Ürünleri son zamanlarda saldırganlar için büyük bir hedef haline gelen Ivanti, teknolojilerindeki iki kritik güvenlik açığını daha açığa çıkardı ve bu süreçte ürünlerinin güvenliği hakkında daha fazla soru ortaya çıktı.
Kusurlardan biri şu şekilde izlendi: CVE-2023-41724 (CVSS güvenlik açığı ciddiyet derecesi 10 üzerinden 9,6), NATO Siber Güvenlik Merkezi’nden araştırmacıların şirkete bildirdiği Ivanti Standalone Sentry’deki bir uzaktan kod yürütme güvenlik açığıdır.
Ivanti’nin bu hafta açıkladığı ikinci kusur ise şu: CVE-2023-46808 (CVSS puanı 9,9) Ivanti Neurons for IT Service Management (ITSM).
Kritik Önem Düzeyindeki Hatalar
Teknolojinin tüm desteklenen sürümlerini (9.17.0, 9.18.0 ve 9.19.0) etkileyen Bağımsız Sentry kusuru, kimliği doğrulanmamış bir saldırganın temeldeki işletim sisteminde rastgele kod çalıştırmasına olanak tanır. Ivanti’ye göre Bağımsız Sentry’nin eski sürümleri de risk altında.
Satıcı şu ana kadar tehdit aktörlerinin bu kusuru istismar ettiğine dair herhangi bir kanıt görmediğini söyledi. Ivanti, “EPMM aracılığıyla kaydolmuş geçerli bir TLS istemci sertifikası olmayan tehdit aktörleri bu sorundan internette doğrudan yararlanamaz” dedi.
ITSM için Neurons’taki güvenlik açığı, kimliği doğrulanmış uzaktaki bir saldırgana, ITSM sunucusuna dosya yazma veya yükleme ve üzerinde isteğe bağlı kod yürütme yeteneği kazanma yolu verir. Bağımsız Sentry’deki RCE kusurunda olduğu gibi Ivanti, şu ana kadar herhangi bir sömürü faaliyeti belirtisi görmediğini söyledi.
Ivanti, her bir güvenlik açığını gidermek için etkilenen ürünlerin güncellenmiş sürümlerini yayınladı. Şirket, geçen yılın sonlarında her iki kusuru da öğrendiğini ve onlar için bir CVE numarası ayırdığını, bu nedenle güvenlik açıklarının 2023 CVE numarasına sahip olduğunu söyledi. Şirket, “Ivanti’nin politikası, bir CVE aktif olarak kullanılmadığında, bir düzeltme mevcut olduğunda güvenlik açığını açıklamamızdır, böylece müşteriler çevrelerini korumak için ihtiyaç duydukları araçlara sahip olur” dedi.
Kötü Geçmişi Daha da Kötü Hale Getirmek
Ocak ayından bu yana şirket, güvenlik yöneticilerini ürünlerindeki sürekli kusur akışıyla meşgul etti ve bazı durumlarda tehdit aktörleri bu kusurların hemen üzerine atladı. Bir örnek şu: “Mıknatıslı Goblin” Ivanti Connect Secure ve Policy Secure ağ geçitlerindeki bir komut ekleme güvenlik açığı olan CVE-2024-21887’den en hızlı şekilde yararlanan, finansal motivasyona sahip bir tehdit aktörü.
Kusur şunlardan biriydi: iki sıfır gün Ivanti’nin Ocak ayı başlarında güvenli uzaktan erişim teknolojisinde açıkladığı (diğeri CVE-2023-46805’ti) ancak şirket bunun için haftalar sonrasına kadar bir yama yayınlamadı. Dönem boyunca, UNC5221, diğer adıyla UTA0178 gibi Çin merkezli gelişmiş kalıcı tehdit aktörleri de dahil olmak üzere çok sayıda tehdit grubu, dünya çapındaki toplu saldırılarda bu açıklardan aktif olarak yararlandı.
Kuşatılmış yöneticiler başlangıçtaki bu iki kusuru gidermeye çalışırken Ivanti, Ocak ayı sonlarında Connect Secure VPN teknolojisinde iki hata daha açıkladı: CVE-2024-21888 ve CVE-2024-21893Bunlardan ikincisi, ifşa sırasında aktif olarak kullanılan bir sıfır gün hatasıydı. İki haftadan kısa bir süre sonra şirket başka bir kusuru daha açıkladı: CVE-2024-22024 — Saldırganların bir kez daha hızla istismar ettiği Ivanti Connect Secure ve Ivanti Pulse Secure teknolojilerinde.
Ivanti’nin ürünlerindeki aralıksız görünen hatalar ve bunların bazıları çok büyük işletmeler de dahil olmak üzere satıcının müşterileri için oluşturduğu risk, tahmin edilebileceği gibi, bazı araştırmacılara göre itibarını zedeledi topluluk içinde. Hatta bazıları kusurların ve şirketin bunlara nispeten yavaş tepki vermesinin işletmeler için varoluşsal bir tehdit oluşturduğunu bile ifade etti.
