Pazartesi günü ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) eklemek Avantive Veracore ve Ivanti EndPoint Manager’ı (EPM) etkileyen beş güvenlik kusuru bilinen sömürülen güvenlik açıklarına (Kev) katalog, vahşi doğada aktif sömürü kanıtlarına dayanarak.
Güvenlik açıklarının listesi aşağıdaki gibidir –
- CVE-2024-57968 – Avantive Veracore’da, Uzaktan Tükenmemiş Bir Saldırganın Upload.apsx aracılığıyla istenmeyen klasörlere dosyaları yüklemesine izin veren sınırsız bir dosya yükleme güvenlik açığı
- CVE-2025-25181 – Bir uzaktan saldırganın keyfi SQL komutlarını yürütmesine izin veren bir SQL enjeksiyon güvenlik açığı
- CVE-2024-13159 – Ivanti EPM’de, uzaktan kumandasız bir saldırganın hassas bilgileri sızdırmasına izin veren mutlak bir yol geçiş güvenlik açığı
- CVE-2024-13160 – Ivanti EPM’de, uzaktan kumandasız bir saldırganın hassas bilgileri sızdırmasına izin veren mutlak bir yol geçiş güvenlik açığı
- CVE-2024-13161 – Ivanti EPM’de, uzaktan kumandasız bir saldırganın hassas bilgileri sızdırmasına izin veren mutlak bir yol geçiş güvenlik açığı
Veracore güvenlik açıklarının sömürülmesi, uzlaşmış sistemlere kalıcı uzaktan erişimi sürdürmek için ters kabukları ve web kabuklarını düşürdüğü gözlemlenen XE Group adlı bir Vietnam tehdit oyuncusu ile ilişkilendirilmiştir.
Öte yandan, şu anda üç Ivanti EPM kusurunun gerçek dünya saldırılarında nasıl silahlandırıldığına dair bir kamuoyu raporu yok. Geçen ay bir kavram kanıtı (POC) istismar yayınlandı. Siber güvenlik şirketi, onları kimlik doğrulanmamış bir saldırganın sunuculardan ödün vermesine izin verebilecek “kimlik bilgisi zorlama” hataları olarak nitelendirdi.
Aktif sömürü ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının 31 Mart 2025’e kadar gerekli yamaları uygulaması esastır.
Gelişme, tehdit istihbarat firması Greynose, PHP-CGI’yi etkileyen kritik bir kırılganlık olan CVE-2024-4577’nin kitlesel sömürüsü uyardı ve Japonya, Singapur, Endonezya, Birleşik Krallık, İspanya ve Hindistan’ı hedefleyen saldırı faaliyetindeki ani artışlar.
“Son 30 gün içinde CVE-2024-4577’yi hedefleyen IP’lerin% 43’ünden fazlası Almanya ve Çin’den geliyor” söz konusuŞubat ayında “birden fazla ülkedeki ağlara karşı sömürü girişimlerinde koordineli bir artış tespit etti”.
