Binlerce Ivanti Connect Güvenli ve Politika Güvenli uç noktaları, ilk olarak bir aydan fazla bir süre önce açıklanan ve satıcının kademeli olarak yamalandığı birden fazla güvenlik sorununa karşı savunmasız kalıyor.
Kusurlar CVE-2024-22024, CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 ve CVE-2024-21888'dir. Şiddetleri yüksekten kritiklere kadar değişir ve kimlik doğrulama bypass, sunucu tarafı telafisi sahteciliği, keyfi komut yürütme ve komut enjeksiyon problemleri ile ilgilidir.
Bu güvenlik açıklarının bazıları, ulus devlet aktörleri tarafından geniş bir tehdit aktörleri tarafından daha büyük bir ölçekte kaldırılmadan önce kullanıldığı bildirilmiştir.
CVE-2024-22024 ile başlayarak, sorun Ivanti Connect Secure, Politika Güvenli ve ZTA Ağ Geçidi SAML bileşeninde, kısıtlı kaynaklara yönlendirilmiş erişime izin veren bir XXE güvenlik açığıdır.
Birincisi geçen hafta açıklandı ve henüz aktif sömürü onaylanmadan satıcı, mevcut bir yama yoksa, mevcut güvenlik güncellemelerini veya hafifletmelerini hemen uygulamanın kritik olduğunu tavsiye etti.
Bugün yayınlanan bir Akamai raporu, bu kusuru hedefleyen tarama etkinliğinin daha önce başladığını, 240.000 talep ve 11 Şubat 2024'te yük göndermeye çalışan 80 IP'lere zirveye çıktığını belirtiyor.
Tehdit İzleme Hizmeti Shadowserver, İnternet taramalarının CVE-2024-22024'e karşı savunmasız 3.900'den fazla Ivanti uç noktası gösterdiğini bildirdi. Çoğu Amerika Birleşik Devletleri'nde (1.262).
Organizasyon, kimliği doğrulanmış yöneticilerin özel olarak hazırlanmış talepler göndererek savunmasız cihazlarda keyfi komutlar yürütmesine izin veren bir kusur olan CVE-2024-21887'ye karşı hala savunmasız olan yaklaşık 1.000 Ivanti uç noktaları gördü.
Güvenlik açığı ilk olarak 10 Ocak 2024'te sıfır gün olarak açıklandı ve bir kimlik doğrulama baypas sorunu olan CVE-2023-46805 ile birlikte Çinli bilgisayar korsanları tarafından kullanıldığı bildirildi.
MacNica'da bir güvenlik araştırmacısı olan Yutaka Sejiyama, Shodan tarama sonuçlarını bugün erken saatlerde BleepingComputer ile paylaştı ve 15 Şubat 2024, 00:15 UTC'den itibaren, henüz CVE-2024-21893 için yamalar uygulamamış olduğunu bildirdi. , CVE-2024-21888, CVE-2023-46805 ve CVE-2024-21887.
Bu dört güvenlik açığı için güvenlik güncellemeleri, bir ay önce 31 Ocak 2024'te Ivanti tarafından sunuldu.
Araştırmacıya göre, internete maruz kalan Ivanti sunucularının toplam sayısı 24.239'dur, yani bunların yarısından fazlası açılmamıştır.
8 Şubat 2024'te açıklanan ve sabitlenen CVE-2024-22024 ile ilgili olarak, Sejiyama'nın araştırması bugün itibariyle% 77,3'lük küresel bir yama yüzdesi gösteriyor ve tehlikeli yetkisiz erişim flaw'a maruz kalan 5.496 sunucu bırakıyor.
Ne yazık ki, Ivanti ürünlerini etkileyen kusurlar kısa bir süre boyunca açıklandı ve yöneticiye yamaları uygulamaya hazırlanması için çok az zaman verdi.
Bu, iyileştirme çabalarını karmaşıklaştırır ve Ivanti sistemlerinin uzun süreler için savunmasız kalma riskini artırır ve tehdit aktörlerine büyük bir potansiyel kurban listesi sağlar.
Güncelleme 2/15 - Akamai rapor istatistikleri eklendi
Güncelleme 2/16-CVE-2024-22024'e maruz kalan düzeltilmiş sunucu sayısı
Bilgisayar korsanları, yeni DSLOG Backdoor'u dağıtmak için Ivanti SSRF Kusurdan İstismar
En yeni IVANTI SSRF ZERO-DAY Şimdi kitlesel sömürü altında
Kamu istismarlarını kullanarak RCE saldırılarına maruz kalan 45K Jenkins sunucuları
Sıfır tıklatıcı hesap devralma saldırılarına maruz kalan 5.300'den fazla GITLAB sunucusu
Ivanti Connect Secure Sıfır Günleri Özel Kötü Yazılım Dağıtmak İçin Söküldü
Kaynak: Bleeping Computer