hadicanim
Aktif Üye
Ivanti, VPN yazılımı Ivanti Connect Secure'daki (ICS) kritik bir güvenlik açığına yönelik aktif saldırılara karşı uyarıyor. Bu ve başka bir güvenlik açığı Ivanti Policy Secure ve Ivanti ZTA Gateway'leri de etkiliyor. ICS için güncellemeler mevcut, Ivanti yalnızca diğer iki ürün için güncellemeleri duyurdu.
Reklamcılık
Ivanti, bir güvenlik bildiriminde güvenlik açıklarıyla ilgili ayrıntıları tartışıyor. Şirket, kötü niyetli aktörlerin önceden kayıt olmadan kötü amaçlı kod enjekte etmesine ve yürütmesine olanak tanıyan yığın tabanlı arabellek taşmasına dayalı saldırıları keşfetti (CVE-2025-0282, CVSS) 9.0“Risk”kritik“). Ivanti, saldırıların tam olarak neye benzediğini tartışmıyor. İkinci bir güvenlik açığı, oturum açmış kullanıcıların kendi haklarını yükseltmelerine olanak tanıyan yığın tabanlı arabellek taşmasından da oluşuyor (CVE-2025-0283, CVSS) 7.0, yüksek). Ancak Ivanti'ye göre bu güvenlik açığı şu anda istismar edilmiyor.
Mandiant saldırısı ayrıntıları
Google'ın yan kuruluşu Mandiant, kendi blog yazısında saldırıların ilk analizini sunuyor. Saldırganlar, başarılı saldırıların ardından Mandiant Spawn adlı ekosistemden kötü amaçlı yazılımların yanı sıra Dryhook ve Phasejam adlı kötü amaçlı yazılım ailelerini de yüklediler. Güvenlik açığından yararlanmalar, ICS'nin her yama düzeyine özel sürümdür. Kötü amaçlı yazılım daha sonra tüneller, web kabukları sağlar, güncellemeleri engeller, erişim verilerine erişim sağlar ve daha fazla hasara neden olabilir. Mandiant, saldırgan UNC5337'yi Çin'deki UNC5221'in bir alt grubu olarak konumlandırıyor, bu da onların bir casusluk grubu olduğu anlamına geliyor.
Ivanti, sınırlı sayıda müşterinin saldırıya uğradığını bildiğini söylüyor. Mandiant, saldırıların 2024 yılı Aralık ayının ortasında başladığını söylüyor. Analizler halen devam ediyor ve şu ana kadar elde edilen sonuçlar henüz ön hazırlık niteliğinde. Makalenin sonunda Mandiant, Tehlike Göstergelerini (IOC'ler) ve yöneticilerin BT'lerini incelemek ve saldırılara karşı uyarılmak için kullanabileceği yararlı YARA kurallarını listeliyor.
Ivanti, CVE-2025-0282 güvenlik açığına yönelik saldırıların Bütünlük Denetleyici Aracı (ICT) kullanılarak tespit edilebileceğini açıklıyor. Müşteriler, güvenlik konseptlerinin bir parçası olarak iç ve dış BİT'lerini yakından izlemelidir. Güncellenmiş yazılım da mevcuttur. Ivanti Connect Secure 22.7R2.5, 22.7R2 ila 22.7R.4 sürümlerinin yanı sıra 9.1R18.9 ve önceki sürümlerdeki güvenlik açığını kapatır. Ivanti Policy Secure da savunmasızdır ancak internette açığa çıkması amaçlanmamıştır. Ivanti 21 Ocak için bir güncelleme duyurdu. Ivanti ZTA Ağ Geçitleri yalnızca “üretimde” değilken savunmasızdır. Ancak bir ağ geçidi oluşturulursa ve ZTA denetleyicisine bağlı değilse bir istismar mümkündür. Bunun için de 21 Ocak'ta bir yazılım yaması yayınlanacak.
Saldırganların hedefi yalnızca Ivantis VPN değil, Sonicwall'un SonicOS veya SSL VPN'indeki sıfır gün güvenlik açığına yönelik devam eden saldırılar da bu hafta Salı günü duyuruldu. Burada da BT yöneticilerinin mevcut yazılım güncellemelerinin yüklendiğinden hızlı bir şekilde emin olması gerekir.
(DMK)
Reklamcılık
Ivanti, bir güvenlik bildiriminde güvenlik açıklarıyla ilgili ayrıntıları tartışıyor. Şirket, kötü niyetli aktörlerin önceden kayıt olmadan kötü amaçlı kod enjekte etmesine ve yürütmesine olanak tanıyan yığın tabanlı arabellek taşmasına dayalı saldırıları keşfetti (CVE-2025-0282, CVSS) 9.0“Risk”kritik“). Ivanti, saldırıların tam olarak neye benzediğini tartışmıyor. İkinci bir güvenlik açığı, oturum açmış kullanıcıların kendi haklarını yükseltmelerine olanak tanıyan yığın tabanlı arabellek taşmasından da oluşuyor (CVE-2025-0283, CVSS) 7.0, yüksek). Ancak Ivanti'ye göre bu güvenlik açığı şu anda istismar edilmiyor.
Mandiant saldırısı ayrıntıları
Google'ın yan kuruluşu Mandiant, kendi blog yazısında saldırıların ilk analizini sunuyor. Saldırganlar, başarılı saldırıların ardından Mandiant Spawn adlı ekosistemden kötü amaçlı yazılımların yanı sıra Dryhook ve Phasejam adlı kötü amaçlı yazılım ailelerini de yüklediler. Güvenlik açığından yararlanmalar, ICS'nin her yama düzeyine özel sürümdür. Kötü amaçlı yazılım daha sonra tüneller, web kabukları sağlar, güncellemeleri engeller, erişim verilerine erişim sağlar ve daha fazla hasara neden olabilir. Mandiant, saldırgan UNC5337'yi Çin'deki UNC5221'in bir alt grubu olarak konumlandırıyor, bu da onların bir casusluk grubu olduğu anlamına geliyor.
Ivanti, sınırlı sayıda müşterinin saldırıya uğradığını bildiğini söylüyor. Mandiant, saldırıların 2024 yılı Aralık ayının ortasında başladığını söylüyor. Analizler halen devam ediyor ve şu ana kadar elde edilen sonuçlar henüz ön hazırlık niteliğinde. Makalenin sonunda Mandiant, Tehlike Göstergelerini (IOC'ler) ve yöneticilerin BT'lerini incelemek ve saldırılara karşı uyarılmak için kullanabileceği yararlı YARA kurallarını listeliyor.
Ivanti, CVE-2025-0282 güvenlik açığına yönelik saldırıların Bütünlük Denetleyici Aracı (ICT) kullanılarak tespit edilebileceğini açıklıyor. Müşteriler, güvenlik konseptlerinin bir parçası olarak iç ve dış BİT'lerini yakından izlemelidir. Güncellenmiş yazılım da mevcuttur. Ivanti Connect Secure 22.7R2.5, 22.7R2 ila 22.7R.4 sürümlerinin yanı sıra 9.1R18.9 ve önceki sürümlerdeki güvenlik açığını kapatır. Ivanti Policy Secure da savunmasızdır ancak internette açığa çıkması amaçlanmamıştır. Ivanti 21 Ocak için bir güncelleme duyurdu. Ivanti ZTA Ağ Geçitleri yalnızca “üretimde” değilken savunmasızdır. Ancak bir ağ geçidi oluşturulursa ve ZTA denetleyicisine bağlı değilse bir istismar mümkündür. Bunun için de 21 Ocak'ta bir yazılım yaması yayınlanacak.
Saldırganların hedefi yalnızca Ivantis VPN değil, Sonicwall'un SonicOS veya SSL VPN'indeki sıfır gün güvenlik açığına yönelik devam eden saldırılar da bu hafta Salı günü duyuruldu. Burada da BT yöneticilerinin mevcut yazılım güncellemelerinin yüklendiğinden hızlı bir şekilde emin olması gerekir.
(DMK)