İvanti Endpoint Manager Mobildeki Güvenlik Açıkları ve Siber Tehditler
Son yıllarda, siber güvenlik alanındaki tehditler hızla artış göstermekte ve bu durum, şirketlerin ve kuruluşların güvenlik önlemlerini gözden geçirmelerini zorunlu kılmaktadır. CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), Ivanti Endpoint Manager Mobile (EPMM) üzerinde keşfedilen güvenlik açıkları ile ilgili önemli bir analiz yayınlamıştır. Bu açıkların kötü amaçlı yazılımlarla nasıl kullanıldığı, siber saldırıların boyutunu anlamak açısından kritik bir öneme sahiptir.
Güvenlik Açıkları ve Etkileri
Ivanti EPMM’de keşfedilen iki önemli güvenlik açığı bulunmaktadır: CVE-2025-4427 ve CVE-2025-4428. İlk açık, EPMM’nin API bileşenindeki kimlik doğrulama atlatma işlemiyle ilgilidir. Diğeri ise, rastgele kod yürütülmesine olanak tanıyan bir kod enjeksiyon zafiyetidir. Bu açıklar, Ivanti EPMM’nin 11.12.0.4, 12.3.0.1, 12.4.0.1 ve 12.5.0.0 versiyonlarını etkilemektedir.
Ivanti, bu güvenlik açıklarını 13 Mayıs 2025’te düzeltmiş olsa da, tehdit aktörleri bu açıklardan yararlanarak siber saldırılar gerçekleştirmeye 15 Mayıs’tan önce başlamışlardır. Analizler, yanı sıra bu açıklardan yararlanan tehdit aktörlerinin, Çin odaklı bir istihbarat grubu olduğunu göstermektedir. Bu grup, Ivanti EPMM’nin iç mimarisi hakkında ciddi bir bilgiye sahiptir ve sistem bileşenlerini yeniden yapılandırarak veri sızdırma işlemleri gerçekleştirebilmektedir.
Malware Dağıtımı
CISA’nın raporuna göre, siber tehdit aktörleri iki grup kötü amaçlı yazılım kullanarak, Ivanti EPMM sistemlerine ilk erişimlerini sağlamışlardır. Web-install.jar olarak adlandırılan iki farklı yükleyici kullanmışlardır. Her iki malware seti, benzer özelliklere sahip olmasına rağmen, kendi içlerinde özel bileşenler barındırmaktadır.
Set 1:
- web-install.jar (Loader 1)
- ReflectUtil.class: Java nesnelerini yönetmek için kullanılan bir bileşen.
- SecurityHandlerWanListener.class: Sunucuda kod yürütmek ve veri sızdırmak amacıyla kullanılan kötü niyetli dinleyici.
Set 2:
- web-install.jar (Loader 2)
- WebAndroidAppInstaller.class: Kod enjeksiyonu ve veri sızdırma amacıyla kullanılan başka bir kötü niyetli dinleyici.
CISA, bu kötü amaçlı yazılımların, tehdit aktörleri tarafından Base64 kodlu parçalar halinde ayrı ayrı HTTP GET talepleri ile iletildiğini açıklamaktadır. Her iki malware seti, belirli HTTP taleplerini yakalayarak saldırganlar tarafından sağlanan yükleri dekode edip çalıştırma işlevini yerine getirmektedir.
Öneriler ve Mitigasyon Stratejileri
CISA, bu tür saldırılara karşı önlem alması gereken kuruluşlar için çeşitli önerilerde bulunmaktadır. İlk olarak, analiz edilen veya benzer dosyaları içeren sistemlerin tehlikeli olarak belirlenmesi ve izole edilmesi önerilmektedir. Ayrıca, kurumların, etkilenen sistemlerden elde edilen verileri derlemesi ve CISA ile paylaşmak üzere tam bir adli disk imajı oluşturması önemlidir.
Bu tür saldırıların önlenmesi için gerekli güvenlik yamalarının derhal uygulanması ve mobil cihaz yönetim sistemlerinin (MDM) yüksek değerli varlıklar olarak ele alınması gerektiği vurgulanmaktadır.
Sonuç olarak, siber güvenlik dünyası sürekli bir tehdit altındadır. Kurumların, güvenlik açıklarını zamanında tespit edip müdahale edebilmeleri, olası veri sızıntılarının önlenmesi açısından hayati öneme sahiptir. Uygun güvenlik önlemlerinin alınması ve düzenli güncellemelerin yapılması, siber tehditlere karşı en etkili savunma mekanizmasıdır.
