hadicanim
Aktif Üye
Geliştiriciler başlangıçta VPN yazılımı Connect Secure (ICS) 'deki bir sorunu basit bir hata olarak değerlendirdi. Şimdi, ekranda zaten siber suçlular ve savunmasız sistemlere yönelik saldırılar için kötüye kullanım olan gerçek, kritik bir güvenlik boşluğu olduğu ortaya çıkıyor.
Bir güvenlik bildiriminde Ivanti, zayıf noktaya gözlenen saldırılara karşı uyarır ve başlangıçta yapılan yanlış değerlendirmeyi kabul eder. Bu nedenle, detaylı açıklanmamış, yığın tabanlı taşma taşmasıdır. Saldırganlar, kötü amaçlı kodu kabul etmek ve yürütmek için önceden kimlik doğrulaması yapmadan onu ağdan kötüye kullanabilir (CVE 2025-22457, CVSS 9.0Risk “eleştirel“).
Saldırılar Çin'den geliyor
Google'ın BT güvenlik iştiraki Mandiant, Mart ortasından beri Ivanti ile birlikte gözlemlenen güvenlik sızıntısına yapılan saldırıları inceledi. Mantiant'ın analizine göre, Çin'den bir siber çeteye kadar izlenebilirler. Bu, “Trailblaze” adlı bir damlalık kurmuş ve sadece bellekte aktif ve ICS örneklerinde “Brushfire” adıyla pasif bir arka kapı oluşturmuştu. Kötü amaçlı yazılımların “yumurtlama” ekosisteminden dağılımı, Çin kökenli olan UNC5221'e atanan BT araştırmacılarını da gözlemledi.
Ivanti orijinal yanlış yargıyı kabul ediyor: “Bu zayıf nokta, Ivanti Connect Secure 22.7R2.6'da (11 Şubat 2025'te yayınlandı) tamamen yamalandı ve başlangıçta üründe hata olarak tanımlandı”. Şirket ayrıca bunun nasıl ortaya çıktığını da açıklıyor: “Zayıf nokta, işaretler ve sayılarla sınırlı bir tampon taşmasıdır. Programcılar, güvenlik açığının uzaktan kodu kilitlemek ve yürütmeleri için kullanılamayacağı ve ayrıca bir hizmet reddi gereksinimlerini karşılamadığını tarttılar.” Ivanti ve BT güvenlik ortakları artık kötüye kullanımın yetenekli yöntemlerle mümkün olduğunu ve zaten vahşi doğada gerçekleştiğini buldular.
Üretici ayrıca şöyle açıklıyor: “Ivanti Secure (22.7R2.5 veya daha eski) ve destek sonunda nabız bağlantısı Connect Secure 9.1x aletleri, güvenlik açığı bilgilerinin dezavantajı sırasında kullanıldı.” Ivanti, tüm müşterilere, güvenlik açığını mühürleyen Ivanti Connect Secure 22.7R2.6'yı kullandıklarını en kısa zamanda önermelerini önerir.
Ivanti Connect Secure 22.7R2.5 ve önceki sürümler, Pulse Connect Secure 9.1R18.9 ve daha büyük (elde edilen hizmet sonu), Ivanti Policy Secure 22.7R1.3 ve önceki sürümlerin yanı sıra ZTA geçitleri 22.8R2 ve daha eski standlar. Hata Ivanti Connect Secure 22.7R2.6 – bu da Pulse Connect Secure için bir güvenlik düzeltmesi olarak hizmet etmelidir – ve Ivanti Policy Secure 22.7R1.4 (21 Nisan'da planlandı) ve ZTA Ağ Geçidi 22.8R2.2 (19 Nisan'da Bekleniyor)
ABD BT Güvenlik Otoritesi CISA, bu haftanın Pazartesi günü bir analizin sonuçlarını yayınladı. İçinde, Ocak ayından bu yana yazılım güncellemeleriyle devam eden Ivantis ICS'deki yazılım güncellemeleri ile kapatılan saldırıları inceledi.
(DMK)
Bir güvenlik bildiriminde Ivanti, zayıf noktaya gözlenen saldırılara karşı uyarır ve başlangıçta yapılan yanlış değerlendirmeyi kabul eder. Bu nedenle, detaylı açıklanmamış, yığın tabanlı taşma taşmasıdır. Saldırganlar, kötü amaçlı kodu kabul etmek ve yürütmek için önceden kimlik doğrulaması yapmadan onu ağdan kötüye kullanabilir (CVE 2025-22457, CVSS 9.0Risk “eleştirel“).
Saldırılar Çin'den geliyor
Google'ın BT güvenlik iştiraki Mandiant, Mart ortasından beri Ivanti ile birlikte gözlemlenen güvenlik sızıntısına yapılan saldırıları inceledi. Mantiant'ın analizine göre, Çin'den bir siber çeteye kadar izlenebilirler. Bu, “Trailblaze” adlı bir damlalık kurmuş ve sadece bellekte aktif ve ICS örneklerinde “Brushfire” adıyla pasif bir arka kapı oluşturmuştu. Kötü amaçlı yazılımların “yumurtlama” ekosisteminden dağılımı, Çin kökenli olan UNC5221'e atanan BT araştırmacılarını da gözlemledi.
Ivanti orijinal yanlış yargıyı kabul ediyor: “Bu zayıf nokta, Ivanti Connect Secure 22.7R2.6'da (11 Şubat 2025'te yayınlandı) tamamen yamalandı ve başlangıçta üründe hata olarak tanımlandı”. Şirket ayrıca bunun nasıl ortaya çıktığını da açıklıyor: “Zayıf nokta, işaretler ve sayılarla sınırlı bir tampon taşmasıdır. Programcılar, güvenlik açığının uzaktan kodu kilitlemek ve yürütmeleri için kullanılamayacağı ve ayrıca bir hizmet reddi gereksinimlerini karşılamadığını tarttılar.” Ivanti ve BT güvenlik ortakları artık kötüye kullanımın yetenekli yöntemlerle mümkün olduğunu ve zaten vahşi doğada gerçekleştiğini buldular.
Üretici ayrıca şöyle açıklıyor: “Ivanti Secure (22.7R2.5 veya daha eski) ve destek sonunda nabız bağlantısı Connect Secure 9.1x aletleri, güvenlik açığı bilgilerinin dezavantajı sırasında kullanıldı.” Ivanti, tüm müşterilere, güvenlik açığını mühürleyen Ivanti Connect Secure 22.7R2.6'yı kullandıklarını en kısa zamanda önermelerini önerir.
Ivanti Connect Secure 22.7R2.5 ve önceki sürümler, Pulse Connect Secure 9.1R18.9 ve daha büyük (elde edilen hizmet sonu), Ivanti Policy Secure 22.7R1.3 ve önceki sürümlerin yanı sıra ZTA geçitleri 22.8R2 ve daha eski standlar. Hata Ivanti Connect Secure 22.7R2.6 – bu da Pulse Connect Secure için bir güvenlik düzeltmesi olarak hizmet etmelidir – ve Ivanti Policy Secure 22.7R1.4 (21 Nisan'da planlandı) ve ZTA Ağ Geçidi 22.8R2.2 (19 Nisan'da Bekleniyor)
ABD BT Güvenlik Otoritesi CISA, bu haftanın Pazartesi günü bir analizin sonuçlarını yayınladı. İçinde, Ocak ayından bu yana yazılım güncellemeleriyle devam eden Ivantis ICS'deki yazılım güncellemeleri ile kapatılan saldırıları inceledi.
(DMK)
