Ivanti’nin Bulut Hizmet Cihazındaki üç ayrı sıfır gün kusurunun ustaca bir araya getirilmesi, özellikle güçlü bir siber saldırganın hedef ağa sızmasına ve kötü niyetli eylemler gerçekleştirmesine olanak tanıdı; araştırmacıların, bir ulus devlet aktörünün bu savunmasız sistemleri aktif olarak hedeflediği sonucuna varmasına yol açtı.
Fortinet’in FortiGuard Laboratuvarları bulgularını yayımlayarak Ivanti’nin CSA 4.6 ve önceki sürümlerini gerekli iyileştirme önlemlerini almadan çalıştıran kuruluşların bu saldırı yöntemine karşı savunmasız olduğu konusunda uyarıda bulundu.
Yeni ortaya çıkarılan saldırı zincirinin ayrıntıları, bir dizi ek saldırının duyurulduğu sırada geldi Ivanti’nin CSA’sındaki güvenlik kusurları aynı zamanda aktif istismar altında.
Fortinet’in raporuna göre “Gelişmiş saldırganların, kurbanın ağında sınırbaşı erişimi sağlamak için sıfır gün güvenlik açıklarından yararlandıkları ve zincirleme yaptıkları gözlemlendi.” rapor söz konusu. “Bu olay, tehdit aktörlerinin kurbanın ağına ilk erişim sağlamak için sıfır gün güvenlik açıklarını nasıl zincirlediğinin önemli bir örneğidir.”
Saldırıda kullanılan üç spesifik Ivanti CSA kusuru, DateTimeTab.php kaynağındaki CVE-2024-8190 olarak izlenen bir komut ekleme kusuruydu ve /client/index.php kaynağında CVE-2024-8963 olarak izlenen kritik bir yol geçiş güvenlik açığıydı. ve CVE-2024-9380 olarak takip edilen, report.php’yi etkileyen, kimliği doğrulanmamış bir komut yerleştirme güvenlik açığı.
Yol geçiş hatası kullanılarak ilk erişim sağlandıktan sonra, tehdit grubu, bir Web kabuğunu düşürmek için report.php kaynağındaki komut ekleme kusurundan yararlanabildi. Araştırmacılar, grubun, SQLS sisteminde uzaktan yürütme elde etmek için Ivanti’nin CVE-2024-29824 olarak izlenen arka uç SQL veritabanı sunucusunda (SQLS) ayrı bir SQL enjeksiyon kusurundan yararlandığını belirtti.
Ivanti’nin komut ekleme kusuru için bir yama yayınlamasının ardından saldırı grubu, diğer rakiplerin kendilerini ele geçirilen sistemlere kadar takip etmemelerini sağlamak için harekete geçti. “10 Eylül 2024’te, Ivanti tarafından CVE-2024-8190’a ilişkin danışma belgesi yayınlandığında, müşterinin ağında hâlâ aktif olan tehdit aktörü, /gsb/DateTimeTab.php kaynaklarındaki komut ekleme güvenlik açıklarını ‘yamaladı’ ve FortiGuard Labs ekibi rapora şunu ekledi: /gsb/reports.php, onları kullanılamaz hale getiriyor. “Geçmişte, tehdit aktörlerinin, diğer davetsiz misafirlerin savunmasız varlıklara erişmesini ve saldırı operasyonlarına potansiyel olarak müdahale etmesini engellemek için, güvenlik açıklarını kullandıktan ve kurbanın ağına nüfuz ettikten sonra güvenlik açıklarını yamaladıkları gözlemlendi. “
Bu örnekte analistler, grubun erişimi sürdürmek için PowerShell aracılığıyla bir DNS tünelleme saldırısı başlatmak ve ele geçirilen CSA sistemine bir Linux çekirdek nesne kök kiti bırakmak da dahil olmak üzere karmaşık teknikler kullanmaya çalıştığından şüpheleniyordu.
Fortinet araştırmacıları, “Bunun arkasındaki muhtemel neden, tehdit aktörünün CSA cihazında çekirdek düzeyinde kalıcılığı sürdürmesiydi; bu, fabrika ayarlarına sıfırlandığında bile hayatta kalabilir.” dedi.