Ivanti Connect Secure ve Ivanti Policy Secure değildir. Saldırganlar, iki sıfır gün güvenlik açığını birbirine bağlayarak cihazları ele geçirebilir, orada programlar kurup çalıştırabilir, erişim kontrollerini atlayabilir, dosyaları değiştirebilir ve girilen şifreleri toplayabilir. Bunlar daha sonra şirket ağındaki diğer cihazlara sızmaya izin verir. Volexity bunu Aralık ayının başında bir müşteride gözlemledi ve Ivanti'ye bilgi verdi. Adli analizin ardından iki şirket halka açılıyor.
Reklamcılık
Ivanti'nin henüz yaması yok. Şirket şu anda “hafifletme” olarak harici bütünlük testinin (BİT) kullanılmasını önermektedir. Etkilenen Ivanti ürünlerinin kendisinde bir ICT bulunsa da saldırganlar bunu da atlıyor. Halen desteklenen Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons for Zero Trust Access (ZTA) sürümleri için güncellemeler yapılıyor. İlk yamaların bir sonraki hafta yayınlanması planlanıyor ancak bazı ürün versiyonları için müşterilerin Şubat ortasına kadar beklemesi gerekecek.
Aktif olarak yararlanılan güvenlik açıkları CVE-2023-46805 (CVSS 8.2) ve CVE-2024-21887'dir (9.1). İlki, kimlik doğrulamanın atlanmasına izin verirken, ikincisi, komutların web bileşenlerine yetkisiz olarak eklenmesine izin verir. Ivanti'nin ZTA çözümü normal çalışma koşullarından etkilenmez ancak olağandışı çalışma koşullarından etkilenir, bu nedenle güncellemeler de programda yer almaktadır.
Ivanti Connect Secure (eski adıyla Pulse Connect Secure), bir sanal özel ağ (VPN) ağ geçididir. Ivanti Policy Secure, ağlarda erişim kontrolü için kullanılır (Ağ Erişim Kontrolü, NAC). Bunun amacı, cihazların veya programların yalnızca seçilen veri kümelerine veya diğer cihazlara ayrıntılı olarak erişebilmesini sağlamaktır. Bunun amacı, güvenliği ihlal edilmiş bir programın veya cihazın saldırganın şirket ağındaki tüm olası varlıklara erişmesine izin vermesini önlemektir. Hem VPN'i hem de NAC'yi ele geçirip oturum açma verilerini toplayan herkes büyük ikramiyeyi kazandı.
Adli analiz
Volexity'deki BT güvenlik uzmanlarının raporuna göre, saldırganların zaten yapmayı başardığı şey de tam olarak bu. Aralık ayında, isimsiz bir müşteriye kurulan Volexity ürünü, dahili ağda olağandışı trafik keşfetti. Volexity sonunda bunu Ivanti Connect Secure VPN ağ geçidine bağlamayı başardı. Uzmanlar orada tüm günlüklerin silindiğini buldu; diğer kayıtlar dış dünyayla şüpheli bağlantıların izlerini gösteriyordu. Bellek verilerinin adli analizi sonuçta iki sıfır gün güvenlik açığına yol açtı.
Volexity, saldırganların arkasında Çin Halk Cumhuriyeti'ne ait bir devlet kurumunun olduğunu tanıdığına inanıyor. Şirket şimdilik faillerden sadece UTA0178 (bilinmeyen tehdit aktörü 178) olarak söz ediyor. Temsilcileri en geç 3 Aralık 2023'e kadar erişim sağladılar ve harika bir iş çıkardılar. Örneğin, dosyaya açılan bir arka kapıya sahipler compcheck.cgi Bir yandan dahili bütünlük kontrollerini yanıltmak, diğer yandan VPN ağ geçidinde komutları yürütebilmek için yerleşiktir.
Javascript, VPN kullanıcılarının klavye girişlerini kaydetmek ve bunları harici bir sunucuya aktarmak için değiştirildi. Saldırganlar erişim verilerini çalarak kurbanın diğer bilgisayarlarına RDB, SMB ve SSH aracılığıyla erişime izin verdi. Failler yedek SOCKS proxy'lerini, SSH tünellerini ve Volexity'nin “Glasstokens” olarak adlandırdığı çeşitli web kabuklarını kurdular. Bu, aslında yalnızca intranet üzerinden erişilebilen bilgisayarların internete açılması anlamına geliyordu.
Failler, bellek dökümlerini kullandı ve Active Directory'yi çaldıkları etki alanı denetleyicisinin yedeği de dahil olmak üzere yedeklemelere erişim elde etti. Veeam yedeklemesinde ek kullanıcı adları ve şifreler buldular. Çeşitli klasörler ve dosyalar vardı tmp-Dizin oluşturuldu ancak tekrar kaldırıldı, dolayısıyla henüz tam bir genel bakış sağlanamadı. Genel olarak adli soruşturmalar devam ediyor; Volexity, yeni bilgilerin mevcut olması durumunda blog yazısında güncelleme sözü veriyor.
Bilindiği kadarıyla failler herhangi bir kapsamlı veriyi yok etmedi veya şifrelemedi, ancak şirket ağını kapsamlı bir şekilde inceleyerek gözlemledi. Bu aynı zamanda faillerin sıradan suçlular değil, devlet adına suçlular olduğunun da göstergesidir.
Ne yapalım
Belirtildiği gibi henüz yama yok ve Ivanti ayrı bir bütünlük denetleyicisi kullanılmasını öneriyor. Ivanti cihazlarındaki dosyaların olması gerektiği gibi olmadığını tespit etmek amaçlanıyor; bu, olası bir manipülasyonun açık bir göstergesidir.
Volexity ayrıca veri trafiğine çok dikkat edilmesini önerir. Şaşırtıcı ağ trafiği, VPN'deki cihazlardan gelen günlükler, olağandışı dosya erişimi, şirket ağı içindeki garip çapraz bağlantılar, harici web sitelerine yapılan çağrıların kıvrılması, harici IP adreslerine SSH bağlantıları, güncelleme sağladığı bilinmeyen sunuculara yapılan bazı şifreli bağlantılar. oturum açma veya çok faktörlü kimlik doğrulamanın bir parçası, dahili sistemlerdeki RDP, SMB ve SSH etkinliğinin yanı sıra bağlantı noktası taramaları da bir sorunun göstergesi olabilir.
En kötüsü en kötüye gelirse Ivanti sistemleri öylece yeniden kurulmamalı; Bunun yerine günlüklerin, sistem anlık görüntülerinin ve adli verilerin RAM ve sabit disklerden güvenliğinin sağlanması önemlidir. Bu, daha fazla erişim ihlalinin araştırılmasına olanak sağlar. Volexity, saldırganlar tarafından kullanılan bilinen alan adlarının ve IP adreslerinin bir listesini sağlar. Parolalar ve ilgili gizli kimlik doğrulama verilerinin tehlikeye girdiği düşünülebilir.
(ds)
Haberin Sonu
Reklamcılık
Ivanti'nin henüz yaması yok. Şirket şu anda “hafifletme” olarak harici bütünlük testinin (BİT) kullanılmasını önermektedir. Etkilenen Ivanti ürünlerinin kendisinde bir ICT bulunsa da saldırganlar bunu da atlıyor. Halen desteklenen Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons for Zero Trust Access (ZTA) sürümleri için güncellemeler yapılıyor. İlk yamaların bir sonraki hafta yayınlanması planlanıyor ancak bazı ürün versiyonları için müşterilerin Şubat ortasına kadar beklemesi gerekecek.
Aktif olarak yararlanılan güvenlik açıkları CVE-2023-46805 (CVSS 8.2) ve CVE-2024-21887'dir (9.1). İlki, kimlik doğrulamanın atlanmasına izin verirken, ikincisi, komutların web bileşenlerine yetkisiz olarak eklenmesine izin verir. Ivanti'nin ZTA çözümü normal çalışma koşullarından etkilenmez ancak olağandışı çalışma koşullarından etkilenir, bu nedenle güncellemeler de programda yer almaktadır.
Ivanti Connect Secure (eski adıyla Pulse Connect Secure), bir sanal özel ağ (VPN) ağ geçididir. Ivanti Policy Secure, ağlarda erişim kontrolü için kullanılır (Ağ Erişim Kontrolü, NAC). Bunun amacı, cihazların veya programların yalnızca seçilen veri kümelerine veya diğer cihazlara ayrıntılı olarak erişebilmesini sağlamaktır. Bunun amacı, güvenliği ihlal edilmiş bir programın veya cihazın saldırganın şirket ağındaki tüm olası varlıklara erişmesine izin vermesini önlemektir. Hem VPN'i hem de NAC'yi ele geçirip oturum açma verilerini toplayan herkes büyük ikramiyeyi kazandı.
Adli analiz
Volexity'deki BT güvenlik uzmanlarının raporuna göre, saldırganların zaten yapmayı başardığı şey de tam olarak bu. Aralık ayında, isimsiz bir müşteriye kurulan Volexity ürünü, dahili ağda olağandışı trafik keşfetti. Volexity sonunda bunu Ivanti Connect Secure VPN ağ geçidine bağlamayı başardı. Uzmanlar orada tüm günlüklerin silindiğini buldu; diğer kayıtlar dış dünyayla şüpheli bağlantıların izlerini gösteriyordu. Bellek verilerinin adli analizi sonuçta iki sıfır gün güvenlik açığına yol açtı.
Volexity, saldırganların arkasında Çin Halk Cumhuriyeti'ne ait bir devlet kurumunun olduğunu tanıdığına inanıyor. Şirket şimdilik faillerden sadece UTA0178 (bilinmeyen tehdit aktörü 178) olarak söz ediyor. Temsilcileri en geç 3 Aralık 2023'e kadar erişim sağladılar ve harika bir iş çıkardılar. Örneğin, dosyaya açılan bir arka kapıya sahipler compcheck.cgi Bir yandan dahili bütünlük kontrollerini yanıltmak, diğer yandan VPN ağ geçidinde komutları yürütebilmek için yerleşiktir.
Javascript, VPN kullanıcılarının klavye girişlerini kaydetmek ve bunları harici bir sunucuya aktarmak için değiştirildi. Saldırganlar erişim verilerini çalarak kurbanın diğer bilgisayarlarına RDB, SMB ve SSH aracılığıyla erişime izin verdi. Failler yedek SOCKS proxy'lerini, SSH tünellerini ve Volexity'nin “Glasstokens” olarak adlandırdığı çeşitli web kabuklarını kurdular. Bu, aslında yalnızca intranet üzerinden erişilebilen bilgisayarların internete açılması anlamına geliyordu.
Failler, bellek dökümlerini kullandı ve Active Directory'yi çaldıkları etki alanı denetleyicisinin yedeği de dahil olmak üzere yedeklemelere erişim elde etti. Veeam yedeklemesinde ek kullanıcı adları ve şifreler buldular. Çeşitli klasörler ve dosyalar vardı tmp-Dizin oluşturuldu ancak tekrar kaldırıldı, dolayısıyla henüz tam bir genel bakış sağlanamadı. Genel olarak adli soruşturmalar devam ediyor; Volexity, yeni bilgilerin mevcut olması durumunda blog yazısında güncelleme sözü veriyor.
Bilindiği kadarıyla failler herhangi bir kapsamlı veriyi yok etmedi veya şifrelemedi, ancak şirket ağını kapsamlı bir şekilde inceleyerek gözlemledi. Bu aynı zamanda faillerin sıradan suçlular değil, devlet adına suçlular olduğunun da göstergesidir.
Ne yapalım
Belirtildiği gibi henüz yama yok ve Ivanti ayrı bir bütünlük denetleyicisi kullanılmasını öneriyor. Ivanti cihazlarındaki dosyaların olması gerektiği gibi olmadığını tespit etmek amaçlanıyor; bu, olası bir manipülasyonun açık bir göstergesidir.
Volexity ayrıca veri trafiğine çok dikkat edilmesini önerir. Şaşırtıcı ağ trafiği, VPN'deki cihazlardan gelen günlükler, olağandışı dosya erişimi, şirket ağı içindeki garip çapraz bağlantılar, harici web sitelerine yapılan çağrıların kıvrılması, harici IP adreslerine SSH bağlantıları, güncelleme sağladığı bilinmeyen sunuculara yapılan bazı şifreli bağlantılar. oturum açma veya çok faktörlü kimlik doğrulamanın bir parçası, dahili sistemlerdeki RDP, SMB ve SSH etkinliğinin yanı sıra bağlantı noktası taramaları da bir sorunun göstergesi olabilir.
En kötüsü en kötüye gelirse Ivanti sistemleri öylece yeniden kurulmamalı; Bunun yerine günlüklerin, sistem anlık görüntülerinin ve adli verilerin RAM ve sabit disklerden güvenliğinin sağlanması önemlidir. Bu, daha fazla erişim ihlalinin araştırılmasına olanak sağlar. Volexity, saldırganlar tarafından kullanılan bilinen alan adlarının ve IP adreslerinin bir listesini sağlar. Parolalar ve ilgili gizli kimlik doğrulama verilerinin tehlikeye girdiği düşünülebilir.
(ds)
Haberin Sonu