ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bugün, aktif olarak sömürülen birçok güvenlik açıklarından birini kullanarak Ivanti VPN cihazlarını hackleyen saldırganların fabrika sıfırlamalarını yaptıktan sonra bile kök kalıcılığını koruyabileceğini açıkladı.
Ayrıca, Ivanti'nin Ivanti Connect Secure ve Politika Güvenli Ağ Geçitlerinde CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 ve CVE-2024 kullanılarak tehlikeye giren Ivanti'nin iç ve dış bütünlük denetleyici aracı (BİT) tarafından tespitten kaçınabilirler. -21893 istismar.
Dört güvenlik açığının şiddet derecelendirmeleri yüksekten kritiklere kadar değişir ve kimlik doğrulama bypass, komut enjeksiyonu, sunucu tarafı telafi sahteciliği ve keyfi komut yürütme için kullanılabilir.
CISA, Ivanti ICT'nin saldırıya uğramış Ivanti cihazlarını içeren birden fazla hack olayını araştırırken uzlaşmayı tespit edemediğini buldu. Bu, Ivanti'nin BİT'ine göre, sistemlerde bulunan web mermilerinin dosya uyumsuzluğu olmadığı için oldu.
Ek olarak, adli analiz, saldırganların üzerine dosyaların üzerine yazarak, zaman bastırma dosyalarını ve uzatılan cihazı "temiz bir duruma" geri yüklemek için çalışma zamanı bölümünü yeniden yerleştirerek izlerini kapsadığını ortaya koydu.
Bu, BİT taramalarının önceki uzlaşmaları tespit etmede her zaman güvenilir olmadığını ve CISA'ya göre, cihazın herhangi bir uzlaşmadan uzak olduğu yanlış bir güvenlik duygusu yaratabileceğini göstermektedir. Ivanti, önceki tarayıcılarındaki sorunları çözmek için güncellenmiş bir harici bütünlük denetleyici aracı yayınladı.
Ayrıca, ABD Siber Güvenlik Ajansı, bir test laboratuvarında, tehdit aktörlerinin fabrika sıfırlamaları arasında kök seviyesi kalıcılığı elde edebileceğinden, uzlaşmayı yeterince tespit etmek için Ivanti'nin BİT'sinden daha fazlasının gerekli olduğunu bağımsız olarak doğrulayabilir.
CISA Perşembe günü yaptığı açıklamada, "Bu faaliyetle ilişkili birden fazla olay müdahale sözleşmesi sırasında CISA, Ivanti'nin iç ve önceki dış BİT'inin uzlaşmayı tespit edemediğini belirledi."
"Buna ek olarak, CISA bir laboratuvar ortamında, Ivanti ICT'nin uzlaşmayı tespit etmek için yeterli olmadığını ve bir siber tehdit oyuncusunun fabrika sıfırlamalarına rağmen kök seviyesi kalıcılığı elde edebileceğini doğrulayan bağımsız araştırmalar gerçekleştirdi."
Bununla birlikte, CISA, federal ajanslara ağlarında Ivanti VPN cihazlarında uzlaşma belirtileri keşfettikten sonra nasıl ilerleyecekleri konusunda rehberlik sağlar.
Yazarlık kuruluşları, ağ savunucularını (1) etkilenen Ivanti VPN cihazlarında depolanan kullanıcı ve hizmet hesabı kimlik bilgilerinin muhtemelen tehlikeye atıldığını varsaymaya teşvik eder, (2) İçindeki uzlaşma yöntemlerini ve göstergelerini kullanarak ağlarında kötü niyetli etkinlik avı (IOCS) Bu danışma, (3) Ivanti'nin en son harici BİT'ini çalıştırır ve (4) sürüm güncellemeleri kullanılabilir hale geldikçe Ivanti tarafından sağlanan mevcut yama rehberliğini uygular. Potansiyel bir uzlaşma tespit edilirse, kuruluşlar kötü niyetli faaliyetler için günlükleri ve eserleri toplamalı ve analiz etmeli ve bu danışma içindeki olay yanıt önerilerini uygulamalıdır. - Cisa
Bugün, CISA'nın danışmanlığına yanıt olarak Ivanti, CISA'nın Ivanti Connect Secure Cihazıyla bağlantısını kaybedeceğini kullanarak bir Ivanti cihazında kök kalıcılık kazanmaya çalışan uzak saldırganların söyledi.
Ivanti, "Ivanti ve güvenlik ortaklarımız, güvenlik güncellemelerinin ve fabrika sıfırlamalarının (donanım)/ Ivanti tarafından önerilen yeni yapı (sanal) uygulanmasının ardından başarılı bir tehdit oyuncusu kalıcılığının herhangi bir örneğinin farkında değiller." Dedi.
Şirketin güvencelerine rağmen, CISA bugün tüm Ivanti müşterilerini "bu cihazları bir işletme ortamında çalıştırmaya devam edip etmeyeceğini belirlerken Ivanti'nin güvenli ve Ivanti Politikası Güvenli Güvenli ve Ivanti Politikası Güvenli Ağ Geçitlerine ilişkin önemli riskini göz önünde bulundurmaya çağırdı. ].
Başka bir deyişle, CISA, bir fabrika sıfırlamasını temizledikten ve gerçekleştirdikten sonra bile daha önce tehlikeye atılmış Ivanti Connect Secure ve Ivanti Politikası Güvenli cihazları kullanmanın hala güvenli olmayabileceği konusunda uyarıyor.
1 Şubat'ta, "önemli tehdide" ve saldırıya uğramış Ivanti VPN cihazlarının ortaya koyduğu güvenlik ihlallerinin artmasına yanıt olarak, CISA tüm federal ajansların tüm Ivanti Connect Secure ve Ivanti Politikası Güvenli Örnekleri 48 saat içinde bağlantısını kesmesini emretti.
Ajanslar, yapılandırmaları ihracat yapmak, fabrikayı sıfırlamak, Ivanti tarafından yayınlanan yamalı yazılım sürümlerini kullanarak yeniden inşa etmek, yedeklenmiş yapılandırmaları yeniden inşa etmek ve izole edilmiş cihazları geri getirmek için tüm bağlantılı veya açık sertifikaları, anahtarları ve şifreleri iptal etmek için zorunlu kılındı. çevrimiçi.
Ağlarında tehlikeye atılmış Ivanti ürünleri bulan federal ajanslara, tüm bağlantılı etki alanı hesaplarının tehlikeye atıldığını ve birleştirilmiş/kayıtlı cihazları (bulut ortamlarında) devre dışı bıraktığını veya tüm hesaplar için çift şifre sıfırlaması yaptıklarını ve Kerberos Tickers ve Bulut Tokens'i (içinde devre dışı bıraktıklarını ( melez kurulumlar).
Ulus-devlet aktörleri, CISA'nın bugünün danışmanlığında, çok çeşitli özel kötü amaçlı yazılım suşları düşürmeleri için geniş bir tehdit aktörleri tarafından daha büyük bir ölçekte kaldırılmadan önce Sıfır Günleri olarak belirtilen bazı güvenlik açıklarından yararlandı.
2021 yılında şüpheli Çin tehdit grupları tarafından ABD ve Avrupa'daki düzinelerce hükümet, savunma ve finans kuruluşunu ihlal etmek için CVE-2021-22893 olarak izlenen başka bir bağlantı sıfır günü kullanıldı.
GÜNCELLEME 29 Şubat 19:57 EST: Danışmanlığı netleştirmek için gözden geçirilmiş hikaye ve başlık Ivanti Connect Secure ve Ivanti Politikası Güvenli VPN cihazlarını ifade ediyor.
FBI, CISA ABD hastanelerini hedeflenen Blackcat Fidye Yazılımı Saldırıları
CISA, federal ajanslara Cumartesi gününe kadar Ivanti VPN aletlerini ayırmasını emreder
CISA: Eleştirel Ivanti Auth Bypass Bug artık aktif olarak sömürüldü
Rus hackerlar bulut saldırılarına geçer, ABD ve müttefikler uyarıyor
ABD Govt, su kamu hizmetleri için siber saldırı savunma ipuçlarını paylaşıyor
Kaynak: Bleeping Computer