CVE-2024-21893 olarak izlenen bir Ivanti Connect Secure ve Ivanti Politikası Güvenli Sunucu Tarafı İstek Astruvası (SSRF) güvenlik açığı şu anda birden fazla saldırgan tarafından kitlesel sömürü altındadır.
Ivanti ilk olarak 31 Ocak 2024'teki Gateway'in SAML bileşenlerindeki kusur hakkında uyardı ve az sayıda müşteriyi etkileyen sınırlı aktif sömürü için sıfır gün statüsü verdi.
CVE-2024-21893'ün sömürülmesi, saldırganların savunmasız cihazlarda (9.x ve 22.x sürümleri) kimlik doğrulamasını atlamasına ve kısıtlı kaynaklara erişmesine izin verdi.
Tehdit İzleme Hizmeti Shadowserver, 170 farklı IP adresi kusurdan yararlanmaya çalışan SSRF hatasından yararlanan birden fazla saldırganın görülüyor.
Bu özel güvenlik açığının sömürü hacmi, son zamanlarda sabit veya azaltılmış Ivanti kusurlarından çok daha büyüktür ve bu da saldırganların odağında açık bir değişim olduğunu gösterir.
Her ne kadar 2 Şubat 2024'te Rapid7 araştırmacıları tarafından yayınlanan konsept kanıtı (POC) istismar, şüphesiz saldırılara yardımcı olmada rol oynamış olsa da, Shadowserver, RAPID7 raporunun yayınlanmasından saatler önce benzer yöntemler kullanarak saldırganları gördüklerini belirtiyor.
Bu, bilgisayar korsanlarının, savunmasız Ivanti uç noktalarına sınırsız, kime doğrulanmamış erişim için CVE-2024-21893'ten nasıl yararlanacağını zaten anladığı anlamına geliyor.
Shadowserver'a göre, şu anda internette maruz kalan yaklaşık 22.500 Ivanti Connect güvenli cihaz var. Bununla birlikte, kaç kişinin bu özel güvenlik açığına karşı savunmasız olduğu bilinmemektedir.
CVE-2024-21893'ün açıklanması, aynı ürünleri etkileyen diğer iki sıfır gün için güvenlik güncellemelerinin yayınlanmasıyla birlikte geldi, CVE-2023-46805 ve CVE-2024-21887, Ivanti'nin ilk kez 10 Ocak, 2024'te paylaştığı paylaşım geçici hafifletmeler.
Bu iki kusurun, ihlal edilen cihazlara web kabukları ve arka fırınlar yüklemek için Çin casusluk tehdidi grubu UTA0178/UNC5221 tarafından kullanıldığı bulundu. Bu kampanyadaki enfeksiyonlar Ocak ayının ortalarında 1.700 civarında zirve yaptı.
İlk azaltmalara rağmen, saldırganlar savunmaları atladı, cihazın yapılandırma dosyalarını bile tehlikeye attı, Ivanti'nin 22 Ocak'ta planlanan ürün yazılımı yamalarını sofistike tehdidi ele almak için ertelemesine yol açtı.
Birden fazla kritik sıfır gün güvenlik açıkının aktif olarak kullanılması, etkili hafifletme eksikliği ve etkilenen ürün sürümlerinin bazıları için güvenlik güncellemelerinin olmaması nedeniyle, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal ajanslara tümünü ayırmasını emretti. IVANTI SAFE VE PILLICE Güvenli VPN Aletlerini Bağlayın.
Yalnızca fabrika sıfırlanmış ve en son ürün yazılımı sürümüne yükseltilmiş cihazlar ağa yeniden bağlanmalıdır. Ancak, etkilenen eski sürümler hala bir yama olmadan.
Bu talimat, zorunlu olmasa da özel kuruluşlara kadar uzanmaktadır. Bu nedenle, şirketler Ivanti dağıtımlarının güvenlik durumunu ve genel olarak çevrelerinin güvenini ciddi şekilde dikkate almalıdır.
Ivanti, şimdi kitlesel sömürü altında güvenli sıfır günleri bağlayın
Ivanti Connect Secure Sıfır Günleri Özel Kötü Yazılım Dağıtmak İçin Söküldü
Korunmasız Confluence Sunucuları Bulmak için RCE Kusurlu Apache Ofbiz Kusurlu
Jetbrains New TeamCity Auth Bypass Güvenlik Açığı
Bilgisayar korsanları, 1 milyon sitede etkin olan WordPress veritabanı eklentisini hedef
Kaynak: Bleeping Computer