Ivanti nihayet Connect Secure VPN cihazlarında 10 Ocak’ta açıklanan bir çift sıfır gün güvenlik açığını gidermeye başladı. Bununla birlikte, bugün platformda CVE-2024-21888 ve CVE-2024-21893 olmak üzere iki ek hata daha duyurdu; bunlardan ikincisi de doğada aktif olarak kullanılıyor.
Ivanti ilk yama turunu yayınladı sıfır günlerin orijinal seti için (CVE-2024-21887 ve CVE-2023-46805) ancak yalnızca bazı sürümler için; Şirket, bugün güncellenen tavsiye belgesinde, önümüzdeki haftalarda ek düzeltmelerin kademeli bir programla yayınlanacağını söyledi. Bu arada Ivanti, yama uygulanmayan kuruluşların mağdur edilmekten kaçınmak için derhal başvurması gereken bir hafifletme önlemi sağladı. Çin devleti destekli aktörlerin kitlesel sömürüsü ve finansal motivasyona sahip siber suçlular.
Çoklu Özel Kötü Amaçlı Yazılım Veri Hırsızlığı Saldırılarını Sabitliyor
O sömürü hız kesmeden devam ediyor. Mandiant’a göre, UNC5221 olarak adlandırdığı Çin destekli gelişmiş kalıcı tehdit (APT), Aralık ayının başına kadar uzanan çok sayıda istismarın arkasında yer alıyor. Ancak genel olarak aktivite, CVE-2024-21888 ve CVE-2024-21893’ün Ocak ayının başlarında halka açıklanmasından bu yana önemli ölçüde arttı.
Mandiant araştırmacıları şunları söyledi: “UNC5221’e ek olarak, bir veya daha fazla ilgili grubun da faaliyetle ilişkili olabileceği olasılığını kabul ediyoruz.” Ivanti siber saldırı analizi bugün yayınlandı. “UNC5221’in ötesindeki ek grupların bir veya daha fazlasını benimsemiş olması muhtemeldir. [the] aletler [associated with the compromises]”
Bu noktaya kadar Mandiant, UNC5221 ve diğer aktörlerin Ivanti Connect Secure VPN’lere yönelik saldırılarda kullandığı kötü amaçlı yazılım türleri hakkında ek bilgi yayınladı. Şimdiye kadar vahşi doğada gözlemledikleri implantlar arasında şunlar yer alıyor:
-
Kendisini VPN ağ geçidinin meşru bir bileşenine ekleyen LightWire Web kabuğunun bir çeşidi, artık farklı bir gizleme rutini içeriyor.
-
“ChainLine” ve “FrameSting” adı verilen ve Ivanti Connect Secure Python paketlerine gömülü arka kapılar olan ve rastgele komut yürütmeye olanak tanıyan iki UNC5221 özel Web kabuğu.
-
ZipLine, UNC5221 tarafından kullanılan, komuta ve kontrol (C2) ile iletişim kurmak için özel, şifreli bir protokol kullanan pasif bir arka kapıdır. İşlevleri arasında dosya yükleme ve indirme, ters kabuk, proxy sunucusu ve tünel sunucusu yer alır.
-
Sabit kodlu bir C2 sunucusuna sızmak için düz metin şifreleri ve kullanıcı adlarını çalan WarpWire kimlik bilgisi hırsızlığı kötü amaçlı yazılımının yeni çeşitleri. Mandiant, varyantların tamamını UNC5221’e atfetmiyor.
-
Ve sınırlı sayıda kurban ortamında dahili ağ keşfi, yanal hareket ve veri sızması gibi istismar sonrası faaliyetleri destekleyen çok sayıda açık kaynak araç.
Qualys Tehdit Araştırma Birimi siber tehdit direktörü Ken Dunham, “Ulus devlet aktörleri UNC5221, yapılandırma verilerini çalmak, mevcut dosyaları değiştirmek, uzak dosyaları indirmek ve ağlar içinde tüneli tersine çevirmek için Ivanti’deki güvenlik açıklarını başarılı bir şekilde hedefledi ve istismar etti” diyor ve şu uyarıda bulunuyor: Ivanti kullanıcıları müşterilerine, iş ortaklarına ve tedarikçilerine yönelik tedarik zinciri saldırılarına karşı dikkatli olmalıdır. “Ivanti muhtemelen hedef alınıyor [to] bir ağ ve VPN çözümü olarak, ağlara ve ilgili alt hedeflere yönelik aktörlere, eğer tehlikeye atılırsa, sağladığı işlevsellik ve mimariyi sağlar.”
Bu araçlara ek olarak, Mandiant araştırmacıları, orijinal danışma belgesinde ayrıntıları verilen, Ivanti’nin ilk geçici önlem hafifletme tekniği için bir bypass kullanan etkinliği işaretledi; Bu saldırılarda, bilinmeyen siber saldırganlar, bir sunucudaki dosyaları okuyabilen veya dosyalara yazabilen, “Bushwalk” adı verilen özel bir siber casusluk Web kabuğunu konuşlandırıyor.
Savunmacılar için kapsamlı uzlaşma göstergeleri (IoC’ler) ve YARA kuralları da sağlayan araştırmacılara göre, “Faaliyet son derece hedefli, sınırlı ve danışma sonrası kitlesel sömürü faaliyetinden farklı.”
Ivanti ve CISA güncellenmiş azaltım kılavuzunu yayınladı Dün o kuruluşların başvurması gerekiyordu.
İki Yeni Yüksek Önem Derecesine Sahip Sıfır Gün Hatası
Ivanti, üç haftalık hatalar için yamalar yayınlamanın yanı sıra aynı danışma belgesine iki yeni CVE için düzeltmeler de ekledi. Bunlar:
-
CVE-2024-21888 (CVSS puanı: 8,8): Ivanti Connect Secure ve Ivanti Policy Secure’un Web bileşeninde yer alan ve siber saldırganların yönetici ayrıcalıkları elde etmesine olanak tanıyan bir ayrıcalık yükseltme güvenlik açığı.
-
CVE-2024-21893 (CVSS puanı: 8,2): ZTA için Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons’un SAML bileşeninde yer alan, siber saldırganların “kimlik doğrulama olmadan belirli kısıtlı kaynaklara” erişmesine olanak tanıyan sunucu tarafı istek sahteciliği güvenlik açığı.
Ivanti’nin tavsiyesine göre, yalnızca ikincisine yönelik istismarlar ortalıkta dolaşıyor ve faaliyet “hedeflenmiş gibi görünüyor”, ancak kuruluşların “bu bilgi kamuya açıklandığında, gözlemlediğimiz gibi, istismarda keskin bir artış beklemeleri gerektiğini” ekledi. 10 Ocak’taki açıklamanın ardından 11 Ocak’ta.”
Qualys TRU’dan Dunham, saldırıların APT’lerden daha fazlasından beklendiğini söylüyor: “Birden fazla aktör, saldırılara karşı yama uygulayan ve sertleşen kuruluşlardan önce güvenlik açığından yararlanma fırsatlarından yararlanıyor Ivanti, ulus devlet aktörleri ve şimdi muhtemelen başkaları tarafından silah haline getiriliyor – bu sizin dikkatinizi çekmeli ve Üretimde savunmasız sürümleri kullanıyorsanız yama önceliği.”
Araştırmacılar ayrıca uzlaşmanın sonucunun kuruluşlar için tehlikeli olabileceği konusunda da uyarıyor.
“Bunlar [new] Ivanti’nin yüksek güvenlik kusurları ciddi [and particularly valuable for attackers]Keeper Security’nin güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet şöyle diyor: “Bu güvenlik açıkları istismar edilirse, hassas sistemlere yetkisiz erişim sağlayabilir ve tüm ağın güvenliğini tehlikeye atabilir.”