Geçen hafta açıklanan henüz yama yapılmamış iki ciddi sıfır gün güvenlik açığı nedeniyle son beş gün içinde dünya çapında binlerce Ivanti VPN örneğinin güvenliği ihlal edildi.
Ivanti Connect Secure (ICS) VPN, mobil cihazları kurumsal ağ kaynaklarına uzaktan bağlayan bir sanal özel ağ (VPN) aracıdır. hackerlar için çekici bir hedef kurumsal BT ortamlarına ilk kez bağlanmayı hedefliyoruz.
ICS VPN devralmaları o zamandan beri dünya çapında hızla artıyor iki yeni hata 10 Ocak’ta açıklandı. Daha da kötüsü: En azından birkaç gün daha yamalar yayınlanmayacak.
Volexity başkanı Steven Adair, “Asıl korku, birçok kuruluşta bunun sınırsız erişim sağlaması, yani ağlarına anında girmenin bir yolu olması” diye uyarıyor.
Ivanti VPN’lerinde Binlerce Açık
İki ICS VPN hatasının her biri kendi başına güçlüdür, ancak birlikte kullanıldığında en etkili oldukları kanıtlanır.
İlk olarak, yüksek önem derecesine sahip 8.2 CVSS puanlı bir güvenlik açığı olan CVE-2023-46805, saldırganların kimlik doğrulama kontrollerini atlamasına olanak tanıyor.
Daha sonra 10 üzerinden kritik 9,1 puan alan CVE-2024-21887, haksız şekilde kimliği doğrulanmış kullanıcının özel hazırlanmış istekler göndermesine ve kandırılan cihazda rastgele komutlar çalıştırmasına olanak tanıyor.
Volexity’nin Çin devleti için çalıştığına inandığı bir grup olan UTA0178, Aralık ayının başına kadar uzanan saldırılarda iki hatayı sıfır gün olarak kullanmış gibi görünüyor. Bu şekilde sağlanan erişimle, küçük bir avuç kuruluşa “GiftedVisitor” adı verilen bir Web kabuğuyla arka kapı açıldı. Adair, saldırganların oradan keşif ve veri toplama gerçekleştirdiğini söylüyor ancak şunu da ekliyor: “Saldırganın gerçekten kurbana saldırdığını bildiğimiz oldukça sınırlı sayıda vaka var.”
Ivanti ve Volexity’nin geçen hafta hata haberini vermesiyle tehdit ortamı değişti. Takip eden günlerde binlerce yeni enfeksiyon dünya geneline yayıldı. 15 Ocak’ta 30.000 cihazın taranması en az 1.700 kusurlu VPN tespit edildi.
Bunların çoğunluğu, çoğu kuruluşun kendilerini sertleştirmeye zaman bulamadan önce haberleri harekete geçmek için bir itici güç olarak kullandığı anlaşılan UTA0178’e atfedilebilir. Ancak diğer tehdit aktörlerinin de istismar girişimleri olduğu görülüyor.
Şu ana kadar kurbanlar küçük kuruluşlardan Fortune 500 şirketlerine, ordudan hükümete, telekomünikasyondan finansa ve daha fazlasına kadar geniş bir yelpazede yer aldı. Enfeksiyonların çoğu Amerika Birleşik Devletleri’nde yoğunlaşıyor, ancak aynı zamanda diğer kıtalara da yayılıyor: Guyana’dan Almanya’ya, Mısır’a, Tayland’a, Avustralya’ya vb.
Etkilenirseniz Ne Yapmalısınız?
Henüz ICS VPN güvenlik açığına yönelik bir yama mevcut değil ve Ivanti’nin bir süre daha bunlar üzerinde çalışması bekleniyor: CVE-2023-46805 için 22 Ocak ve CVE-2024-21887’yi düzeltmek için 19 Şubat.
Bu arada müşterilerin yapabileceği iki şey var.
Açıklamanın yapıldığı gün Ivanti bir hafifletme yayınladı Potansiyel istismarları engellemek için. Bu bir yama değil, altta yatan güvenlik açıklarını çözmüyor, ancak bunları istismar etmeye yönelik olası girişimleri yakalayıp kökünü kazımak için tasarlandı.
Elbette böyle bir önleyici tedbir mevcut binlerce uzlaşmayı hesaba katmıyor. Bunlar ve aslında henüz tam olarak incelenmemiş tüm cihazlar için Ivanti VPN, UTA0178 tarafından gerçekleştirilen türden riskleri tespit edebilen yerleşik bir Bütünlük Denetleme Aracına sahiptir.
Ardından Adair şunu tavsiye ediyor: “Kendini takip et olay müdahale taktik kitabı Buradan. Cihazı yalıtmak, yapmak isteyeceğiniz bir şeydir ve ardından daha fazla bilgi edinmek için Ivanti’ye bir destek bildirimi açmayı da içerebilecek şekilde araştırmanızı başlatabilirsiniz. Daha sonra bu ilgili dosyaların şifresini çözün veya olaya müdahale sağlayıcılarınızı dahil edin, böylece soruşturmaya ve biraz daha derinlemesine incelemeye yardımcı olabilirler.”