Ivanti nihayet Connect Secure VPN cihazlarında 10 Ocak'ta açıklanan bir çift sıfır gün güvenlik açığını gidermeye başladı. Bununla birlikte, bugün platformda CVE-2024-21888 ve CVE-2024-21893 olmak üzere iki ek hata daha duyurdu; bunlardan ikincisi de doğada aktif olarak kullanılıyor.
Ivanti ilk yama turunu yayınladı sıfır günlerin orijinal seti için (CVE-2024-21887 ve CVE-2023-46805) ancak yalnızca bazı sürümler için; Şirket, bugün güncellenen tavsiye belgesinde, önümüzdeki haftalarda ek düzeltmelerin kademeli bir programla yayınlanacağını söyledi. Bu arada Ivanti, yama yapılmayan kuruluşların mağdur edilmekten kaçınmak için derhal başvurması gereken bir hafifletme önlemi sağladı. Çin devleti destekli aktörlerin kitlesel sömürüsü ve finansal motivasyona sahip siber suçlular.
Çoklu Özel Kötü Amaçlı Yazılım Veri Hırsızlığı Saldırılarını Sabitliyor
O sömürü hız kesmeden devam ediyor. Mandiant'a göre, UNC5221 adını verdiği Çin destekli gelişmiş kalıcı tehdit (APT), Aralık ayının başına kadar uzanan çok sayıda istismarın arkasında yer alıyor. Ancak genel olarak aktivite, CVE-2024-21888 ve CVE-2024-21893'ün Ocak ayının başlarında halka açıklanmasından bu yana önemli ölçüde arttı.
“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in Ivanti siber saldırı analizi released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”
Bu noktaya kadar Mandiant, UNC5221 ve diğer aktörlerin Ivanti Connect Secure VPN'lere yönelik saldırılarda kullandığı kötü amaçlı yazılım türleri hakkında ek bilgi yayınladı. Şimdiye kadar vahşi doğada gözlemledikleri implantlar arasında şunlar yer alıyor:
-
Kendisini VPN ağ geçidinin meşru bir bileşenine ekleyen LightWire Web kabuğunun bir çeşidi, artık farklı bir gizleme rutini içeriyor.
-
Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.
-
ZipLine, UNC5221 tarafından kullanılan, komuta ve kontrol (C2) ile iletişim kurmak için özel, şifreli bir protokol kullanan pasif bir arka kapıdır. İşlevleri arasında dosya yükleme ve indirme, ters kabuk, proxy sunucusu ve tünel sunucusu yer alır.
-
Sabit kodlu bir C2 sunucusuna sızmak için düz metin şifreleri ve kullanıcı adlarını çalan WarpWire kimlik bilgisi hırsızlığı kötü amaçlı yazılımının yeni çeşitleri. Mandiant, varyantların tamamını UNC5221'e atfetmiyor.
-
Ve sınırlı sayıda kurban ortamında dahili ağ keşfi, yanal hareket ve veri sızması gibi istismar sonrası faaliyetleri destekleyen çok sayıda açık kaynak araç.
“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”
In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.
“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.
Ivanti ve CISA güncellenmiş azaltım kılavuzunu yayınladı Dün o kuruluşların başvurması gerekiyordu.
İki Yeni Yüksek Önem Derecesine Sahip Sıfır Gün Hatası
Ivanti, üç haftalık hatalar için yamalar yayınlamanın yanı sıra aynı danışma belgesine iki yeni CVE için düzeltmeler de ekledi. Bunlar:
-
CVE-2024-21888 (CVSS puanı: 8.8): Ivanti Connect Secure ve Ivanti Policy Secure'un Web bileşeninde yer alan ve siber saldırganların yönetici ayrıcalıkları elde etmesine olanak tanıyan bir ayrıcalık yükseltme güvenlik açığı.
-
CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”
Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”
Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”
Araştırmacılar ayrıca uzlaşmanın sonucunun kuruluşlar için tehlikeli olabileceği konusunda da uyarıyor.
“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- erişim
- Göre
- onaylamak
- aktif
- faaliyetler
- etkinlik
- aktörler
- katma
- ilave
- Ek
- Ek Bilgi
- benimsenen
- ileri
- gelişmiş kalıcı tehdit
- avantaj
- danışma
- karşı
- benzer
- Türkiye
- Izin
- Ayrıca
- an
- Çapa
- ve
- açıkladı
- belirir
- aletleri
- Tamam
- APT
- keyfi
- mimari
- ARE
- AS
- ilişkili
- At
- saldırı
- saldırılar
- Dikkat
- Doğrulama
- önlemek
- Arka
- arka kapı
- arka kapılar
- BE
- olmuştur
- başladı
- arkasında
- Ötesinde
- böcek
- fakat
- by
- baypas
- denilen
- aramalar
- CAN
- belli
- zincir
- Çince
- Daire
- CISA
- gelecek
- gelecek haftalar
- İletişim
- şirket
- bileşen
- uzlaşma
- Uzlaşılmış
- yapılandırma
- Sosyal medya
- devam ediyor
- görenek
- Müşteriler
- Siber saldırı
- siber suçluların
- Tehlikeli
- veri
- Aralık
- Defenders
- dağıtma
- detaylı
- farklı
- yönetmen
- ifşa
- farklı
- yok
- indir
- gereken
- Daha erken
- Erken
- gömülü
- etkinleştirmek
- şifreli
- Tüm
- ortamları
- kızışma
- kurmak
- Eter (ETH)
- infaz
- dumping
- mevcut
- beklemek
- istismar
- sömürülen
- patlatır
- kapsamlı, geniş
- Düşen
- uzak
- Featuring
- fileto
- dosyalar
- Nihayet
- mali
- Ad
- düzeltmeleri
- bayraklı
- kusurları
- takip etme
- İçin
- çılgınlık
- taze
- itibaren
- Yakıt
- işlevsellik
- fonksiyonlar
- Kazanç
- geçit
- genel
- gidiş
- vermek
- Grubun
- Var
- büyük ölçüde
- Ancak
- HTTPS
- ICON
- if
- hemen
- in
- dahil
- Artırmak
- göstergeler
- bilgi
- ilk
- Uçlar
- faiz
- iç
- içine
- Veriliş
- IT
- ONUN
- kendisi
- Ivanti
- Ara
- Ocak
- jpg
- sadece
- meşru
- sevmek
- Muhtemelen
- Sınırlı
- yapılmış
- kötü amaçlı yazılım
- Kitle
- Mayıs..
- bu arada
- hafifletme
- değiştirmek
- Daha
- motive
- hareket
- çoklu
- ağ
- ağ
- ağlar
- Nöronlar
- yeni
- şimdi
- numara
- gözlenen
- of
- on
- bir Zamanlar
- ONE
- bir tek
- açık
- açık kaynak
- Fırsatlar
- or
- organizasyonlar
- orijinal
- Diğer
- Diğer
- dışarı
- paketler
- çift
- özellikle
- ortaklar
- pasif
- şifreleri
- Patch
- Yamalar
- Yama
- patrick
- plaintext
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- Nokta
- politika
- olasılık
- başkan
- Önceki
- öncelik
- ayrıcalık
- ayrıcalıklar
- üretim
- protokol
- sağlanan
- sağlar
- vekil
- halka açık
- Python
- RE
- Okumak
- ilgili
- serbest
- uzak
- talep
- araştırma
- Araştırmacılar
- Kaynaklar
- kısıtlı
- sonuç
- ters
- Rulo
- rolling
- yuvarlak
- rutin
- kurallar
- s
- Adı geçen
- aynı
- diyor
- program
- Gol
- güvenli
- güvenlik
- hassas
- ciddi
- sunucu
- set
- keskin
- Kabuk
- meli
- benzer
- beri
- So
- şu ana kadar
- çözüm
- biraz
- Kaynak
- top çalma
- Başarılı olarak
- tedarikçileri
- arz
- tedarik zinciri
- destek
- Sistemler
- alma
- Hedeflenen
- hedefler
- teknik
- göre
- o
- The
- hırsızlık
- ve bazı Asya
- Bunlar
- onlar
- Re-Tweet
- tehdit
- için
- bugün
- araçlar
- TRU
- tünel
- iki
- türleri
- yetkisiz
- altında
- birim
- bilinmeyen
- güncellenmiş
- Kullanılmış
- kullanıcılar
- kullanım
- kullanma
- Değerli
- Varyant
- sürümler
- mengene
- Başkan Yardımcısı
- Kurban
- VPN
- VPN'ler
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- Uyardı
- we
- ağ
- Haftalar
- vardı
- Ne
- hangi
- DSÖ
- Vahşi
- irade
- ile
- içinde
- olmadan
- yazmak
- dün
- sen
- zefirnet