Ivanti, Ivanti Connect Secure (ICS) VPN yazılımındaki kritik bir güvenlik açığına yönelik aktif saldırılara karşı uyarıyor. Bu ve diğer güvenlik açığı Ivanti Policy Secure ve Ivanti ZTA ağ geçitlerini de etkiliyor. ICS için güncellemeler mevcut, Ivanti yalnızca diğer iki ürün için güncellemeleri duyurdu.
Duyuru
Bir güvenlik tavsiyesinde Ivanti, güvenlik açıkları hakkında ayrıntılı bilgi veriyor. Şirket, saldırganların önceden kayıt olmadan kötü amaçlı kod eklemesine ve yürütmesine olanak tanıyan yığın tabanlı arabellek taşmasına dayalı saldırılar keşfetti (CVE-2025-0282, CVSS) 9.0“Risk”eleştirmen“). Ivanti, saldırıların tam olarak neye benzediğini açıklamıyor. İkinci bir güvenlik açığı da kayıtlı kullanıcıların haklarını artırmasına olanak tanıyan yığın tabanlı arabellek taşmasından oluşuyor (CVE-2025-0283, CVSS) 7.0, yüksek). Ancak Ivanti'ye göre bu güvenlik açığı şu anda istismar edilmiyor.
Mandiant saldırısının ayrıntıları
Bir Google bağlı kuruluşu olan Mandiant, blogunda saldırıların ilk analizini sunuyor. Başarılı saldırıların ardından saldırganlar, Mandiant Spawn adlı ekosistemden ve aynı zamanda Dryhook ve Phasejam adlı kötü amaçlı yazılım ailelerinden gelen kötü amaçlı yazılımları da yükledi. Güvenlik açığından yararlanmalar, her ICS düzeltme eki düzeyi için sürüme özeldir. Kötü amaçlı yazılım daha sonra tüneller, web kabukları sağlar, güncellemeleri engeller, oturum açma verilerine erişir ve daha fazla hasara neden olabilir. Mandiant, UNC5337 saldırganlarını Çin'deki UNC5221'in bir alt grubu olarak tanımlıyor, bu da onların bir casusluk grubu olduğu anlamına geliyor.
Ivanti, az sayıda müşterinin saldırıya uğradığının farkında olduğunu söyledi. Mandiant, saldırıların Aralık 2024'ün ortalarında başladığını söylüyor. Analizler halen devam ediyor ve şu ana kadar elde edilen sonuçlar henüz ön hazırlık niteliğinde. Makalenin sonunda Mandiant, yöneticilerin BT'lerini incelemek ve saldırılara karşı uyarılmak için kullanabileceği güvenlik ihlali göstergelerini (IOC) ve faydalı YARA kurallarını listeliyor.
Ivanti, CVE-2025-0282 güvenlik açığına yönelik saldırıların Bütünlük Denetleyici Aracı (ICT) kullanılarak tespit edilebileceğini açıklıyor. Müşteriler, güvenlik konseptlerinin bir parçası olarak iç ve dış BİT'lerini dikkatle izlemelidir. Güncellenmiş yazılım da mevcuttur. Ivanti Connect Secure 22.7R2.5, 22.7R2 ila 22.7R.4 ile 9.1R18.9 ve önceki sürümlerdeki güvenlik açığını kapatır. Ivanti Policy Secure da savunmasızdır ancak internette açığa çıkması amaçlanmamıştır. Ivanti 21 Ocak için bir güncelleme duyurdu. Ivanti ZTA ağ geçitleri yalnızca “üretimde” olmadığında savunmasızdır. Ancak bir ağ geçidi oluşturulursa ve ZTA denetleyicisine bağlı değilse bir istismar mümkündür. Bunun için de 21 Ocak'ta bir yazılım yaması yayınlanacak.
Saldırganların hedefi yalnızca Ivantis VPN değil, aynı zamanda Sonicwall'un SonicOS veya SSL VPN'indeki sıfır gün güvenlik açığına karşı devam eden saldırılar da bu hafta Salı günü duyuruldu. Yine BT yöneticilerinin mevcut yazılım güncellemelerinin yüklendiğinden hızlı bir şekilde emin olmaları gerekir.
(Bilmiyorum)
Duyuru
Bir güvenlik tavsiyesinde Ivanti, güvenlik açıkları hakkında ayrıntılı bilgi veriyor. Şirket, saldırganların önceden kayıt olmadan kötü amaçlı kod eklemesine ve yürütmesine olanak tanıyan yığın tabanlı arabellek taşmasına dayalı saldırılar keşfetti (CVE-2025-0282, CVSS) 9.0“Risk”eleştirmen“). Ivanti, saldırıların tam olarak neye benzediğini açıklamıyor. İkinci bir güvenlik açığı da kayıtlı kullanıcıların haklarını artırmasına olanak tanıyan yığın tabanlı arabellek taşmasından oluşuyor (CVE-2025-0283, CVSS) 7.0, yüksek). Ancak Ivanti'ye göre bu güvenlik açığı şu anda istismar edilmiyor.
Mandiant saldırısının ayrıntıları
Bir Google bağlı kuruluşu olan Mandiant, blogunda saldırıların ilk analizini sunuyor. Başarılı saldırıların ardından saldırganlar, Mandiant Spawn adlı ekosistemden ve aynı zamanda Dryhook ve Phasejam adlı kötü amaçlı yazılım ailelerinden gelen kötü amaçlı yazılımları da yükledi. Güvenlik açığından yararlanmalar, her ICS düzeltme eki düzeyi için sürüme özeldir. Kötü amaçlı yazılım daha sonra tüneller, web kabukları sağlar, güncellemeleri engeller, oturum açma verilerine erişir ve daha fazla hasara neden olabilir. Mandiant, UNC5337 saldırganlarını Çin'deki UNC5221'in bir alt grubu olarak tanımlıyor, bu da onların bir casusluk grubu olduğu anlamına geliyor.
Ivanti, az sayıda müşterinin saldırıya uğradığının farkında olduğunu söyledi. Mandiant, saldırıların Aralık 2024'ün ortalarında başladığını söylüyor. Analizler halen devam ediyor ve şu ana kadar elde edilen sonuçlar henüz ön hazırlık niteliğinde. Makalenin sonunda Mandiant, yöneticilerin BT'lerini incelemek ve saldırılara karşı uyarılmak için kullanabileceği güvenlik ihlali göstergelerini (IOC) ve faydalı YARA kurallarını listeliyor.
Ivanti, CVE-2025-0282 güvenlik açığına yönelik saldırıların Bütünlük Denetleyici Aracı (ICT) kullanılarak tespit edilebileceğini açıklıyor. Müşteriler, güvenlik konseptlerinin bir parçası olarak iç ve dış BİT'lerini dikkatle izlemelidir. Güncellenmiş yazılım da mevcuttur. Ivanti Connect Secure 22.7R2.5, 22.7R2 ila 22.7R.4 ile 9.1R18.9 ve önceki sürümlerdeki güvenlik açığını kapatır. Ivanti Policy Secure da savunmasızdır ancak internette açığa çıkması amaçlanmamıştır. Ivanti 21 Ocak için bir güncelleme duyurdu. Ivanti ZTA ağ geçitleri yalnızca “üretimde” olmadığında savunmasızdır. Ancak bir ağ geçidi oluşturulursa ve ZTA denetleyicisine bağlı değilse bir istismar mümkündür. Bunun için de 21 Ocak'ta bir yazılım yaması yayınlanacak.
Saldırganların hedefi yalnızca Ivantis VPN değil, aynı zamanda Sonicwall'un SonicOS veya SSL VPN'indeki sıfır gün güvenlik açığına karşı devam eden saldırılar da bu hafta Salı günü duyuruldu. Yine BT yöneticilerinin mevcut yazılım güncellemelerinin yüklendiğinden hızlı bir şekilde emin olmaları gerekir.
(Bilmiyorum)