Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. 13.000’den fazla Ivanti Ağ Geçinde Güvenlik Açığı Ortaya Çıktı

13.000’den fazla Ivanti Ağ Geçinde Güvenlik Açığı Ortaya Çıktı

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
430 0
Ağ Geçinde Güvenlik Açığı

13.000’den fazla Ivanti Ağ Geçinde Güvenlik Açığı Ortaya Çıktı

Ivanti Connect Secure ve Policy Secure son noktalarında, aylardan beri açıklanan ve satıcı tarafından kademeli olarak yamalanan birden fazla güvenlik sorununa karşı halen savunmasız binlerce cihaz bulunmaktadır.

Ağ Geçinde Güvenlik Açığı bunlardan oluşuyor;

CVE-2024-22024, CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 ve CVE-2024-21888’dir. Bunların ciddiyeti yüksekten kritik seviyeye kadar değişmekte olup kimlik doğrulama atlatma, sunucu tarafı istek sahteciliği, keyfi komut yürütme ve komut enjeksiyonu problemleriyle ilgilidir.

Bazı bu açıkların, geniş bir tehdit aktörü yelpazesi tarafından daha geniş ölçekte kullanılmadan önce, ulusal düzeydeki aktörler tarafından kullanıldığı rapor edilmiştir.

CVE-2024-22024 ile başlayarak, sorun, yetkisiz erişime izin veren Ivanti Connect Secure, Policy Secure ve ZTA ağ geçitlerinin SAML bileşeninde bir XXE açığıdır.

Geçen hafta ilk kez açıklanan ve henüz aktif bir istismarın doğrulanmadığı bir durumda, satıcı hemen mevcut güvenlik güncellemelerini veya yamaları uygulamanın kritik olduğunu tavsiye etti, eğer bir yama mevcut değilse.

Bugün yayınlanan bir Akamai raporu, bu özel zafiyeti hedef alan tarama faaliyetinin zaten başladığını ve 11 Şubat 2024’te 240.000 istek ve 80 IP’nin yük göndermeye çalıştığını belirtmektedir.

Tehdit izleme hizmeti Shadowserver’ın internet taramaları, CVE-2024-22024’e karşı savunmasız olan 3.900’den fazla Ivanti son noktayı göstermektedir. Bunların çoğu Amerika Birleşik Devletleri’nde (1.262) bulunmaktadır.

 Ağ Geçinde Güvenlik Açığı

Örgüt, hala CVE-2024-21887’den etkilenen yaklaşık 1.000 Ivanti son noktası gördü. Bu, yetkili yöneticilerin özel olarak oluşturulmuş istekler göndererek savunmasız cihazlarda keyfi komutlar yürütmelerine izin veren bir açıktır.

Bu açık ilk olarak 10 Ocak 2024’te bir sıfır-gün olarak açıklandı ve bildirildiğine göre Çinli hackerlar tarafından CVE-2023-46805 adlı bir kimlik doğrulama atlatma sorunu ile birlikte istismar edildi.

Güvenlik araştırmacısı Yutaka Sejiyama, bugün öğleden önce BleepingComputer ile paylaştığı Shodan tarama sonuçlarında, 15 Şubat 2024, 00:15 UTC itibarıyla, CVE-2024-21893, CVE-2024-21888, CVE-2023-46805 ve CVE-2024-21887 için yamalar uygulamamış 13.636 Ivanti sunucusu olduğunu bildirdi.

Bu dört zafiyet için güvenlik güncellemeleri, Ivanti tarafından 31 Ocak 2024 tarihinden çok önce sunulmuştur.

Araştırmacının belirttiğine göre, internete açık Ivanti sunucularının toplam sayısı 24.239’dur, bu da bunların yarısından fazlasının hala yamalanmamış olduğunu göstermektedir.

İlginizi çekebilecek yazımız: Fortinet, Kritik SSL VPN Açığına Karşı Uyardı!

8 Şubat 2024’te açıklanan ve düzeltilen CVE-2024-22024’e ilişkin olarak, Sejiyama’nın araştırması, bugün itibarıyla küresel olarak yüzde 77,3’lük bir yama oranı olduğunu ve tehlikeli yetkisiz erişim açığına sahip 5.496 sunucunun hala açık olduğunu göstermektedir.

Ne yazık ki, Ivanti ürünlerini etkileyen zafiyetler kısa bir süre içinde açıklandı, bu da yöneticilerin yamaları uygulamak için çok az zamanı olduğu anlamına gelir.

Bu, iyileştirme çabalarını karmaşık hale getirir ve Ivanti sistemlerinin uzun süre savunmasız kalma riskini artırır, tehdit aktörlerine potansiyel kurbanların büyük bir listesini sunar.

Güncelleme 2/15 – Akamai rapor istatistikleri eklendi

Güncelleme 2/16 – CVE-2024-22024’e maruz kalan sunucu sayısı düzeltildi

Haber Kaynağı: Bleeping Computer

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir