Siber Muhbir

Shadowserver Foundation, diğerlerinin yanı sıra ters kabuk oluşturmayı amaçlayan 170'den fazla benzersiz IP adresinden kaynaklanan istismar girişimlerini gözlemlediğini söyledi.

Saldırılar, Ivanti Connect Secure, Policy Secure ve Neurons for ZTA'nın SAML bileşeninde bulunan ve bir saldırganın kimlik doğrulaması olmadan başka türlü kısıtlanmış kaynaklara erişmesine izin veren bir SSRF kusuru olan CVE-2024-21893'ten (CVSS puanı: 8.2) yararlanır.

Ivanti daha önce güvenlik açığının "sınırlı sayıda müşteriyi" hedef alan hedefli saldırılarda kullanıldığını açıklamıştı, ancak statükonun kamuya açıklandıktan sonra değişebileceği konusunda uyardı.

Özellikle siber güvenlik firması Rapid7 tarafından geçen hafta bir kavram kanıtı (PoC) istismarının yayınlanmasının ardından tam olarak böyle olmuş gibi görünüyor.

PoC, kimliği doğrulanmamış uzaktan kod yürütmeyi sağlamak için CVE-2024-21893'ü daha önce yamalanmış bir komut enjeksiyon kusuru olan CVE-2024-21887 ile birleştiren bir istismar zinciri oluşturmayı içerir.

Burada, CVE-2024-21893'ün, açık kaynaklı Shibboleth XMLTooling kitaplığında bulunan bir SSRF güvenlik açığı olan CVE-2023-36661 (CVSS puanı: 7.5) için bir takma ad olduğunu belirtmekte fayda var. Geliştiriciler tarafından Haziran 2023'te 3.2.4 sürümünün yayınlanmasıyla düzeltildi.

Güvenlik araştırmacısı Will Dormann ayrıca, curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 ve unzip 6.00 gibi Ivanti VPN cihazları tarafından kullanılan diğer güncel olmayan açık kaynak bileşenlerine dikkat çekti ve böylece daha fazla saldırı için kapıyı açtı.

Gelişme, tehdit aktörlerinin Ivanti'nin ilk hafifletmesini atlamanın bir yolunu bulması ve Utah merkezli şirketin ikinci bir azaltma dosyası yayınlamasına neden olmasıyla geldi. 1 Şubat 2024 itibariyle, tüm güvenlik açıklarını gidermek için resmi yamalar yayınlamaya başladı.

Geçen hafta, Google'ın sahibi olduğu Mandiant, birkaç tehdit aktörünün BUSHWALK, CHAINLINE, FRAMESTING ve LIGHTWIRE olarak izlenen bir dizi özel web kabuğunu dağıtmak için CVE-2023-46805 ve CVE-2024-21887'den yararlandığını açıkladı.

Palo Alto Networks Unit 42, 26-30 Ocak 2024 tarihleri arasında 145 ülkede 28.474 Ivanti Connect Secure ve Policy Secure vakası gözlemlediğini ve 23 Ocak 2024 itibarıyla 44 ülkede 610 güvenliği ihlal edilmiş vaka tespit edildiğini söyledi.

Ivanti kusurlarının devam eden istismarı, Avrupa Birliği'ni, CERT-EU, ENISA ve Europol'ün yanı sıra, bloktaki kuruluşları potansiyel riskleri azaltmak için satıcı tarafından sağlanan rehberliği takip etmeye çağıran ortak bir danışma belgesi yayınlamaya sevk etti.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.