Ivanti Connect Secure (ICS) ve Policy Secure’da tanımlanan bir çift sıfır gün kusuru, Çin bağlantılı olduğundan şüphelenilen ulus devlet aktörleri tarafından 10’dan az müşteriyi ihlal edecek şekilde zincirlendi.
Siber güvenlik firması Volexity tanımlanmış Aralık 2023’ün ikinci haftasında müşterilerinden birinin ağındaki aktivite, bunu takip ettiği bir bilgisayar korsanlığı grubuna bağladı. UTA0178. VPN cihazının güvenliğinin 3 Aralık 2023 gibi erken bir tarihte ele geçirilmiş olabileceğini gösteren kanıtlar mevcut.
ICS cihazında kimlik doğrulaması yapılmadan komut yürütülmesini sağlamak için vahşi ortamda istismar edilen iki güvenlik açığı aşağıdaki gibidir:
- CVE-2023-46805 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un web bileşenindeki kimlik doğrulama atlama güvenlik açığı, uzaktaki bir saldırganın kontrol kontrollerini atlayarak kısıtlı kaynaklara erişmesine olanak tanır.
- CVE-2024-21887 (CVSS puanı: 9,1) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un web bileşenlerindeki bir komut ekleme güvenlik açığı, kimliği doğrulanmış bir yöneticinin özel hazırlanmış istekler göndermesine ve cihazda rastgele komutlar yürütmesine olanak tanır.
Güvenlik açıkları, internet üzerinden duyarlı örnekleri ele geçirmek için bir yararlanma zincirine dönüştürülebilir.
Ivanti, “CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılırsa, bu istismar kimlik doğrulama gerektirmez ve bir tehdit aktörünün sistemde kötü niyetli istekler oluşturmasına ve rastgele komutlar yürütmesine olanak tanır.” söz konusu bir danışma belgesinde.
Şirket, tehdit aktörlerinin Ivanti’nin iç bütünlük denetleyicisini manipüle etme girişimlerini gözlemlediğini söyledi (BİT), cihazın mevcut durumunun anlık görüntüsünü sunar.
Yamaların 22 Ocak 2024 haftasından itibaren kademeli olarak yayınlanması bekleniyor. Bu arada kullanıcılara olası tehditlere karşı korunmak için bir geçici çözüm uygulamaları önerildi.
Volexity tarafından analiz edilen olayda, ikiz kusurların “yapılandırma verilerini çalmak, mevcut dosyaları değiştirmek, uzak dosyaları indirmek ve ICS VPN cihazından tüneli tersine çevirmek” için kullanıldığı söyleniyor.
Saldırgan, komut yürütülmesine izin vermek için ICS VPN cihazındaki meşru bir CGI dosyasını (compcheck.cgi) da değiştirdi. Ek olarak, Web SSL VPN oturum açma sayfası tarafından yüklenen bir JavaScript dosyası, tuş vuruşlarını günlüğe kaydedecek ve cihazda oturum açan kullanıcılarla ilişkili kimlik bilgilerini sızdıracak şekilde değiştirildi.
Volexity araştırmacıları Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair ve Thomas Lancaster, “Saldırgan tarafından toplanan bilgi ve kimlik bilgileri, dahili olarak bir avuç sisteme yönelmelerine ve sonuçta ağdaki sistemlere sınırsız erişim elde etmelerine olanak sağladı.” söz konusu.
Saldırılar aynı zamanda keşif çabaları, yanal hareket ve dışarıya bakan web sunucularına kalıcı uzaktan erişimi sürdürmek için arka kapılı CGI dosyası aracılığıyla GLASSTOKEN adı verilen özel bir web kabuğunun konuşlandırılmasıyla da karakterize ediliyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), uyarı Bilinen İstismara Uğrayan Güvenlik Açıklarına iki eksikliği de eklediğini söyledi (KEV) kataloğunu yayınlayarak federal kurumları düzeltmeleri 31 Ocak 2024’e kadar uygulamaya çağırıyoruz.
“İnternet erişimli sistemler, özellikle kritik cihazlar VPN cihazları ve güvenlik duvarlarıVolexity, “bir kez daha saldırganların favori hedefi haline geldi” dedi.
“Bu sistemler genellikle ağın kritik kısımlarında bulunur, geleneksel güvenlik yazılımlarını çalıştıramaz ve genellikle bir saldırganın çalışması için mükemmel bir yerde bulunur. Kuruluşların bu sistemlerden etkinlikleri izleyebilmek için bir stratejiye sahip olduklarından emin olmaları gerekir. beklenmedik bir şey olursa hızlı bir şekilde yanıt verin.”