Amerika Birleşik Devletleri Siber Güvenlik Ajansı, aktif olarak sömürülen Ivanti EPMM güvenlik açığı konusunda uyarıda bulunuyor.

Perşembe günü, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ivanti Endpoint Manager Mobile (EPMM) ve MobileIron Core'u etkileyen ancak şu anda yamalanmış olan kritik bir açığı, Known Exploited Vulnerabilities (KEV) kataloğuna ekledi ve bu açığın doğada aktif olarak sömürüldüğünü belirtti.

Söz konusu zafiyet, CVE-2023-35082 (CVSS puanı: 9.8) olarak adlandırılan bir kimlik doğrulama atlamasıdır ve bu, aynı çözümde takip edilen ve CVE-2023-35078 (CVSS puanı: 10.0) olarak değerlendirilen başka bir zafiyetin yama atlamasıdır.

Ivanti, Ağustos 2023'te, "Bu zafiyetin istismar edilmesi durumunda, yetkisiz bir uzak (internetle bağlantılı) aktörün kullanıcıların kişisel tanımlanabilir bilgilerine potansiyel olarak erişmesine ve sunucuda sınırlı değişiklikler yapmasına olanak tanır" ifadelerini kullanmıştır.

Bütün Ivanti Endpoint Manager Mobile (EPMM) sürümleri (11.10, 11.9 ve 11.8) ve MobileIron Core'un 11.7 ve daha eski sürümleri bu zafiyetten etkilenmektedir.

Zafiyeti keşfeden ve bildiren güvenlik firması Rapid7, bu zafiyetin, saldırganlara cihaza kötü niyetli web kabuk dosyaları yazma izni veren CVE-2023-35081 ile zincirlenebileceğini belirtmiştir.

Şu anda zafiyetin gerçek dünya saldırılarında nasıl kullanıldığına dair herhangi bir ayrıntı bulunmamaktadır. Federal ajanslar, sağlayıcı tarafından sağlanan düzeltmeleri 8 Şubat 2024'e kadar uygulamaları önerilmektedir.

Bu açıklama, Ivanti Connect Secure (ICS) sanal özel ağ (VPN) cihazlarındaki başka iki zero-day açığının (CVE-2023-46805 ve CVE-2024-21887) de kitlesel saldırıya uğradığı bir dönemde gelmiştir ve şirketin önümüzdeki hafta güncellemeleri yayınlaması beklenmektedir.

Ivanti, "Tehdit aktörünün sistemin yapılandırma ve çalışan önbelleğini hedef aldığını, bu önbelleğin VPN'in işleyişi için önemli olan sırları içerdiğini" belirtti.

"Ivanti bunu her örnekte gözlemlememiş olmasına rağmen, Ivanti, bu sırları yeniden oluşturduktan sonra döndürmenizi öneriyor." dedi.

Volexity, bu hafta başında, dünya genelinde 1,700'den fazla cihazın ihlal edildiğine dair kanıtlar bulabildiğini açıkladı. İlk istismarın, UTA0178 adlı şüpheli bir Çin tehdit aktörüne bağlandığı, ancak ek tehdit aktörlerinin de istismar kampanyasına katıldığı belirtildi.

Assetnote'un ikiz açıkları tersine mühendislik çalışmaları, eski ICS sürümlerinde kimlik doğrulama atlaması açığı (CVE-2023-46805) tarafından kötüye kullanılabilecek başka bir uç noktayı ("api/v1/totp/user-backup-code") ortaya çıkardı ve bir ters kabuk alınabilirdi.

Güvenlik araştırmacıları Shubham Shah ve Dylan Pindur, bu durumu "güvenli bir VPN cihazının, nispeten basit güvenlik hatalarının sonucu olarak geniş çapta kötüye kullanılmaya açık hale gelmesinin başka bir örneği" olarak tanımladılar.

Etiket: #CyberTheat #Zero-Day

Kategori: CyberThea

Eklenme Tarihi: 19.01.2024