CISA, Ivanti'nin Endpoint Manager Mobile (EPMM) ve MobileIRN Core Cihaz Yönetim Yazılımında (Ağustos 2023'te yamalı) kritik bir kimlik doğrulama baypas güvenlik açığının artık aktif sömürü altında olduğu konusunda uyarıyor.
CVE-2023-35082 olarak izlenen Kusur, EPMM 11.10, 11.9 ve 11.8 ve MobileIron Core 11.7 ve altındaki tüm sürümleri etkileyen uzaktan kalmamış bir API erişim güvenlik açığıdır.
Başarılı sömürü, saldırganların mobil cihaz kullanıcılarının kişisel olarak tanımlanabilir bilgilerine (PII) erişimini sağlar ve hatayı diğer kusurlarla zincirleme yaparken geri kapıdan ödün verilen sunuculara izin verebilir.
"Ivanti'nin şimdi bir RPM komut dosyası var. Müşterilerin önce desteklenen bir sürüme yükseltmesini ve ardından RPM komut dosyasını uygulamanızı öneririz." Dedi. "Bu bilgi tabanı makalesinde Ivanti Topluluk Portalı'nda daha ayrıntılı bilgi bulunabilir."
Güvenlik açığını keşfeden ve bildiren siber güvenlik şirketi Rapid7, yöneticilerin bir CVE-2023-35082 saldırısının belirtilerini tespit etmesine yardımcı olmak için uzlaşma göstergeleri (IOCS) sağlar.
Shodan'a göre, 6.300 Ivanti EPMM kullanıcı portalları şu anda çevrimiçi olarak maruz kalırken, Shadowserver tehdit izleme platformu 3.420 internete maruz kalan EPMM cihazlarını izliyor.
Shodan'ın verileri ayrıca dünya çapında devlet kurumlarıyla bağlantılı 150'den fazla örneğin doğrudan İnternet üzerinden erişilebileceğini ortaya koyuyor.
CVE-2023-35082 aktif sömürü hakkında daha fazla ayrıntı vermemiş olsa da, CISA, aktif sömürü kanıtlarına dayanan bilinen sömürülen güvenlik açıkları kataloğuna güvenlik açığını ekledi ve fidye yazılımı saldırılarında istismar kanıtı olmadığını söyledi.
Siber güvenlik ajansı ayrıca, üç yıl önce yayınlanan bağlayıcı bir operasyonel direktifin (BOD 22-01) gerektirdiği gibi ABD federal kurumlarına 2 Şubat'a kadar yamasını emretti.
Ivanti, Ağustos tavsiyelerini henüz güncellemedi veya saldırganların bu güvenlik açığını vahşi doğada kullandıklarına dair başka bir bildirim uyarısı vermedi.
Diğer iki Ivanti Connect Secure (ICS) sıfır günleri, bir Auth Bypass (CVE-2023-46805) ve bir komut enjeksiyonu (CVE-2024-21887) şimdi de 11 Ocak'tan itibaren birden fazla tehdit grubu tarafından kitlesel sömürü altındadır.
Mağdurlar, şimdiye kadar küçük işletmelerden çeşitli endüstri sektörlerinden birden fazla Fortune 500 şirketine kadar uzanıyor ve saldırganlar, bir hediye webshell varyantı kullanarak 1.700'den fazla ICS VPN aletini geri yüklediler.
Birden fazla diğer Ivanti sıfır gün (yani, CVE-2021-22893, CVE-2023-35078, CVE-2023-35081, CVE-2023-38035) son yıllarda bir dolandırıcılık hükümet, savunma ve finansal organizasyonları ihlal etmek için sömürüldü. Amerika Birleşik Devletleri ve Avrupa genelinde, birkaç Norveç hükümet kuruluşu ve hedeflenen saldırılarda.
CISA Acil Durum Direktifi: Ivanti sıfır günlerini hemen azaltın
VMware, şimdi saldırılarda sömürülen kritik venter kusurunu doğrular
Ivanti, şimdi kitlesel sömürü altında güvenli sıfır günleri bağlayın
Ivanti Connect Secure Sıfır Günleri Özel Kötü Yazılım Dağıtmak İçin Söküldü
CISA, üçgenleme casus yazılım saldırılarında kullanılan dördüncü kusurun ajanslarını uyarıyor
Kaynak: Bleeping Computer