ABD tabanlı BT yazılım şirketi Ivanti, uç nokta yöneticisi Mobile (EPMM) mobil cihaz yönetim yazılımını (eski adıyla MobileIRN Core) etkileyen aktif olarak sömürülen sıfır gün kimlik doğrulama bypass güvenlik açığını yamaladı.
Ivanti, Pazar günü CVE-2023-35078 olarak izlenen uzaktan kaldırılmamış API erişim güvenlik açığı için güvenlik yamaları yayınladı.
Yamalar, EPMM 11.8.1.1, 11.9.1.1 ve 11.10.0.2'ye yükseltilerek kurulabilir. Ayrıca 11.8.1.0'dan daha düşük desteklenmeyen ve yaşam sonu yazılımı sürümlerini hedefler (örn., 11.7.0.0, 11.5.0.0)
Ivanti, güvenlik açığı hakkında ayrıntılar sağlamak için bir güvenlik danışmanlığı yayınlamış olsa da, makaleye yalnızca Ivanti müşteri bilgilerine bağlı bir hesapla erişilebileceği göz önüne alındığında, bilgiler bir giriş ile engellenir.
Bir Ivanti sözcüsü, güvenlik kusuru hakkında daha fazla ayrıntı istediğimizde ve saldırılarda istismar edildiğini doğrulamak için BleepingComputer'a verdiği demeçte, "Makale müşterilerimiz için oturum açma kimlik bilgilerinin arkasında aktif kalıyor." Dedi.
Ivanti, "Ivanti EPMM'deki bir kimlik doğrulama baypas güvenlik açığı, yetkisiz kullanıcıların uygun kimlik doğrulaması olmadan uygulamanın kısıtlı işlevselliğine veya kaynaklarına erişmesine izin veriyor." Diyor.
"Bu güvenlik açığı, 11.10, 11.9 ve 11.8 desteklenen tüm sürümleri etkiler. Eski sürümler/sürümler de risk altındadır. Yetkisiz, uzak (internete bakan) bir aktör, kullanıcıların kişisel olarak tanımlanabilir bilgilerine erişebilir ve sunucuda sınırlı değişikliklere izin verebilir."
Siber güvenlik topluluğu arasında dolaşan güvenlik açığı haberlerinden sonra, güvenlik uzmanı Kevin Beaumont, yöneticilerin sömürü kolaylığı nedeniyle yamaları mümkün olan en kısa sürede uygulaması gerektiği konusunda uyardı.
Şirket, sıfır günün aktif olarak sömürüldüğünü kamuoyuna kabul etmese de, özel bülten, "güvenilir bir kaynak" Ivanti'ye sınırlı sayıda müşteriye karşı saldırılarda kullanıldığını bildirdi.
Özel danışma, "Çok az sayıda müşteriye karşı sömürü gösteren güvenilir bir kaynaktan bilgi aldık (örneğin, 10'dan az). Şu anda pay daha fazla bilgimiz yok."
Ivanti, hatanın bir tedarik zinciri saldırısının bir parçası olarak kullanılmadığını ve "bu kırılganlığın kod geliştirme sürecimize kötü niyetli bir şekilde getirildiğine dair herhangi bir gösterge" bulamadığını söyledi.
Bazı müşteriler ayrıca Ivanti'nin CVE-2023-35078 güvenlik açığı hakkında daha fazla bilgi isterken gizlilik sözleşmeleri imzalamalarını istediğini bildirdi. Bununla birlikte, BleepingComptuer bunu bağımsız olarak onaylayamamıştır.
"Ivanti, bir Ivanti sözcüsü BleepingComputer," Ivanti uç nokta yöneticisi Mobile (eski adıyla MobileIRN Core) müşterilerini etkileyen bir güvenlik açığı ele aldı. "
"Hemen bir yama geliştirdik ve yayınladık ve düzeltmeyi uygulamalarına yardımcı olmak için müşterilerle aktif olarak etkileşim kurduk."
PWNDefend siber güvenlik danışmanı Daniel Card tarafından paylaşılan bir Shodan aramasına göre, 2.900'den fazla MobileIRir kullanıcı portalının çevrimiçi olarak maruz kalması, en az üç düzine ABD yerel ve eyalet hükümet ajanslarına bağlı.
Maruz kalan sunucuların çoğu Amerika Birleşik Devletleri'nde, ardından Almanya, Birleşik Krallık ve Hong Kong'da bulunmaktadır.
Tüm ağ yöneticilerinin mümkün olan en kısa sürede Ivanti Endpoint Manager mobil (Mobileiron) yamalarını uyguladıkları şiddetle tavsiye edilir.
Cisa, Govt ajanslarını saldırılarda sömürülen ivanti böceklerini yamaya uyardı
Norveç, Ivanti Zero Day'in Govt IT sistemlerini kesmek için kullanıldığını söylüyor
Adobe, sömürülen Coldfusion CVE-2023-29298 Kusur için Yama Bypass'ı düzeltiyor
Microsoft: NATO Zirvesi Saldırılarında Sıralı Ofis Zero Day
Microsoft Temmuz 2023 Patch Salı 6 sıfır gün, 132 kusur uyardı
Kaynak: Bleeping Computer