Giriş
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-0282 zafiyetini hedef alan RESURGE adlı zararlı yazılım hakkında yeni bilgiler yayımladı. Bu yazılım, Ivanti Connect Secure cihazlarına yönelik sıfırıncı gün saldırılarına ve gizli iletişim yöntemlerine imza atarak, ciddi bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
CISA’nın güncellenmiş bülteni, ilgili cihazlardan çıkarılan libdsupgrade.so adlı zararlı 32-bit Linux Paylaşımlı Nesne dosyasının detaylarını sunuyor. RESURGE, aşağıdaki yeteneklere sahip bir komut ve kontrol (C2) implantı olarak tanımlanıyor:
- Rootkit
- Bootkit
- Arka kapı
- Dropper
- Proxying
- Tünelleme
Zararlı yazılım, C2 sunucusuna bağlanmak yerine belirli bir TLS bağlantısının beklenmesini sağlıyor ve bu sayede ağ gözlemlemesini aşmayı başarıyor. CISA’ya göre, implant web sürecinde yüklendiğinde, gelen TLS paketlerini incelemek için ‘accept()’ fonksiyonunu kullanıyor ve uzaktan bir saldırgandan gelen belirli bağlantı denemelerini CRC32 TLS parmak izi hashing şemasıyla tanımlıyor.
Eğer parmak izi eşleşmezse, trafik meşru Ivanti sunucusuna yönlendiriliyor. CISA, saldırganların implant ile etkileşimde bulunabilmesi için sahte bir Ivanti sertifikası kullandığını açıklıyor. Bu sertifika, sadece kimlik doğrulama ve doğrulama amacıyla kullanılıyor ve iletişimi şifrelemek için kullanılmıyor.
Etkilenen Sistemler
Zararlı yazılım, Ivanti Connect Secure cihazları üzerinde aktif bir tehdit oluşturuyor ve cihazların reboottan sonra bile aktif kalabileceği vurgulanıyor. CISA, CVE-2025-0282 zafiyetinin Aralık 2024’ten beri bir tehdit aktörü tarafından istismar edildiğini bildiriyor. Araştırmalara göre bu aktör, Çin ile bağlantılı ve içsel olarak UNC5221 olarak izleniyor.
Çözüm ve Korunma
CISA, sistem yöneticilerinin güncellenmiş zararlı yazılım tespit göstergelerini (IoCs) kullanarak, bekleyen RESURGE enfeksiyonlarını keşfetmelerini ve bunları Ivanti cihazlarından temizlemelerini öneriyor. Zararlı yazılımın, sistemlerde gizli kalabileceği ve bir uzaktan saldırgan bağlantı kurana kadar bekleyebileceği unutulmamalıdır.
Sonuç olarak, sistem yöneticileri aşağıdaki adımları atmalıdır:
- Ivanti devre dışı özelliklerini kontrol etmek ve güncellemeleri uygulamak.
- Sertifika doğrulama mekanizmalarını gözden geçirmek ve güncellemek.
- Ağ trafiğini izleyerek, tekil bağlantı taleplerini analiz etmek.
Bu tür bir tehditin önlenmesinde, cihazların düzenli olarak güncellenmesi ve ağ gözlemleme sistemlerinin etkin bir şekilde kullanılması kritik öneme sahiptir.
