Yeni kamuya açık veriler, bilgisayar korsanlarının Ivanti’nin yaygın olarak kullanılan kurumsal VPN cihazını etkileyen üçüncü bir güvenlik açığından toplu olarak yararlanmaya başladığını gösteriyor.
Geçen hafta Ivanti, dünya çapında binlerce şirket ve büyük kuruluş tarafından kullanılan uzaktan erişim VPN çözümü Connect Secure’u etkileyen, CVE-2024-21888 ve CVE-2024-21893 olarak takip edilen iki yeni güvenlik açığı keşfettiğini söyledi. Web sitesine göre Ivanti’nin üniversiteler, sağlık kuruluşları ve bankalar da dahil olmak üzere 40.000’den fazla müşterisi var ve bu müşteri teknolojisi çalışanlarının ofis dışından giriş yapmasına olanak tanıyor.
Açıklama, Ivanti’nin Connect Secure’da CVE-2023-46805 ve CVE-2024-21887 olarak takip edilen daha önceki iki hatayı doğrulamasından kısa bir süre sonra geldi; güvenlik araştırmacıları, Çin destekli bilgisayar korsanlarının Aralık ayından bu yana müşteri ağlarına sızmak ve bilgi çalmak için bu hatayı kullandığını söyledi .
Artık veriler, yeni keşfedilen kusurlardan birinin (sunucu tarafı istek sahteciliği kusuru olan CVE-2024-21893) toplu olarak istismar edildiğini gösteriyor.
Ivanti o zamandan bu yana güvenlik açıklarını kapatmış olsa da güvenlik araştırmacıları, daha fazla bilgisayar korsanlığı grubunun bu kusurdan yararlanması nedeniyle kuruluşlar üzerinde daha fazla etkinin oluşmasını bekliyor. Ivanti’deki güvenlik açıklarının istismarını izleyen bir güvenlik şirketi olan siber güvenlik şirketi Volexity’nin kurucusu Steven Adair, kavram kanıtlama kodunun artık kamuya açık olduğu konusunda uyardı: “İnternet üzerinden erişilebilen herhangi bir yama yapılmamış cihazın muhtemelen birkaç kez tehlikeye atıldığı” .”
İnterneti kötüye kullanıma karşı tarayan ve izleyen kar amacı gütmeyen bir kuruluş olan Shadowserver Foundation’ın genel müdürü Piotr Kijewski, Perşembe günü TechCrunch’a yaptığı açıklamada, kuruluşun, saldırganların erişim elde etmesine olanak tanıyan sunucu tarafı kusurundan yararlanmaya çalışan 630’dan fazla benzersiz IP gözlemlediğini söyledi. savunmasız cihazlardaki verilere.
Bu, Shadowserver’ın söylediği geçen haftaya kıyasla keskin bir artış 170 benzersiz IP gözlemledi güvenlik açığından yararlanmaya çalışıyor.
Bir yeni sunucu tarafı kusurunun analizi Bu hatanın, Ivanti’nin ilk iki güvenlik açığını içeren ilk istismar zincirine yönelik orijinal azaltma yöntemini atlamak için kullanılabileceğini ve bu yama öncesi hafifletme önlemlerini etkili bir şekilde tartışmalı hale getirdiğini gösteriyor.
Kijewski, Shadowserver’ın şu anda internete açık yaklaşık 20.800 Ivanti Connect Secure cihazını gözlemlediğini, bu rakamın geçen hafta 22.500’e düştüğünü ancak bu Ivanti cihazlarından kaçının istismara açık olduğunun bilinmediğini ekledi.
Kitlesel sömürünün arkasında kimin olduğu belli değil, ancak güvenlik araştırmacıları ilk iki Connect Secure hatasının sömürülmesini muhtemelen casusluk amacıyla Çin hükümeti destekli bir bilgisayar korsanlığı grubuna bağladılar.
Ivanti daha önce, sunucu tarafındaki hatanın “sınırlı sayıda müşteriye” yönelik “hedefli” bir şekilde istismar edildiğinin farkında olduğunu söylemişti. TechCrunch’ın bu hafta tekrarlanan taleplerine rağmen Ivanti, kusurun toplu olarak istismar edildiği yönündeki raporlar hakkında yorum yapmadı ancak Shadowserver’ın bulgularına da itiraz etmedi.
İvanti yamaları yayınlamaya başladı Bu ayın başlarında ikinci bir dizi hafifletmenin yanı sıra tüm güvenlik açıkları için müşterilere. Ancak Ivanti, en son 2 Şubat’ta güncellenen güvenlik tavsiyesinde “öncelikle en yüksek kurulum sayısı için yamaları yayınlayacağını ve ardından azalan sırayla devam edeceğini” belirtiyor.
Ivanti’nin yamaları potansiyel olarak savunmasız müşterilerinin tamamına ne zaman sunacağı bilinmiyor.
ABD siber güvenlik kurumu CISA’nın federal kurumlara tüm Ivanti VPN cihazlarının bağlantısını acilen kesmeleri talimatını vermesinden birkaç gün sonra, başka bir Ivanti kusurunun kitlesel olarak istismar edildiğine dair raporlar geldi. Ajansın uyarısında, CISA’nın, aktif saldırı altındaki güvenlik açıklarının oluşturduğu “ciddi tehdit”i gerekçe göstererek kurumlara cihazların bağlantısını kesmeleri için sadece iki gün süre tanıdığı görüldü.
