ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Cuma günü bir rapor yayınladı. acil durum direktifi Federal Sivil Yürütme Organı (FCEB) kurumlarını, Ivanti Connect Secure (ICS) ve Ivanti Policy Secure (IPS) ürünlerinde aktif olarak kullanılan iki sıfır gün kusuruna karşı azaltımlar uygulamaya çağırıyoruz.
Bu gelişme, kimlik doğrulama atlama (CVE-2023-46805) ve kod ekleme hatası (CVE-2024-21887) gibi güvenlik açıklarının birden fazla tehdit aktörü tarafından yaygın biçimde istismar edilmesinin ardından geldi. Kusurlar, kötü niyetli bir aktörün sistemde kötü niyetli istekler oluşturmasına ve rastgele komutlar yürütmesine olanak tanır.
ABD şirketi kabul edildi eksikliklerin kamuya açıklanmasının ardından 11 Ocak 2024’ten itibaren “tehdit aktörü faaliyetlerinde keskin bir artışa” tanık olduğunu bildirdi.
Ajans, “Etkilenen bu ürünlerdeki güvenlik açıklarının başarılı bir şekilde kullanılması, kötü niyetli bir tehdit aktörünün yatay olarak hareket etmesine, veri sızıntısı yapmasına ve kalıcı sistem erişimi kurmasına olanak tanıyarak hedef bilgi sistemlerinin tamamen tehlikeye girmesine neden olur” dedi. söz konusu.
Gelecek hafta kusurları gidermek için bir güncelleme yayınlaması beklenen Ivanti, gerekli yapılandırma değişikliklerini yapmak için etkilenen ürünlere aktarılabilecek bir XML dosyası aracılığıyla geçici bir geçici çözüm sundu.
CISA, ICS çalıştıran kuruluşlara, risk azaltma önlemlerini uygulamaya ve bir Harici Bütünlük Denetleyici Aracı çalıştırarak güvenlik ihlali işaretlerini tespit etmeye ve eğer bulunursa, bunların ağlarla bağlantısını kesip cihazı sıfırlamaya ve ardından XML dosyasını içe aktarmaya çağırıyor.
Ayrıca, FCEB kuruluşları ısrarla saklanan sertifikaları iptal etmek ve yeniden yayınlamak, yönetici etkinleştirme parolasını sıfırlamak, API anahtarlarını saklamak ve ağ geçidinde tanımlanan herhangi bir yerel kullanıcının parolalarını sıfırlamak için.
Siber güvenlik firmaları Volexity ve Mandiant, güvenliği ihlal edilmiş cihazlara kalıcı erişim için web kabukları ve pasif arka kapılar dağıtmak üzere ikiz kusurları silah haline getiren saldırılar gözlemledi. Bugüne kadar dünya çapında 2.100 kadar cihazın ele geçirildiği tahmin ediliyor.
Aralık 2023’te tanımlanan ilk saldırı dalgası, UTA0178 olarak takip edilen bir Çin ulus devlet grubuna atfedildi. Mandiant, herhangi bir belirli grup veya ülkeyle bağlantısı olmasa da, UNC5221 adı altında faaliyeti takip ediyor.
Tehdit istihbaratı firması GreyNoise da şunları söyledi: gözlemlendi kalıcı arka kapıları ve XMRig kripto para birimi madencilerini devre dışı bırakmak için kötüye kullanılan güvenlik açıkları, kötü aktörlerin finansal kazanç için fırsatçı sömürüldüğünü gösteriyor.