVE-2024-21893'ün istismarını gözlemlediğini söyleyen Orange Cyberdefense'in bulgularına göre.

Ivanti tarafından geçen ayın sonlarında CVE-2024-21888 ile birlikte açıklanan CVE-2024-21893, SAML modülünde, başarılı bir şekilde istismar edilirse, herhangi bir kimlik doğrulaması olmadan başka türlü kısıtlanmış kaynaklara erişime izin verebilecek bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığına atıfta bulunuyor.

Utah merkezli şirket, o zamandan beri, uzlaşmaların kesin ölçeği belirsiz olsa da, kusurun hedefli saldırıları sınırladığını kabul etti.

Ardından, geçen hafta, Shadowserver Foundation, hem Rapid7 hem de AssetNote'un ek teknik özellikleri paylaşmasından kısa bir süre sonra, 170'den fazla benzersiz IP adresinden kaynaklanan güvenlik açığını hedef alan istismar girişimlerinde bir artış olduğunu ortaya çıkardı.

Orange Cyberdefense'in en son analizi, saldırının kalıcı uzaktan erişim sağlayan bir arka kapı enjekte etmek için isimsiz bir müşteriyi hedef almasıyla 3 Şubat gibi erken bir tarihte güvenlik ihlallerinin tespit edildiğini gösteriyor.

Şirket, "Arka kapı, 'DSLog.pm' adlı mevcut bir Perl dosyasına ekleniyor" dedi ve mevcut meşru bileşenlerin (bu durumda bir günlük modülü) kötü amaçlı kodu eklemek için değiştirildiği devam eden bir modeli vurguladı.

İmplant olan DSLog, cihaz başına benzersiz bir hash yerleştirmek de dahil olmak üzere analiz ve algılamayı engellemek için kendi hileleriyle donatılmıştır, böylece hash'i başka bir cihazda aynı arka kapıyla iletişim kurmak için kullanmayı imkansız hale getirir.

Aynı karma değer, kötü amaçlı yazılımın "cdi" adlı bir sorgu parametresinden yürütülecek komutu ayıklamasına izin vermek için saldırganlar tarafından alete yapılan bir HTTP isteğindeki User-Agent üst bilgi alanına sağlanır. Kodu çözülen talimat daha sonra kök kullanıcı olarak çalıştırılır.

Orange Cyberdefense, "Web kabuğu, onunla iletişim kurmaya çalışırken durum/kod döndürmüyor" dedi. "Doğrudan tespit etmenin bilinen bir yolu yok."

Ayrıca, tehdit aktörlerinin adli izi örtbas etmek ve radarın altında uçmak amacıyla "birden fazla" cihazdaki ".access" günlüklerini sildiğine dair kanıtlar gözlemledi.

Ancak şirket, SSRF güvenlik açığını tetiklerken oluşturulan yapıları kontrol ederek, 3 Şubat'taki ilk tarama sırasında güvenliği ihlal edilmiş 670 varlığı tespit edebildiğini ve bu sayının 7 Şubat itibariyle 524'e düştüğünü söyledi.

Ivanti cihazlarının sürekli istismarı ışığında, "tehdit aktörünün ortamınızda yükseltme kalıcılığı kazanmasını önlemek için tüm müşterilerin yamayı uygulamadan önce cihazlarını fabrika ayarlarına sıfırlamaları" önemle tavsiye edilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.