ABD'li üretici Ivanti'ye kötü haber devam ediyor. Ocak ayında ortaya çıkan “Connect Secure” ve “Policy Secure” ürünlerindeki güvenlik açıkları, saldırganların edinilen sistemlerin derinliklerine yerleşmesine olanak tanıyor. ABD siber güvenlik kurumu CISA, Ivanti'nin kendi araçlarının bile arka kapıları güvenilir bir şekilde tespit edemediği konusunda uyarıyor.
Reklamcılık
Teşkilatın diğer ulusal güvenlik kurumlarıyla işbirliği içinde keşfettiği gibi, Ivanti tarafından sağlanan “Bütünlük Denetleme Aracı”, yani potansiyel olarak tehlikeye atılmış tesislerin bütünlüğünü kontrol etme aracı, akıllı arka kapıdan kaçınma manevraları nedeniyle önceki sürümlerde amacına ulaşamamıştı. Bu nedenle CISA uzmanları, saldırganların arka kapılarını yalnızca yeniden başlatma ve güncelleme yoluyla değil, fabrika ayarlarına sıfırlama yoluyla da kurtarabileceklerini varsayıyor.
Google'ın yan kuruluşu Mandiant tarafından yapılan bir araştırma da benzer bir sonuca varıyor. Ünlü “Littlelamb.wooltea”, “Bushwalk” ve “Pithook” adlarını taşıyan çeşitli arka kapı bileşenlerine daha yakından baktılar ve bir dizi zorlu kamuflaj önlemi keşfettiler. Bushwalk arka kapısı, sahte HTTP kullanıcı aracıları (“App1eWebKit” ve büyük “i” ile “AppIeWebKit”) kullanılarak açılıp kapatılabilir, bütünlük denetleyicisi tarafından hariç tutulan bir dizindeki bütünlük denetleyicisinden gizlenir ve işletim sisteminin kendi araçlarını kullanır. kendinizi şifrelemek ve şifresini çözmek için. “Bushwalk” da tespit edilmekten kaçınmak için ölü taklidi yapabilir.
Minik kuzular rahatça yuva yapıyor
Öte yandan “Littlelamb.wooltea” kötü amaçlı yazılımı, yapılandırma ve çalışma zamanı verilerini almak için güncelleme prosedürünün bir parçası olarak cihazın içe aktardığı sistem verilerinin yerel güncellemesine kendisini ekleyerek yeniden başlatmalardan ve sistem güncellemelerinden kurtulur. Kötü amaçlı yazılımın yazarları fabrika ayarlarına sıfırlamayı, yani Ivanti cihazını fabrika ayarlarına sıfırlamayı bile düşündüler. Ancak, neyse ki etkilenen yöneticiler için yönteminiz yalnızca belirli cihazlarda çalışıyor.
Mandiant analistleri, saldırganların Ivanti ürün yazılımı hakkında ayrıntılı bilgiye sahip olduğu ve bunları Çin'de konumlandırdığı sonucuna varıyor. UNC5325 tanımlayıcısına sahip grubun diğer Çinli casusluk gruplarıyla işbirliği yaptığından ve özellikle savunma sanayii ile teknoloji ve telekomünikasyon sektörlerini hedef aldığından şüpheleniyorlar.
Mandiant, Connect Secure cihazlarının onarımına yönelik kılavuzunun güncellenmiş bir versiyonunu sunarken, üretici en azından tespit aracını güncelledi. Öte yandan CISA, himaye ettiği kişilere bütünsel bir yaklaşım benimsemelerini tavsiye ediyor: cihazlar yine de güvenliği ihlal edilmiş olarak görülmeli ve gerekirse VPN erişimi ve anahtarları yeniden kurulmalıdır.
Bu, siber güvenlik kurumunun Ivanti'nin güvenlik açıkları konusunda ilk uyarısı değil. Neredeyse bir ay önce federal kurum, yetkisi altındaki tüm kurumlara Ivanti cihazlarını devre dışı bırakma emri verdi.
(cku)
Haberin Sonu
Reklamcılık
Teşkilatın diğer ulusal güvenlik kurumlarıyla işbirliği içinde keşfettiği gibi, Ivanti tarafından sağlanan “Bütünlük Denetleme Aracı”, yani potansiyel olarak tehlikeye atılmış tesislerin bütünlüğünü kontrol etme aracı, akıllı arka kapıdan kaçınma manevraları nedeniyle önceki sürümlerde amacına ulaşamamıştı. Bu nedenle CISA uzmanları, saldırganların arka kapılarını yalnızca yeniden başlatma ve güncelleme yoluyla değil, fabrika ayarlarına sıfırlama yoluyla da kurtarabileceklerini varsayıyor.
Google'ın yan kuruluşu Mandiant tarafından yapılan bir araştırma da benzer bir sonuca varıyor. Ünlü “Littlelamb.wooltea”, “Bushwalk” ve “Pithook” adlarını taşıyan çeşitli arka kapı bileşenlerine daha yakından baktılar ve bir dizi zorlu kamuflaj önlemi keşfettiler. Bushwalk arka kapısı, sahte HTTP kullanıcı aracıları (“App1eWebKit” ve büyük “i” ile “AppIeWebKit”) kullanılarak açılıp kapatılabilir, bütünlük denetleyicisi tarafından hariç tutulan bir dizindeki bütünlük denetleyicisinden gizlenir ve işletim sisteminin kendi araçlarını kullanır. kendinizi şifrelemek ve şifresini çözmek için. “Bushwalk” da tespit edilmekten kaçınmak için ölü taklidi yapabilir.
Minik kuzular rahatça yuva yapıyor
Öte yandan “Littlelamb.wooltea” kötü amaçlı yazılımı, yapılandırma ve çalışma zamanı verilerini almak için güncelleme prosedürünün bir parçası olarak cihazın içe aktardığı sistem verilerinin yerel güncellemesine kendisini ekleyerek yeniden başlatmalardan ve sistem güncellemelerinden kurtulur. Kötü amaçlı yazılımın yazarları fabrika ayarlarına sıfırlamayı, yani Ivanti cihazını fabrika ayarlarına sıfırlamayı bile düşündüler. Ancak, neyse ki etkilenen yöneticiler için yönteminiz yalnızca belirli cihazlarda çalışıyor.
Mandiant analistleri, saldırganların Ivanti ürün yazılımı hakkında ayrıntılı bilgiye sahip olduğu ve bunları Çin'de konumlandırdığı sonucuna varıyor. UNC5325 tanımlayıcısına sahip grubun diğer Çinli casusluk gruplarıyla işbirliği yaptığından ve özellikle savunma sanayii ile teknoloji ve telekomünikasyon sektörlerini hedef aldığından şüpheleniyorlar.
Mandiant, Connect Secure cihazlarının onarımına yönelik kılavuzunun güncellenmiş bir versiyonunu sunarken, üretici en azından tespit aracını güncelledi. Öte yandan CISA, himaye ettiği kişilere bütünsel bir yaklaşım benimsemelerini tavsiye ediyor: cihazlar yine de güvenliği ihlal edilmiş olarak görülmeli ve gerekirse VPN erişimi ve anahtarları yeniden kurulmalıdır.
Bu, siber güvenlik kurumunun Ivanti'nin güvenlik açıkları konusunda ilk uyarısı değil. Neredeyse bir ay önce federal kurum, yetkisi altındaki tüm kurumlara Ivanti cihazlarını devre dışı bırakma emri verdi.
(cku)
Haberin Sonu