Ivanti'nin Connect Secure VPN ve Politika Güvenli Ağ Erişim Kontrolü (NAC) cihazlarını etkileyen iki sıfır günlük güvenlik açığı artık kitlesel sömürü altındadır.
Aralık ayından bu yana saldırılarda kullanılan sıfır günleri ilk olarak gören tehdit istihbarat şirketi Volexity tarafından keşfedildiği gibi, birden fazla tehdit grubu CVE-2023-46805 kimlik doğrulama bypass ve CVE-2024-21887 komuta enjeksiyon güvenliksizlikleri Ocak 11.
Volexity, "Mağdurlar, küçük işletmelerden, birden fazla endüstri sektöründe birden fazla Fortune 500 şirketi de dahil olmak üzere dünyanın en büyük kuruluşlarına kadar küresel olarak dağıtılıyor ve büyük ölçüde değişiyor."
Saldırganlar, yüzlerce alette bulunan bir hediye webshell varyantını kullanarak hedeflerinin sistemlerini geri yüklediler.
Volexity, "14 Ocak 2024 Pazar günü Volexity, hediye webshell ile tehlikeye atılan 1.700'den fazla ICS VPN cihazını tespit etmişti. Bu cihazlar, dünyanın her yerinde kurbanlar ile ayrım gözetmeden hedefleniyor gibi görünüyor." Dedi.
Volexity tarafından şimdiye kadar keşfedilen mağdurların listesi, dünya çapında hükümet ve askeri departmanları, ulusal telekomünikasyon şirketlerini, savunma yüklenicilerini, teknoloji şirketlerini, bankacılık, finans ve muhasebe organizasyonlarını, dünya çapında danışmanlık kıyafetlerini ve havacılık, havacılık ve mühendislik firmalarını içermektedir.
Ivanti henüz aktif olarak sömürülen bu iki sıfır gün için yamalar serbest bırakmamış olsa da, yöneticilerin, satıcı tarafından tüm ICS VPN'lerinde sağlanan hafifletme önlemlerini ağlarındaki tüm ICS VPN'lerinde uygulaması tavsiye edilir.
Ayrıca Ivanti'nin Integrity Checker aracını çalıştırmalı ve Volexity'nin önceki blog yazısının 'Uzlaşma'ya Yanıtlama' bölümünde ayrıntılı olarak açıklandığı gibi, bir ihlal belirtileri bulunursa, ICS VPN cihazındaki (şifreler ve sırlar dahil) tüm verileri dikkate almalıdır.
Tehdit İzleme Hizmeti Shadowserver şu anda çevrimiçi olarak maruz kalan 16.800'den fazla ICS VPN cihazını izliyor (Shodan da 15.000'den fazla internete maruz kalan Ivanti ICS VPN'leri görüyor).
Ivanti'nin geçen hafta açıkladığı gibi, saldırganlar iki sıfır günü başarıyla zincirlenirken ICS VPN ve IPS cihazlarının tüm desteklenen sürümlerinde keyfi komutlar uygulayabilirler.
Saldırılar, bu güvenlik açıklarından yararlanan saldırılardan etkilenen sınırlı sayıda müşteriden arttı, şüpheli Çin devlet destekli tehdit oyuncusu (UTA0178 veya UNC5221 olarak izlendi) şimdi birden fazla başkası tarafından birleştirildi.
Mantiant'ın Cuma günü de açıklandığı gibi, güvenlik uzmanları, web kabuklarını, ek kötü amaçlı yükleri ve çalma kimlik bilgilerini düşürmek amacıyla ihlal edilen müşterilerin sistemlerine yerleştirilmiş beş özel kötü amaçlı yazılım suşu buldu.
Saldırılarda kullanılan araçların listesi şunları içerir:
En dikkat çekici olanı, gelen ağ trafiğini engelleyen ve dosya aktarımı, ters kabuk, tünelleme ve proxy özellikleri sağlayan pasif bir arka kapı olan Zipline'dır.
Şüpheli Çin hackleme grupları, iki yıl önce düzinelerce ABD ve Avrupa hükümetini, savunma ve finansal kuruluşları ihlal etmek için CVE-2021-22893 olarak izlenen başka bir ICS sıfır günü kullandı.
Geçen yıl, Nisan ayından başlayarak, IVANTI'nın son nokta yöneticisi Mobile'da (EPMM) iki sıfır gün (CVE-2023-35078 ve CVE-2023-35078 ve CVE-2023-35081) aktif olarak sömürüldü ve daha sonra birkaç Norveç hükümet kuruluşunu ihlal etmek için kullanıldığı bildirildi. .
Bir ay sonra, bilgisayar korsanları, sınırlı ve hedeflenen saldırılarda savunmasız cihazlarda API kimlik doğrulamasını atlamak için Ivanti'nin Sentry yazılımında üçüncü bir sıfır gün kusuru (CVE-2023-38035) kullanmaya başladı.
Ivanti, saldırılarda sömürülen Connect Secure Zero-Days konusunda uyarıyor
Ivanti Connect Secure Sıfır Günleri Özel Kötü Yazılım Dağıtmak İçin Söküldü
Korunmasız Confluence Sunucuları Bulmak için RCE Kusurlu Apache Ofbiz Kusurlu
Google Chrome Acil Durum Güncellemesi, 2023'te 7. Zero Day'i Düzeltiyor
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Kaynak: Bleeping Computer