Ivanti uyarıyor iki yeni yüksek önem dereceli kusur Connect Secure ve Policy Secure ürünlerinde, bunlardan birinin vahşi doğada hedefli istismara uğradığı söyleniyor.
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2024-21888 (CVSS puanı: 8,8) – Ivanti Connect Secure (9.x, 22.x) ve Ivanti Policy Secure’un (9.x, 22.x) web bileşenindeki ayrıcalık yükseltme güvenlik açığı, kullanıcının ayrıcalıkları bir yönetici
- CVE-2024-21893 (CVSS puanı: 8,2) – Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) ve ZTA için Ivanti Neurons’un SAML bileşenindeki sunucu tarafı istek sahteciliği güvenlik açığı, bir saldırganın belirli kısıtlı kaynaklara kimlik doğrulaması olmadan erişmesi
Utah merkezli yazılım şirketi söz konusu şu ana kadar müşterilerin CVE-2024-21888’den etkilendiğine dair bir kanıt bulamadı, ancak “CVE-2024-21893’ün istismarının hedeflenmiş gibi göründüğünü” kabul etti.
Ayrıca, “tehdit aktörünün davranışlarını değiştirmesini beklediğimizi ve bu bilgi kamuya açıklandığında istismarda keskin bir artış beklediğimizi” belirtti.
İki yeni güvenlik açığının kamuya açıklanmasıyla birlikte Ivanti, Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ve 22.5R1.1 ve ZTA 22.6R1 sürümü için düzeltmeler yayınladı. .3.
“Çok dikkatli bir şekilde, tehdit aktörünün ortamınızda yükseltme kalıcılığı kazanmasını önlemek için müşterilerin yamayı uygulamadan önce cihazlarını fabrika ayarlarına sıfırlamalarını en iyi uygulama olarak öneriyoruz” dedi. “Müşteriler bu sürecin 3-4 saat süreceğini beklemelidir.”
CVE-2024-21888 ve CVE-2024-21893’e yönelik geçici çözümler olarak kullanıcıların “mitigation.release.20240126.5.xml” dosyasını içe aktarmaları önerilir.
En son gelişme, aynı üründeki diğer iki kusurun (CVE-2023-46805 ve CVE-2024-21887) birden fazla tehdit aktörü tarafından arka kapıları, kripto para madencilerini ve KrustyLoader adlı Rust tabanlı bir yükleyiciyi dağıtmak için geniş çapta istismar edilmesiyle ortaya çıkıyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün yayınlanan yeni bir danışma belgesinde, saldırganların kimlik bilgilerini ele geçirmek ve kurumsal ağların daha fazla tehlikeye atılmasına olanak tanıyan web kabuklarını bırakmak için bu iki eksiklikten yararlandığını söyledi.
Ajans, “Bazı tehdit aktörleri yakın zamanda mevcut hafifletme ve tespit yöntemlerine yönelik geçici çözümler geliştirdi ve zayıf noktalardan yararlanarak yanlara doğru hareket edebildi ve ayrıcalıkları tespit edilmeden yükseltebildi.” söz konusu.
“Gelişmiş tehdit aktörleri, harici bütünlük kontrol aracını (ICT) altüst ederek izinsiz girişlerin izlerini daha da azalttı.”