Geliştiriciler başlangıçta VPN Connect Secure Software (ICS) 'de bir sorunu basit bir hata olarak değerlendirdi. Şimdi, zaten ekranda suçluların ve savunmasız sistemlere yönelik saldırılar için kötüye kullanımın gerçek bir kritik güvenlik boşluğu olduğu ortaya çıkıyor.
Bir güvenlik bildiriminde Ivanti, zayıf noktaya yapılan gözlemlenen saldırılara karşı uyarır ve başlangıçta yanlış değerlendirmeyi kabul eder. Bu nedenle, yığın temelli olarak açıklanmayan yığın üzerine dayalı bir taşma taşmasıdır. Saldırganlar, zararlı bir kodu kabul etmek ve oluşturmak için önceki kimlik doğrulaması olmadan onu ağdan kötüye kullanabilir (CVE 2025-22457, CVSS 9.0Risk “eleştirmen“).
Saldırılar Çin'den geliyor
Google Mantiant'ın BT Güvenlik iştiraki, Ivanti ile birlikte Orta March'dan gözlemlenen güvenlik kaybına yönelik saldırıları inceledi. Mantiant'ın analizine göre, Çin'den bir bilgisayar grubuna kadar izlenebilirler. Bu, sadece bellekte aktif olan “Trailblaze” adlı bir damlalık ve ICS isteklerinde “Brushfire” adıyla pasif bir arka kapı oluşturmuştu. Kötü amaçlı yazılımların ekosistem “Spawn” dan dağılımı, Çin kökenli olan APT UNC5221 grubuna atanan BT araştırmacılarını da gözlemledi.
Ivanti orijinal yargıyı kabul ediyor: “Bu zayıf nokta Ivanti Connect Secure 22.7R2.6'da (11 Şubat 2025'te yayınlandı) tamamen yamalandı ve başlangıçta üründe bir hata olarak tanımlandı”. Şirket ayrıca bunun nasıl olduğunu açıklıyor: “Zayıf nokta, işaretler ve sayılarla sınırlı bir taşma tamponudur. Programcılar, güvenlik açığının kodu iç içe geçip gerçekleştirmek için uzaktan istismar edilemeyeceğini değerlendirdi ve ayrıca hizmetin reddedilmesi gereksinimlerini karşılamıyor.” Ivanti ve BT güvenlik ortakları artık kötüye kullanımın yetenekli yöntemlerle mümkün olduğunu ve doğada zaten meydana geldiğini keşfettiler.
Üretici ayrıca şöyle açıklıyor: “Ivanti güvenli cihazları (22.7R2.5 veya önceki) bağlayan sınırlı sayıda müşterinin farkındayız ve Pulse Connect 9.1x aletleri, güvenlik açığı ile ilgili dezavantajlı bilgiler sırasında kullanıldı”. Ivanti, Ivanti'nin güvenlik açığını mühürleyen 22.7R2.6 kullanma işleminin mümkün olan en kısa sürede olduğundan emin olmak için tüm müşterilere önerir.
Ivanti Connect Secure 22.7R2.5 ve önceki sürümler, Pulse Connect Secure 9.1R18.9 ve daha büyük (ulaşıldı), Ivanti Politika Güvenli 22.7R1.3 ve önceki sürümlerin yanı sıra ZTA 22.8R2 Ağ Geçitleri ve en eski standlar. Ivanti Connect Secure 22.7R2.6 – Pulse Connect Secure için bir güvenlik çözümü olarak da işlev görmesi gereken hatası ve ayrıca güvenli politika 22.7R1.4 (21 Nisan için planlanmıştır) ve ZTA Gateways 22.8R2.2 (19 Nisan için planlanmıştır)
Amerika Birleşik Devletleri Güvenlik Otoritesi CISA, bu haftanın Pazartesi günü bir analizin sonuçlarını yayınladı. İçinde, Ocak ayından bu yana yazılım güncellemeleri ile devam eden Ivantis ICS'deki yazılım güncellemeleri ile kapatılan saldırıları inceledi.
(DMK)
Bir güvenlik bildiriminde Ivanti, zayıf noktaya yapılan gözlemlenen saldırılara karşı uyarır ve başlangıçta yanlış değerlendirmeyi kabul eder. Bu nedenle, yığın temelli olarak açıklanmayan yığın üzerine dayalı bir taşma taşmasıdır. Saldırganlar, zararlı bir kodu kabul etmek ve oluşturmak için önceki kimlik doğrulaması olmadan onu ağdan kötüye kullanabilir (CVE 2025-22457, CVSS 9.0Risk “eleştirmen“).
Saldırılar Çin'den geliyor
Google Mantiant'ın BT Güvenlik iştiraki, Ivanti ile birlikte Orta March'dan gözlemlenen güvenlik kaybına yönelik saldırıları inceledi. Mantiant'ın analizine göre, Çin'den bir bilgisayar grubuna kadar izlenebilirler. Bu, sadece bellekte aktif olan “Trailblaze” adlı bir damlalık ve ICS isteklerinde “Brushfire” adıyla pasif bir arka kapı oluşturmuştu. Kötü amaçlı yazılımların ekosistem “Spawn” dan dağılımı, Çin kökenli olan APT UNC5221 grubuna atanan BT araştırmacılarını da gözlemledi.
Ivanti orijinal yargıyı kabul ediyor: “Bu zayıf nokta Ivanti Connect Secure 22.7R2.6'da (11 Şubat 2025'te yayınlandı) tamamen yamalandı ve başlangıçta üründe bir hata olarak tanımlandı”. Şirket ayrıca bunun nasıl olduğunu açıklıyor: “Zayıf nokta, işaretler ve sayılarla sınırlı bir taşma tamponudur. Programcılar, güvenlik açığının kodu iç içe geçip gerçekleştirmek için uzaktan istismar edilemeyeceğini değerlendirdi ve ayrıca hizmetin reddedilmesi gereksinimlerini karşılamıyor.” Ivanti ve BT güvenlik ortakları artık kötüye kullanımın yetenekli yöntemlerle mümkün olduğunu ve doğada zaten meydana geldiğini keşfettiler.
Üretici ayrıca şöyle açıklıyor: “Ivanti güvenli cihazları (22.7R2.5 veya önceki) bağlayan sınırlı sayıda müşterinin farkındayız ve Pulse Connect 9.1x aletleri, güvenlik açığı ile ilgili dezavantajlı bilgiler sırasında kullanıldı”. Ivanti, Ivanti'nin güvenlik açığını mühürleyen 22.7R2.6 kullanma işleminin mümkün olan en kısa sürede olduğundan emin olmak için tüm müşterilere önerir.
Ivanti Connect Secure 22.7R2.5 ve önceki sürümler, Pulse Connect Secure 9.1R18.9 ve daha büyük (ulaşıldı), Ivanti Politika Güvenli 22.7R1.3 ve önceki sürümlerin yanı sıra ZTA 22.8R2 Ağ Geçitleri ve en eski standlar. Ivanti Connect Secure 22.7R2.6 – Pulse Connect Secure için bir güvenlik çözümü olarak da işlev görmesi gereken hatası ve ayrıca güvenli politika 22.7R1.4 (21 Nisan için planlanmıştır) ve ZTA Gateways 22.8R2.2 (19 Nisan için planlanmıştır)
Amerika Birleşik Devletleri Güvenlik Otoritesi CISA, bu haftanın Pazartesi günü bir analizin sonuçlarını yayınladı. İçinde, Ocak ayından bu yana yazılım güncellemeleri ile devam eden Ivantis ICS'deki yazılım güncellemeleri ile kapatılan saldırıları inceledi.
(DMK)