Ivanti, yöneticileri hafifletme uyguladıktan sonra yeni cihaz konfigürasyonlarını cihazlara itmeyi bırakmaları konusunda uyardı, çünkü bu onları iki sıfır günlük güvenlik açıklarından yararlanan devam eden saldırılara karşı savunmasız bırakacaktır.
Şirket ek ayrıntılar vermese de, bunun bir web hizmetinin durmasına ve uygulanan hafifletmenin çalışmayı durdurmasına neden olan yapılandırmaları iterken bilinen bir yarış koşulundan kaynaklandığını söyledi.
Ivanti Cumartesi günü yayınlanan yeni bir güncellemede, "Müşteriler, XML ile cihazlara yapılandırmalara itmeyi bırakmalı ve cihazın yamalanana kadar yapılandırmalara itmeye devam etmemelidir." Dedi.
"Yapılandırma cihaza itildiğinde, bazı önemli web hizmetlerinin işleyişini durdurur ve hafifletmenin işleyişini durdurur. Bu, yalnızca yapılandırmalar da dahil olmak üzere yapılandırmalara iten müşteriler için geçerlidir. tam veya kısmi bir konfigürasyon itme. "
Ivanti Company, hafifletme XML'yi yeniden uyguluyorsa henüz paylaşmadı, ayrıca yeni yapılandırmaların her bir cihaza itildiğinde yarış koşulunun meydana geldiği göz önüne alındığında, hafifletmelerin çalışmayı durdurmasına neden oluyor.
Uyarı, CISA'nın 2024'ün ilk acil durum direktifini ABD ajanslarına, birden fazla tehdit aktörünün yaygın saldırılarında sömürülen iki Ivanti Connect Secure ve Politika Güvenli Sıfır ve Politika Güvenli Hasar Güvenli ve Politika Güvenli Saldırılar için hemen uygulama emretmesinden sonra geliyor.
Ivanti ICS ve IPS cihazları, CVE-2023-46805 kimlik doğrulama baypasını ve CVE-2024-21887 komut enjeksiyon hatalarını en az Aralık ayından bu yana zincirleyen büyük ölçekli saldırılarda hedeflenmiştir.
Zincirlendiğinde, iki sıfır günü saldırganların tehlikeye atılan ağlar içinde yanal olarak hareket etmesine, verileri toplamasına ve dışarı atmasına ve backdoors dağıtarak ihlal edilen cihazlara kalıcı sistem erişimi oluşturmasına izin verir.
Şirket henüz güvenlik yamalarını yayınlamamış olsa da, yöneticilerin etkilenen cihazları geri yüklemesine ve onları tekrar hizmete sokmasına yardımcı olmak için tasarlanmış saldırı girişimlerini ve kurtarma talimatlarını engellemesi gereken hafifletme önlemleri yayınladı.
Tehdit izleme platformu Shadowserver şu anda Amerika Birleşik Devletleri'nde 6.300'ün üzerinde olan 21.400'den fazla INC'ye maruz kalan ICS VPN cihazını izliyor (Shodan ayrıca çevrimiçi olarak maruz kalan 18.500'den fazla Ivanti IC cihazını görüyor).
Shadowserver ayrıca, sadece 21 Ocak'ta 700'den fazla uzlaşmış cihaz keşfedildiğinde, dünya çapında kaç Ivanti Connection Secure VPN örneğinin tehlikeye atıldığını da izliyor.
Tehdit İstihbarat Şirketi Volexity, iki sıfır gününü aktif olarak kullanan saldırganlardan birinin-UTA0178 olarak izlenen şüpheli bir Çin devlet destekli tehdit grubu, Maniant tarafından UNC5221 olarak izlendiğini-bir Özellik Webshell kullanılarak 2.100 Ivanti aletini geri çekti. varyant.
Saldırganlar ayrıca Volexity ve Gellnoise'e göre, uzlaşmış cihazlarda XMRIG kripto para madencileri ve pas tabanlı kötü amaçlı yazılım yüklerini kullandılar.
Mantiant ayrıca, kimlik bilgilerini çalmak, ek kötü amaçlı yükler bırakmak ve web kabuklarını dağıtmak için ihlal edilen müşterilerin sistemlerine dağıtılan beş özel kötü amaçlı yazılım suşu buldu.
Saldırganlar, dünya çapında hükümet ve askeri kuruluşlar, ulusal telekom şirketleri, teknoloji şirketleri, bankacılık, finans ve muhasebe organizasyonları ve havacılık, havacılık ve mühendislik dahil olmak üzere birçok kurbanın tehlikeye atılmış ağlarından hesap ve oturum verilerini hasat ediyor ve çalıyorlar. firmalar.
Ayrıca, küçük işletmelerden dünya çapındaki en büyük kuruluşlara kadar önemli ölçüde değişmektedir.
Ivanti, şimdi kitlesel sömürü altında güvenli sıfır günleri bağlayın
Ivanti, saldırılarda sömürülen Connect Secure Zero-Days konusunda uyarıyor
CISA Acil Durum Direktifi: Ivanti sıfır günlerini hemen azaltın
CISA: Eleştirel Ivanti Auth Bypass Bug artık aktif olarak sömürüldü
Ivanti Connect Secure Sıfır Günleri Özel Kötü Yazılım Dağıtmak İçin Söküldü
Kaynak: Bleeping Computer