Ivanti’nin Güvenlik Açıkları ve Önemli Uyarılar
Son zamanlarda, Ivanti Endpoint Manager Mobile (EPMM) üzerindeki kritik güvenlik açıkları, sıfırıncı gün saldırıları ile istismar edildi. Bu durum, özellikle siber güvenlik uzmanları ve işletmeler için ciddi bir tehdit oluşturmaktadır.
CVE Kayıtları ve Açıkların Özeti
Ivanti, iki kritik güvenlik açığını düzeltmek için güncellemeler yayımlamıştır. Bu açıkların detayları aşağıda listelenmiştir:
- CVE-2026-1281 (CVSS skoru: 9.8) – Saldırganların kimlik doğrulaması olmadan uzaktan kod çalıştırmalarına olanak tanıyan bir kod enjeksiyonu.
- CVE-2026-1340 (CVSS skoru: 9.8) – Saldırganların kimlik doğrulaması olmadan uzaktan kod çalıştırmalarına olanak tanıyan bir kod enjeksiyonu.
Bu güvenlik açıkları, aşağıdaki sürümleri etkilemektedir:
- EPMM 12.5.0.0 ve öncesi, 12.6.0.0 ve öncesi, ve 12.7.0.0 ve öncesi (RPM 12.x.0.x ile düzeltildi).
- EPMM 12.5.1.0 ve öncesi, 12.6.1.0 ve öncesi (RPM 12.x.1.x ile düzeltildi).
Saldırı Nasıl Çalışıyor?
Ivanti, EPMM uygulamalarının eski güvenlik açıklarının hedef alınarak iki tür kalıcılık ile sızma girişimlerinin görüldüğünü belirtmektedir. Saldırganlar, web kabukları ve ters kabuklar kurarak sistemde kalıcılığı sağlama yoluna gitmektedirler. Sızma sonucunda, EPMM cihazında keyfi kod çalıştırmak mümkündür. Bunun yanı sıra, sızan sistemlerdeki bağlı ağlara lateral hareket etme ve yönetilen cihazlarla ilgili hassas bilgileri ele geçirme riski bulunmaktadır.
Etkilenen Sistemler
CVE-2026-1281 ve CVE-2026-1340 güvenlik açıkları, özel uygulama dağıtımı ve Android Dosya Aktarım Yapılandırması özelliklerini etkilemektedir. Diğer Ivanti ürünleri, örneğin Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) veya Ivanti Sentry, bu açıktan etkilenmemektedir.
Çözüm ve Korunma
Kullanıcıların, aşağıdaki önlemleri alması önerilmektedir:
- Apache erişim günlüklerini kontrol edin, özellikle “/var/log/httpd/https-access_log” konumunda.
- Aşağıdaki düzenli ifade (regex) desenini kullanarak girişimleri veya başarılı exploit denemelerini arayın:
^(?!127.0.0.1:d+
.*$).*?/mifs/c/(aft|app)store/fob/.*?404
- Yeni veya yakın zamanda değişen EPMM yöneticilerini kontrol edin.
- Kimlik doğrulama yapılandırmasını gözden geçirin, SSO ve LDAP ayarlarını kontrol edin.
- Mobil cihazlar için yeni uygulama gönderimlerini inceleyin.
- Uygulamaların yapılandırmasında yapılan değişiklikleri gözden geçirin.
- Ağ yapılandırma değişikliklerini kontrol edin.
Eğer herhangi bir şüpheli durumla karşılaşırsanız, EPMM cihazını bilinen güvenilir bir yedekten geri yükleyin veya yeni bir EPMM oluşturup verileri bu cihaza aktarın. Ayrıca, aşağıdaki güvenlik adımlarını da atmalısınız:
- Tüm yerel EPMM hesaplarının şifrelerini sıfırlayın.
- LDAP ve/veya KDC hizmet hesaplarının şifrelerini sıfırlayın.
- EPMM için kullanılan kamu sertifikasını iptal edin ve yenileyin.
CISA, CVE-2026-1281’i KEV kataloğuna ekleyerek, Federal Sivil İdare Daireleri’nin bu güncellemeleri 1 Şubat 2026’ya kadar uygulamalarını zorunlu kılmıştır.
Sonuç
Ivanti tarafından yayımlanan güvenlik güncellemeleri, söz konusu açıklar için acil olarak uygulanmalıdır. Tüm kullanıcılar, sistemlerini güncel tutmak ve saldırılara karşı güvenlik önlemlerini artırmak için belirlenen adımları izlemelidir. Ayrıca, herhangi bir güvenlik açığına karşı sistemlerinizi kontrol etmekde ve gerekli güncellemeleri yapmada gecikmemelisiniz. Aksi takdirde, kötü niyetli saldırganlar verilerinize ulaşma imkanına kavuşacaktır.
