Ivanti Güvenlik Açıklarıyla Sarsılıyor! Zero-Day Saldırıları Küresel Çapta Hızla Yayılıyor!
Ivanti Connect Secure VPN ve Policy Secure network access control (NAC) cihazlarını etkileyen iki zero-day güvenlik açığının şu anda dünya çapında sömürüldüğü belirtiliyor. Tehdit istihbarat şirketi Volexity tarafından keşfedilen bu açıklar Aralık ayından beri istismar ediliyor. CVE-2023-46805 kimlik doğrulama atlatma ve CVE-2024-21887 komut enjeksiyonu zafiyetleri 11 Ocak’tan itibaren yaygın olarak dünya genelinde kullanılıyor.
Volexity’in bugün yaptığı uyarıda, “Kurbanlar küresel olarak dağılmış durumda ve dünya genelindeki küçük işletmelerden Fortune 500 şirketlerine kadar büyüklük açısından önemli farklılıklar göstermektedir” denildi.
Saldırganlar, hedef sistemlerine GIFTEDVISITOR webshell varyantı ile backdoor ekliyor ve yapılan çalışmalarda onlarca sistemde tespit edilmiş durumda.
Volexity tarafından şu ana kadar tespit edilen kurbanlar arasında dünya genelindeki hükümet ve askeri birimler, ulusal telekomünikasyon şirketleri, savunma yüklenicileri, teknoloji şirketleri, bankacılık, finans ve muhasebe kuruluşları, dünya çapındaki danışmanlık şirketleri ve havacılık, havacılık ve mühendislik firmaları bulunmakta.
Ivanti, bu iki aktif olarak sömürülen zero-day için henüz yamaları yayınlamamış olsa da koruma önlemlerini uygulamaları önerilmekte. Ayrıca, Ivanti’nin Integrity Checker Tool’u çalıştırmaları ve ihlal belirtileri bulunursa ICS VPN cihazındaki tüm verileri (şifreler ve gizli bilgiler dahil) tehlikede kabul etmeleri önerilmekte.
Shadowserver tehdit izleme servisi, şu anda online olarak bulunan 16,800’den fazla ICS VPN cihazını takip etmekte ve bunların neredeyse 5,000’i ABD’de bulunmaktadır.
Saldırılarda kullanılan araçlar arasında:
Zipline Passive Backdoor: Ağ trafiğini yakalayabilen özel kötü amaçlı yazılım, yükleme/indirme işlemlerini destekler, ters kabuk oluşturabilir, proxy sunucuları ve sunucu tünelleme oluşturabilir.
Thinspool Dropper: Ivanti CS üzerine Lightwire web shell.
Wirefire web shell: Yetkisiz herhangi bir komutu yürüten ve payload yükleyen özel Python tabanlı web shell.
Lightwire web shell: Perl web shell, RCE’ izin veriyor.
Warpwire harvester: Kimlik bilgilerini toplamak için kullanılan özel JavaScript tabanlı araç, bunları bir komuta ve kontrol (C2) sunucusuna gönderiyor.
PySoxy tunneleri: Gizlilik için ağ trafiği tünelleme oluşturan araç.
BusyBox: Birçok Unix yardımcı programını birleştiren çok işlevli çeşitli sistem görevlerinde kullanılır.
Thinspool utility (sessionserver.pl): Dosya sistemini ‘okuma/yazma’ olarak yeniden yapılandırmak için kullanılan araç.
En dikkat çekici olanı, gelen ağ trafiğini dinleyen ve dosya transferi, reverse shell, tünel oluşturma ve proxy yetenekleri sağlayan ZIPLINE.
Şüpheli Çin destekli hack grupları, iki yıl önce takip edilen CVE-2021-22893 adlı bir ICS zero-day’i kullanarak ABD ve Avrupa’daki birçok hükümet, savunma ve finans kuruluşuna sızmayı başardı.
Geçen yıl nisan ayında, Ivanti Endpoint Manager Mobile (EPMM) üzerindeki iki başka zero-day (CVE-2023-35078 ve CVE-2023-35081) aktif olarak sömürüldü ve daha sonra Norveçli birçok devlet kuruluşunu ihlal etmek için kullanıldı.