CISA: Kritik Ivanti kimlik doğrulama atlatma hatası şu anda aktif olarak sömürülmektedir.

CISA, Ivanti'nin Endpoint Manager Mobile (EPMM) ve MobileIron Core cihaz yönetimi yazılımındaki (Ağustos 2023'te yaması yapılmış) kritik kimlik doğrulama atlatma açığına dair bir uyarıda bulunuyor. CVE-2023-35082 olarak izlenen bu zafiyet, tüm EPMM 11.10, 11.9 ve 11.8 sürümlerini ve MobileIron Core'un 11.7 ve altındaki sürümlerini etkileyen uzaktan kimlik doğrulamasız API erişimi açığıdır.

Başarılı bir sömürü, saldırganlara mobil cihaz kullanıcılarının kişisel tanımlayıcı bilgilerine (PII) erişim sağlar ve bu hatayı diğer zafiyetlerle birleştirerek etkilenen sunuculara arka kapı bırakabilir.

Ağustos ayında bu zafiyeti keşfeden ve bildiren güvenlik şirketi Rapid7, yöneticilerin CVE-2023-35082 saldırısının işaretlerini tespit etmelerine yardımcı olmak için tehdit göstergelerini (IOC'ler) sağlamaktadır.

Shodan'a göre, şu anda çevrimiçi olarak maruz kalan 6.300'den fazla Ivanti EPMM kullanıcı portalı bulunurken, Shadowserver tehdit izleme platformu 3.420 İnternet'e açık EPMM cihazını izlemektedir.

Shodan'ın verileri ayrıca dünya çapındaki hükümet ajanslarına bağlı 150'den fazla örneğin doğrudan İnternet üzerinden erişilebilir olduğunu göstermektedir.

CVE-2023-35082'nin aktif olarak sömürüldüğüne dair henüz daha fazla ayrıntı vermemiş olmasına rağmen, CISA, aktif sömürü kanıtlarına dayanarak zafiyeti Bilinen Sömürülen Zafiyetler Kataloğuna ekledi ve bu açığın fidye yazılımı saldırılarında kullanıldığına dair herhangi bir kanıt olmadığını belirtiyor.

Cybersecurity and Infrastructure Security Agency (CISA), ABD federal ajanslarına bu açığı, üç yıl önce yayımlanan bağlayıcı bir operasyonel direktife (BOD 22-01) dayanarak 2 Şubat'a kadar kapatmaları için emir verdi.

Ivanti, Ağustos ayındaki bilgilendirmelerini henüz güncellemedi ve saldırganların bu güvenlik açığını yaygın olarak kullandığına dair başka bir bildirim yayınlamadı.

İki başka Ivanti Connect Secure (ICS) zero-day'i, bir kimlik doğrulama atlatma (CVE-2023-46805) ve bir komut enjeksiyonu (CVE-2024-21887) şu anda 11 Ocak'tan itibaren çeşitli tehdit grupları tarafından yaygın olarak sömürülmektedir.

Şu ana kadar etkilenen kurbanlar küçük işletmelerden çeşitli endüstri sektörlerinden çok sayıda Fortune 500 şirketine kadar değişmektedir. Saldırganlar, GIFTEDVISITOR web kabuğu varyantını kullanarak 1.700'den fazla ICS VPN cihazına arka kapı bırakmışlardır.

Son yıllarda birkaç başka Ivanti zero-day'i (örneğin, CVE-2021-22893, CVE-2023-35078, CVE-2023-35081, CVE-2023-38035), ABD ve Avrupa'daki onlarca hükümet, savunma ve finans kuruluşunu ihlal etmek için sömürülmüştür; birçok Norveç hükümet kuruluşunu hedef alan saldırılarda da kullanılmıştır.

Etiket: #ACTIVELYEXPLOITED #CISAEPMM #IVANTI #IVANTIENDPOINTMANAGER #MOBILE #MOBILEIRON #WARNING

Kategori: WARNING

Eklenme Tarihi: 19.01.2024