Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bugün ABD federal ajanslarını, sistemlerini eskiden MobileIron Core olan Ivanti'nin Endpoint Manager Mobile'da (EPMM) maksimum şiddet kimlik doğrulama baypas güvenlik açığına karşı güvence altına almaları konusunda uyardı.
CVE-2023-35078 olarak izlenen bu kusur, ülkenin Ulusal Güvenlik İdaresi'ne göre, 12 Norveçli bakanlık tarafından kullanılan bir yazılım platformunu hacklemek için sıfır gün olarak kullanıldı.
Başarılı sömürü, kimlik doğrulanmamış saldırganların adlar, telefon numaraları ve diğer mobil cihaz ayrıntıları dahil kişisel olarak tanımlanabilir bilgileri (PII) çalmak için belirli API yollarına uzaktan erişmelerini sağlar.
Ayrıca, savunmasız sistemlerde daha fazla değişiklik yapmak için gereken izinleri sağlayan EPMM yönetim hesapları oluşturma da dahil olmak üzere tehlikeye atılan cihazlarda yapılandırma değişiklikleri de yapabilirler.
Ivanti ayrıca, hatanın saldırılarda aktif olarak kullanıldığını doğruladı ve müşterileri, sistemlerinin tam olarak korunmasını sağlamak için "hemen harekete geçmenin" kritik olduğu konusunda uyardı.
Şirket henüz ödün verme göstergelerini (IOCS) halka açık bir şekilde yayınlamasa da, güvenlik uzmanları ve araştırmacılar [1, 2, 3], savunmasızlıktan yararlanmak için gereken savunmasız uç nokta hakkında bilgi içeriyor ve bu da tehdit aktörlerinin kendi istismarlarını hızlı bir şekilde yaratmasına ve saldırıları daha da artırmasına izin verecekler.
BleepingComputer bunu bağımsız olarak doğrulayamamasına rağmen, müşteriler Ivanti'nin CVE-2023-35078 güvenlik açığı hakkında daha fazla ayrıntı ararken gizlilik dışı anlaşmalar imzalamalarını istediğini iddia ettiler.
Shodan'a göre, şu anda internette yaklaşık 2.900 MobileIron kullanıcı portalına erişilebilir; Bunlar arasında yaklaşık üç düzine ABD yerel ve eyalet devlet kurumlarına aittir.
Bu durum göz önüne alındığında, tüm ağ yöneticilerinin sistemlerini potansiyel saldırılara karşı korumak için Ivanti EPMM (MobileIRN) yüklemelerini hemen en son sürüme yükseltmesi önemlidir.
ABD Federal Sivil Yürütme Şube Ajansları (FCEB), CISA'nın Salı günü bilinen sömürülen güvenlik açıkları listesine eklenen CVE-2023-35078 kusurunu hedefleyen saldırılara karşı cihazlarını güvence altına almak için 15 Ağustos'a kadar üç haftalık bir son tarihe sahiptir.
Kasım 2021'de yayınlanan bağlayıcı operasyonel direktif (BOD 22-01) uyarınca, federal ajanslar artık savunmasız cihazlar için ağlarını taramak ve CISA'nın Kev kataloğuna eklenen güvenlik kusurlarını ele almak zorunda.
Katalog esas olarak ABD federal ajansları ile ilgili olsa da, özel şirketlerin CISA'nın saldırılarda sömürülen hatalar listesinde listelenen tüm güvenlik açıklarına da öncelik vermesi ve uygulanması şiddetle tavsiye edilir.
CISA, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır."
ABD Siber Güvenlik Ajansı, federal ajanslara Adobe Coldfusion sunucularını, bunlardan biri sıfır gün olarak istismar edilen iki kritik güvenlik kusuruna karşı yamaları için üç hafta verdi.
Geçen hafta CISA, bilinmeyen tehdit aktörlerinin NetScaler ADC ve Gateway'de sıfır gün RCE güvenlik açığı (CVE-2023-3519) kullandıktan sonra Active Directory verilerini çalmak için kritik bir altyapı organizasyonu ağını ihlal ettiği konusunda uyardı.
Ivanti Yamaları Mobileiron Saldırılarda Sömürü Sıralı Gün Böcek
Norveç, Ivanti Zero Day'in Govt IT sistemlerini kesmek için kullanıldığını söylüyor
Cisa, Govt ajanslarını Adobe Coldfusion Sunucuları Yamaya Uyarıyor
CISA, Govt ajanslarına pencereleri ve ofis sıfır günlerini azaltmasını emreder
CISA, ajanslara casus yazılım saldırılarında istismar edilen iPhone hatalarını yamasını sipariş ediyor
Kaynak: Bleeping Computer