Ivanti Alarm Veriyor: Connect Secure’da Saldırılar Artıyor, Zero-Day Var Yama Yok!

Ivanti, Connect Secure (ICS) ve Policy Secure’de keşfedilen iki zero-day açığını açıkladı.

İlk güvenlik açığı (CVE-2023-46805), kimlik doğrulama zafiyeti. Saldırganlara kaynaklara erişim sağlama olanağı tanıyor. İkinci açık (CVE-2024-21887yöneticilere özel olarak hazırlanan istekleri göndererek zafiyet içeren cihazlarda RCE’e izin veriyor.

.@Volexity detected an incident where it discovered a threat actor chained 2 #0days in Ivanti Connect Secure, CVE-2023-46805/CVE-2024-21887, to achieve RCE, modifying components of the software to backdoor the device.https://t.co/RibC5G0aOp#dfir #threatintel #memoryforensics

— Volexity (@Volexity) January 10, 2024

Mandiant ve Volexity tarafından bildirilen bu iki zero-day’i birleştirdiğinde saldırganlar, etkilenen ürünlerin desteklenen tüm sürümlerinde RCE yapabiliyor.

Ivanti, yamaların 22 Ocak haftası müşterilere sunulmaya hedeflendiğini ve son sürümünün 19 Şubat haftası dağıtılacağını duyurdu.

Yamalar dağıtılana kadar Ivanti’nin indirme portalı aracılığıyla sunulan mitigation.release.20240107.1.xml dosyasını içe aktararak zafiyetin etkilerinin hafifletilebileceği bilirtiliyor.

Shodan’da şu anda online olarak yaklaşık 15,000 Connect Secure (ICS) ve Policy Secure geçidi bulunmakta.

Ivanti’nin ürünleri, dünya genelinde 40,000’den fazla şirket tarafından IT varlıklarını ve sistemlerini yönetmek için kullanılmakta.