ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü katma Ivanti Endpoint Manager Mobile (EPMM) ve MobileIron Core’u Bilinen İstismar Edilen Güvenlik Açıklarına kadar etkileyen, artık yama uygulanmış kritik bir kusur (KEV) kataloğu, vahşi doğada aktif olarak kullanıldığını belirtiyor.
Söz konusu güvenlik açığı CVE-2023-35082 (CVSS puanı: 9,8), CVE-2023-35078 (CVSS puanı: 10,0) olarak izlenen aynı çözümdeki başka bir kusur için yama atlaması olan bir kimlik doğrulama atlaması.
Ivanti, Ağustos 2023’te şunları kaydetti: “Bu güvenlik açığı istismar edilirse, yetkisiz, uzak (internete bakan) bir aktörün potansiyel olarak kullanıcıların kişisel bilgilerine erişmesine ve sunucuda sınırlı değişiklikler yapmasına olanak tanır.”
Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 ve 11.8 ile MobileIron Core 11.7 ve önceki sürümlerin tüm sürümleri bu güvenlik açığından etkilenmektedir.
Kusuru keşfeden ve bildiren siber güvenlik firması Rapid7, bir saldırganın cihaza kötü amaçlı web kabuğu dosyaları yazmasına izin vermek için CVE-2023-35081 ile zincirlenebileceğini söyledi.
Şu anda güvenlik açığının gerçek dünyadaki saldırılarda nasıl silah haline getirildiğine dair hiçbir ayrıntı yok. Federal kurumların, satıcı tarafından sağlanan düzeltmeleri 8 Şubat 2024’e kadar uygulamaları önerilir.
Açıklama, Ivanti Connect Secure (ICS) sanal özel ağ (VPN) cihazlarındaki (CVE-2023-46805 ve CVE-2024-21887) diğer iki sıfır gün kusurunun da web kabuklarını ve pasif arka kapıları düşürmek için kitlesel istismara maruz kalmasıyla geldi. Şirketin önümüzdeki hafta güncellemeleri yayınlaması bekleniyor.
Ivanti, “Tehdit aktörünün, VPN’nin çalışması için önemli sırları içeren sistemin yapılandırmasını ve çalışan önbelleğini hedef aldığını gözlemledik” dedi. söz konusu bir danışma belgesinde.
“Bunu her durumda gözlemlememiş olsak da, ihtiyatlı davranmak adına Ivanti, bu sırları yeniden inşa ettikten sonra değiştirmenizi tavsiye ediyor.”
Volexity, bu haftanın başında dünya çapında 1.700’den fazla cihazın ele geçirildiğine dair kanıt bulduğunu açıkladı. İlk istismar, UTA0178 adlı şüpheli bir Çinli tehdit aktörüyle bağlantılı olsa da, daha sonra başka tehdit aktörleri de bu istismar kervanına katıldı.
Assetnote tarafından ikiz kusurlar üzerinde yapılan daha ileri tersine mühendislik, kimlik doğrulama atlama kusurunun (CVE-2023-46805) eski sürümlerde kötüye kullanılabileceği ek bir uç noktayı (“/api/v1/totp/user-backup-code”) ortaya çıkardı. ICS’yi açın ve ters bir kabuk elde edin.
Güvenlik araştırmacıları Shubham Shah ve Dylan Pindur tarif edildi “göreceli olarak basit güvenlik hatalarının sonucu olarak kendisini geniş çaplı istismara maruz bırakan güvenli bir VPN cihazının başka bir örneği” olarak görülüyor.