Ivanti Connect Secure ve Ivanti Policy Secure değildir. Saldırganlar, iki sıfır gün güvenlik açığını birbirine bağlayarak cihazları ele geçirebilir, bu cihazlar üzerinde programlar kurup çalıştırabilir, erişim kontrollerini atlayabilir, dosyaları değiştirebilir ve girilen şifreleri toplayabilir. Bunlar daha sonra diğer cihazların şirket ağına sızmasına izin verir. Volexity bunu Aralık ayının başlarında bir müşterisinde fark etti ve Ivanti'ye haber verdi. Adli analizin ardından iki şirket artık borsada işlem görüyor.
Duyuru
Ivanti'nin henüz yaması yok. Şirket şu anda “hafifletme” olarak harici bütünlük testinin (BİT) kullanılmasını önermektedir. Etkilenen Ivanti ürünlerinde ICT bulunsa bile saldırganlar bunu da atlatabiliyor. Halen desteklenen Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons for Zero Trust Access (ZTA) sürümleri için güncellemeler devam etmektedir. İlk yamaların önümüzdeki hafta yayınlanması planlanıyor ancak müşterilerin bazı ürün sürümleri için Şubat ortasına kadar beklemesi gerekecek.
Aktif olarak yararlanılan güvenlik açıkları CVE-2023-46805 (CVSS 8.2) ve CVE-2024-21887'dir (9.1). İlki, kimlik doğrulamayı atlamanıza izin verirken, ikincisi, komutların web bileşenlerine yetkisiz olarak eklenmesine izin verir. Ivanti'nin ZTA çözümü normal çalışma koşullarında etkilenmez ancak olağandışı çalışma koşullarında etkilenir, bu nedenle bunun için de güncellemeler planlanmaktadır.
Ivanti Connect Secure (eski adıyla Pulse Connect Secure), bir sanal özel ağ (VPN) ağ geçididir. Ivanti Policy Secure, ağlarda erişim kontrolü için kullanılır (Ağ Erişim Kontrolü, NAC). Bunun amacı, cihazların veya programların yalnızca seçilen veri kümelerine veya diğer cihazlara erişiminin ayrıntılı bir şekilde sağlanmasıdır. Bunun amacı, güvenliği ihlal edilmiş bir programın veya cihazın saldırganın şirket ağındaki tüm olası kaynaklara erişmesine izin vermesini önlemektir. Hem VPN'i hem de NAC'yi ele geçirip oturum açma verilerini toplayan herkes büyük ikramiyeyi kazandı.
Adli analiz
Volexity'deki siber güvenlik uzmanlarının raporuna göre, saldırganlar zaten bunu yapmayı başardı. Aralık ayında, isimsiz bir müşteriye kurulan Volexity ürünü, dahili ağda olağandışı trafik tespit etti. Volexity sonunda onu Ivanti Connect Secure VPN ağ geçidine bağlamayı başardı. Orada uzmanlar tüm kayıtların silindiğini keşfetti; diğer kayıtlar dış dünyayla şüpheli bağlantıların izlerini gösteriyordu. Bellek verilerinin adli analizi sonuçta iki sıfır gün güvenlik açığına yol açtı.
Volexity, saldırganların arkasında Çin Halk Cumhuriyeti'ne ait bir devlet kurumunun olduğunu tanıdığına inanıyor. Şirket şimdilik faillerden sadece UTA0178 (bilinmeyen tehdit aktörü 178) olarak söz ediyor. Temsilcileri en geç 3 Aralık 2023'e kadar erişim sağladılar ve harika bir iş çıkardılar. Örneğin, dosyaya açılan bir arka kapıya sahipler compcheck.cgi Bir yandan dahili bütünlük kontrollerini yanıltmak, diğer yandan VPN ağ geçidinde komutları yürütmek için entegre edilmiştir.
Javascript, VPN kullanıcılarının klavye girişlerini kaydedecek ve bunları harici bir sunucuya aktaracak şekilde değiştirildi. Saldırganlar oturum açma bilgilerini çaldı ve bu sayede kurbanın diğer bilgisayarlarına RDB, SMB ve SSH aracılığıyla erişim sağlandı. Saldırganlar, yedek SOCKS proxy'lerini, SSH tünellerini ve Volexity'nin “Glasstokens” olarak adlandırdığı çeşitli web kabuklarını kurdu. Bu, aslında yalnızca intranet üzerinden erişilebilen bilgisayarların internete açılması anlamına geliyordu.
Saldırganlar, bellek dökümlerini kullandı ve Active Directory'yi çaldıkları etki alanı denetleyicisinin yedeği de dahil olmak üzere yedeklemelere erişim sağladı. Veeam yedeklemesinde ek kullanıcı adları ve şifreler buldular. Çeşitli klasörler ve dosyalar vardı tmp-Dizin oluşturuldu ancak tekrar kaldırıldı, dolayısıyla henüz tam bir genel bakış yok. Genel olarak adli soruşturmalar devam ediyor; Volexity, yeni bilgilerin mevcut olması durumunda blog yazısında güncelleme sözü veriyor.
Bilindiği kadarıyla suçlular büyük miktarda veriyi yok etmedi veya şifrelemedi, ancak şirket ağını kapsamlı bir şekilde araştırıp gözlemledi. Bu aynı zamanda faillerin adi suçlular değil, devlet adına suçlular olduğunu da göstermektedir.
Ne yapalım
Bahsedildiği gibi henüz herhangi bir yama mevcut değil ve Ivanti ayrı bir sağlık kontrolü kullanılmasını öneriyor. Ivanti cihazlarındaki dosyaların olması gerektiği gibi olmadığını tespit etmek amaçlanıyor; bu, olası bir manipülasyonun açık bir göstergesidir.
Volexity ayrıca veri trafiğine çok dikkat edilmesini önerir. Şaşırtıcı ağ trafiği, VPN'deki cihaz günlükleri, olağandışı dosya erişimleri, şirket ağı içindeki garip çapraz bağlantılar, harici web sitelerine yapılan çağrıların kıvrılması, harici IP adreslerine SSH bağlantıları, güncelleme sağladığı bilinmeyen sunuculara yapılan bazı şifreli bağlantılar hala devam etmektedir. Erişimin bir parçası veya çok faktörlü kimlik doğrulama, dahili sistemlerdeki RDP, SMB ve SSH etkinliğinin yanı sıra bağlantı noktası taramaları da bir sorunun göstergesi olabilir.
En kötü senaryoda Ivanti sistemleri basitçe yeniden kurulmamalıdır; Bunun yerine günlükleri, sistem anlık görüntülerini ve adli verileri RAM ve sabit disklerden korumak önemlidir. Bu, daha fazla erişim ihlalinin araştırılmasına olanak tanır. Volexity, saldırganlar tarafından kullanılan bilinen alan adlarının ve IP adreslerinin bir listesini sağlar. Parolalar ve ilgili gizli kimlik doğrulama verilerinin tehlikeye girdiği düşünülebilir.
(ds)
Haberin Sonu
Duyuru
Ivanti'nin henüz yaması yok. Şirket şu anda “hafifletme” olarak harici bütünlük testinin (BİT) kullanılmasını önermektedir. Etkilenen Ivanti ürünlerinde ICT bulunsa bile saldırganlar bunu da atlatabiliyor. Halen desteklenen Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons for Zero Trust Access (ZTA) sürümleri için güncellemeler devam etmektedir. İlk yamaların önümüzdeki hafta yayınlanması planlanıyor ancak müşterilerin bazı ürün sürümleri için Şubat ortasına kadar beklemesi gerekecek.
Aktif olarak yararlanılan güvenlik açıkları CVE-2023-46805 (CVSS 8.2) ve CVE-2024-21887'dir (9.1). İlki, kimlik doğrulamayı atlamanıza izin verirken, ikincisi, komutların web bileşenlerine yetkisiz olarak eklenmesine izin verir. Ivanti'nin ZTA çözümü normal çalışma koşullarında etkilenmez ancak olağandışı çalışma koşullarında etkilenir, bu nedenle bunun için de güncellemeler planlanmaktadır.
Ivanti Connect Secure (eski adıyla Pulse Connect Secure), bir sanal özel ağ (VPN) ağ geçididir. Ivanti Policy Secure, ağlarda erişim kontrolü için kullanılır (Ağ Erişim Kontrolü, NAC). Bunun amacı, cihazların veya programların yalnızca seçilen veri kümelerine veya diğer cihazlara erişiminin ayrıntılı bir şekilde sağlanmasıdır. Bunun amacı, güvenliği ihlal edilmiş bir programın veya cihazın saldırganın şirket ağındaki tüm olası kaynaklara erişmesine izin vermesini önlemektir. Hem VPN'i hem de NAC'yi ele geçirip oturum açma verilerini toplayan herkes büyük ikramiyeyi kazandı.
Adli analiz
Volexity'deki siber güvenlik uzmanlarının raporuna göre, saldırganlar zaten bunu yapmayı başardı. Aralık ayında, isimsiz bir müşteriye kurulan Volexity ürünü, dahili ağda olağandışı trafik tespit etti. Volexity sonunda onu Ivanti Connect Secure VPN ağ geçidine bağlamayı başardı. Orada uzmanlar tüm kayıtların silindiğini keşfetti; diğer kayıtlar dış dünyayla şüpheli bağlantıların izlerini gösteriyordu. Bellek verilerinin adli analizi sonuçta iki sıfır gün güvenlik açığına yol açtı.
Volexity, saldırganların arkasında Çin Halk Cumhuriyeti'ne ait bir devlet kurumunun olduğunu tanıdığına inanıyor. Şirket şimdilik faillerden sadece UTA0178 (bilinmeyen tehdit aktörü 178) olarak söz ediyor. Temsilcileri en geç 3 Aralık 2023'e kadar erişim sağladılar ve harika bir iş çıkardılar. Örneğin, dosyaya açılan bir arka kapıya sahipler compcheck.cgi Bir yandan dahili bütünlük kontrollerini yanıltmak, diğer yandan VPN ağ geçidinde komutları yürütmek için entegre edilmiştir.
Javascript, VPN kullanıcılarının klavye girişlerini kaydedecek ve bunları harici bir sunucuya aktaracak şekilde değiştirildi. Saldırganlar oturum açma bilgilerini çaldı ve bu sayede kurbanın diğer bilgisayarlarına RDB, SMB ve SSH aracılığıyla erişim sağlandı. Saldırganlar, yedek SOCKS proxy'lerini, SSH tünellerini ve Volexity'nin “Glasstokens” olarak adlandırdığı çeşitli web kabuklarını kurdu. Bu, aslında yalnızca intranet üzerinden erişilebilen bilgisayarların internete açılması anlamına geliyordu.
Saldırganlar, bellek dökümlerini kullandı ve Active Directory'yi çaldıkları etki alanı denetleyicisinin yedeği de dahil olmak üzere yedeklemelere erişim sağladı. Veeam yedeklemesinde ek kullanıcı adları ve şifreler buldular. Çeşitli klasörler ve dosyalar vardı tmp-Dizin oluşturuldu ancak tekrar kaldırıldı, dolayısıyla henüz tam bir genel bakış yok. Genel olarak adli soruşturmalar devam ediyor; Volexity, yeni bilgilerin mevcut olması durumunda blog yazısında güncelleme sözü veriyor.
Bilindiği kadarıyla suçlular büyük miktarda veriyi yok etmedi veya şifrelemedi, ancak şirket ağını kapsamlı bir şekilde araştırıp gözlemledi. Bu aynı zamanda faillerin adi suçlular değil, devlet adına suçlular olduğunu da göstermektedir.
Ne yapalım
Bahsedildiği gibi henüz herhangi bir yama mevcut değil ve Ivanti ayrı bir sağlık kontrolü kullanılmasını öneriyor. Ivanti cihazlarındaki dosyaların olması gerektiği gibi olmadığını tespit etmek amaçlanıyor; bu, olası bir manipülasyonun açık bir göstergesidir.
Volexity ayrıca veri trafiğine çok dikkat edilmesini önerir. Şaşırtıcı ağ trafiği, VPN'deki cihaz günlükleri, olağandışı dosya erişimleri, şirket ağı içindeki garip çapraz bağlantılar, harici web sitelerine yapılan çağrıların kıvrılması, harici IP adreslerine SSH bağlantıları, güncelleme sağladığı bilinmeyen sunuculara yapılan bazı şifreli bağlantılar hala devam etmektedir. Erişimin bir parçası veya çok faktörlü kimlik doğrulama, dahili sistemlerdeki RDP, SMB ve SSH etkinliğinin yanı sıra bağlantı noktası taramaları da bir sorunun göstergesi olabilir.
En kötü senaryoda Ivanti sistemleri basitçe yeniden kurulmamalıdır; Bunun yerine günlükleri, sistem anlık görüntülerini ve adli verileri RAM ve sabit disklerden korumak önemlidir. Bu, daha fazla erişim ihlalinin araştırılmasına olanak tanır. Volexity, saldırganlar tarafından kullanılan bilinen alan adlarının ve IP adreslerinin bir listesini sağlar. Parolalar ve ilgili gizli kimlik doğrulama verilerinin tehlikeye girdiği düşünülebilir.
(ds)
Haberin Sonu