ABD Siber Güvenlik Ajansı, Etkin Bir Şekilde Kullanılan Ivanti EPMM Zafiyeti Konusunda Uyarıyor

19.01.2024

Cuma günü, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), şu anda düzeltilmiş olan Ivanti Endpoint Manager Mobile (EPMM) ve MobileIron Core'u etkileyen kritik bir hata olan ve artık bilinen saldırıya uğramış güvenlik açıklıkları (KEV) kataloğuna ekledi. Bu hata, aynı çözümdeki başka bir zafiyet (CVSS puanı 10.0 olan CVE-2023-35078) için bir yama atlaması olarak hizmet veren CVE-2023-35082 olarak tanımlandı.

Bu zafiyet, yetkilendirme atlamasına neden olan bir güvenlik açığıdır ve yetkisiz, uzaktan bir aktörün kullanıcıların kişisel tanımlanabilir bilgilerine erişmesine ve sunucuda sınırlı değişiklikler yapmasına izin verebilir. Ivanti tarafından Ağustos 2023'te vurgulandığı gibi, Ivanti Endpoint Manager Mobile (EPMM) sürümleri 11.10, 11.9 ve 11.8 ile birlikte MobileIron Core sürümleri 11.7 ve altı etkilenir.

Bu hata, siber güvenlik firması Rapid7 tarafından keşfedilmiş ve bildirilmiştir ve CVE-2023-35081 ile zincirlenebilir, böylece bir saldırganın kötü amaçlı web kabuk dosyalarını cihaza yazmasına izin verir. Gerçek dünya saldırılarına dair spesifik bilgiler olmamasına rağmen, federal kuruluşlar 8 Şubat 2024'e kadar sağlayıcı tarafından sağlanan düzeltmeleri uygulamaları konusunda uyarılıyor.

Aynı anda, Ivanti Connect Secure (ICS) VPN cihazlarında iki sıfır gün açığı (CVE-2023-46805 ve CVE-2024-21887) de kitlesel saldırıya uğradı. Bu açıklar, web kabukları ve pasif arka kapılar bırakmak için kullanılır, Ivanti'nin gelecek hafta güncellemeleri yayınlaması bekleniyor. Volexity, dünya genelinde 1,700'den fazla cihazda kompomis belirtisi rapor etti, başlangıçta Çinli bir tehdit aktörü olan UTA0178 ile ilişkilendirilmiş, ancak daha sonra ek tehdit aktörleri de söz konusu saldırı çabalarına katıldı.

Assetnote tarafından yapılan daha fazla analiz, Ivanti Connect Secure'da (ICS) eski sürümlerde (CVE-2023-46805) yetkilendirme atlaması hatasının nasıl kötüye kullanılabileceğini ortaya koydu ve potansiyel olarak ters kabuk elde etmek anlamına gelebilir. Güvenlik araştırmacıları Shubham Shah ve Dylan Pindur, bu olayı "güvenli bir VPN cihazının, nispeten basit güvenlik hataları nedeniyle geniş çapta kötüye kullanıma açık olmasının başka bir örneği" olarak nitelendirdi.