Kötü niyetli bilgisayar korsanları, Ivanti’nin yaygın olarak kullanılan kurumsal VPN cihazındaki iki kritik sıfır gün güvenlik açığından toplu olarak yararlanmaya başladı.
Bu, geçen hafta Çin devlet destekli bilgisayar korsanlarının Ivanti Connect Secure’deki iki açılmamış kusurdan yararlandığını bildiren siber güvenlik şirketi Volexity’ye göre- CVE-2023-46805 ve CVE-2024-21887 — müşteri ağlarına sızmak ve bilgileri çalmak. O zamanlar Ivanti, “sıfır gün” kusurlarından etkilenen “10’dan az müşteri” nin farkında olduğunu söyledi, bu şekilde Ivanti’nin sömürülmeden önce kusurları düzeltmek için zamanı olmadığı düşünüldüğünde.
İçinde Pazartesi günü yayınlanan güncellenmiş bir blog yazısıVolexity artık kitlesel sömürüye dair kanıtlara sahip olduğunu söylüyor.
Volexity’ye göre, şimdiye kadar dünya çapında 1.700’den fazla Ivanti Connect Güvenli cihazlardan yararlandı ve havacılık, bankacılık, savunma, hükümet ve telekomünikasyon endüstrilerindeki kuruluşları etkiledi.
Volexity, “Mağdurlar küresel olarak dağıtılıyor ve küçük işletmelerden, birden fazla endüstri sektöründe birden fazla Fortune 500 şirketi de dahil olmak üzere dünyanın en büyük organizasyonlarına kadar büyük ölçüde değişiyor” dedi. Güvenlik firmasının araştırmacıları, Ivanti VPN cihazlarının dünya çapındaki kurumsal kurbanlar tarafından “ayrım gözetmeksizin hedef alındığını” ekledi.
Ancak Volexity, ele geçirilen kuruluşların sayısının muhtemelen çok daha yüksek olacağını belirtiyor. Kâr amacı gütmeyen güvenlik tehdidi izleyicisi Shadowserver Foundation Amerika Birleşik Devletleri’ndeki 5.000’den fazla cihaz dahil olmak üzere dünya çapında 17.000’den fazla internette görülebilen Ivanti VPN cihazını gösteren verilere sahiptir.
İvanti Salı günü güncellenmiş danışmanlığında onaylandı Kendi bulgularının Volexity’nin yeni gözlemleriyle “tutarlı” olduğunu ve kitle hack’lerinin Ivanti’nin güvenlik açıklarını açıklamasından bir gün sonra 11 Ocak’ta başladığı görülüyor. Halkla İlişkiler Ajansı Mikeworldwide aracılığıyla sağlanan bir açıklamada Ivanti, TechCrunch’a “tehdit aktör etkinliği ve güvenlik araştırmacısı taramalarında keskin bir artış gördüğünü” söyledi.
Salı günü ulaşıldığında, Volexity’nin sözcüsü Kristel Faris, TechCrunch’a güvenlik firmasının Ivanti ile temas halinde olduğunu söyledi, bu da “destek taleplerindeki bir artışa mümkün olan en kısa sürede yanıt veriyor”.
Kitlesel sömürüye rağmen Ivanti henüz yama yayınlamadı. Ivanti, düzeltmeleri 22 Ocak haftasından itibaren kademeli olarak yayınlamayı planladığını söyledi. Bu arada, yöneticilere Ivanti tarafından sağlanan hafifletici önlemleri uygulamaları tavsiye edilir etkilenen tüm VPN cihazlarında ağlarında. Ivanti, yöneticilere şifreleri ve API anahtarlarını sıfırlamalarını ve etkilenen cihazlarda depolanan tüm sertifikaları iptal edip yeniden yayınlamalarını öneriyor.
Henüz fidye yazılımı yok
Volexity başlangıçta iki Ivanti sıfır gününün istismarını UTA0178 olarak takip ettiği Çin destekli bir bilgisayar korsanlığı grubuna bağladı. Volexity, 3 Aralık gibi erken bir tarihte istismara dair kanıt bulunduğunu söyledi.
Mandiant, ki bu ayrıca Ivanti’deki güvenlik açıklarının istismarı da takip ediliyorsömürüyü daha önce bilinen bir hackleme grubuyla ilişkilendirmediğini, ancak bulgularının-Volexity’nin ile birleştiğinde, hack’leri “casusluk motive edilmiş APT kampanyasına” atfetmeye yönlendirdiğini söyledi.
Volexity bu hafta dedi Ek hack grupları – özellikle UTA0188 olarak adlandırdığı bir grup – savunmasız cihazlardan ödün vermek için kusurları kullandığını, ancak TechCrunch tarafından sorulduğunda grup veya güdüleri hakkında ek ayrıntıları paylaşmayı reddettiğini gördü.
Volexity, TechCrunch’a bu noktada fidye yazılımının toplu saldırılara dahil olduğuna dair hiçbir kanıt görmediğini söyledi. Faris, “Ancak, kavram kanıtlama kodunun halka açık hale gelmesi durumunda bunun gerçekleşeceğini tamamen öngörüyoruz” diye ekledi.
Güvenlik Araştırmacılar zaten kavram kanıtlama kodunun varlığına işaret etmişti Ivanti sıfır günlerini sömürebilir.