Ulus Devlet Saldırganları, Ağ Sızması için Ivanti CSA Kusurlarından Yararlanıyor
Şüpheli bir ulus devlet düşmanının, bir dizi kötü niyetli eylem gerçekleştirmek için sıfır gün olan Ivanti Cloud Service Appliance'ta (CSA) üç güvenlik açığını silah haline getirdiği gözlemlendi.
Bu, Fortinet FortiGuard Labs'ın bulgularına göre, güvenlik açıklarının CSA'ya kimliği doğrulanmamış erişim elde etmek, cihazda yapılandırılan kullanıcıları numaralandırmak ve bu kullanıcıların kimlik bilgilerine erişmeye çalışmak için kötüye kullanıldığını söyledi.
Güvenlik araştırmacıları Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans ve Robert Reyes, "Gelişmiş düşmanların, kurbanın ağında sahil başı erişimi sağlamak için sıfır gün güvenlik açıklarından yararlandığı ve zincirlediği gözlemlendi" dedi.
Söz konusu kusurlar aşağıda listelenmiştir -
- CVE-2024-8190 (CVSS puanı: 7.2) - /gsb/DateTimeTab.php kaynağında bir komut ekleme hatası
- CVE-2024-8963 (CVSS puanı: 9.4) - /client/index.php kaynağında bir yol geçişi güvenlik açığı
- CVE-2024-9380 (CVSS puanı: 7.2) - Kaynak reports.php etkileyen kimliği doğrulanmış bir komut enjeksiyonu güvenlik açığı
Bir sonraki aşamada, gsbadmin ve admin ile ilişkili çalınan kimlik bilgileri, bir web kabuğunu ("help.php") bırakmak için /gsb/reports.php kaynağını etkileyen komut enjeksiyon güvenlik açığından kimliği doğrulanmış bir şekilde yararlanmak için kullanıldı.
"10 Eylül 2024'te, CVE-2024-8190 için danışma belgesi Ivanti tarafından yayınlandığında, müşterinin ağında hala aktif olan tehdit aktörü, /gsb/DateTimeTab.php ve /gsb/reports.php kaynaklarındaki komut enjeksiyonu güvenlik açıklarını 'yamaladı' ve bunları istismar edilemez hale getirdi."
"Geçmişte, tehdit aktörlerinin, diğer herhangi bir davetsiz misafirin savunmasız varlıklara erişmesini ve potansiyel olarak saldırı operasyonlarına müdahale etmesini durdurmak için güvenlik açıklarından yararlandıktan ve kurbanın ağına ayak uydurduktan sonra yama yaptıkları gözlemlendi."
Bilinmeyen saldırganların, internete yönelik CSA cihazını tehlikeye attıktan sonra Ivanti Endpoint Manager'ı (EPM) etkileyen kritik bir kusur olan CVE-2024-29824'ü kötüye kullandıkları da tespit edildi. Özellikle, bu, uzaktan kod yürütmeyi sağlamak için xp_cmdshell saklı yordamının etkinleştirilmesini içeriyordu.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) güvenlik açığını Ekim 2024'ün ilk haftasında Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklediğini belirtmekte fayda var.
Diğer etkinliklerden bazıları, mssqlsvc adlı yeni bir kullanıcı oluşturmayı, keşif komutlarını çalıştırmayı, bu komutların sonuçlarını PowerShell kodunu kullanarak DNS tünelleme olarak bilinen bir teknik aracılığıyla sızdırmayı ve ReverseSocks5 adlı açık kaynaklı bir araç aracılığıyla CSA cihazı aracılığıyla trafiği proxy'lemeyi içeriyordu.
Ayrıca, güvenliği ihlal edilmiş CSA cihazında bir Linux çekirdek nesnesi ("sysinitd.ko") biçiminde bir rootkit'in konuşlandırılması da dikkat çekicidir. Etkinlik 7 Eylül 2024'te tespit edildi.
Fortinet araştırmacıları, "Bunun arkasındaki olası neden, tehdit aktörünün CSA cihazında fabrika ayarlarına sıfırlama işleminden bile geçebilecek çekirdek düzeyinde kalıcılığı sürdürmesiydi" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı