Ivanti, bilgisayar korsanlarının, cihazlara kötü amaçlı yazılım yüklemek için sıfır gün saldırılarında CVE-2025-0282 olarak izlenen bir Bağlantı Güvenli Uzak Kod Yürütme güvenlik açığı kullandığını uyarıyor.
Şirket, Ivanti Integrity Checker Aracı (BİT) müşterilerin cihazlarında kötü niyetli etkinlik tespit ettikten sonra güvenlik açıklarının farkına vardığını söyledi. Ivanti bir soruşturma başlattı ve tehdit aktörlerinin CVE-2025-0282'yi sıfır gün olarak aktif olarak sömürdüğünü doğruladı.
CVE-2025-0282, 22.7R2.5 sürümünden önce Ivanti Connect Secure'de kritik (9.0) yığın tabanlı bir arabellek taşma hatası, 22.7R1.2 sürümünden önce Ivanti politikası ve 22.7R2.3 sürümünden önce Ivanti nöronları. Bu, kimlik doğrulanmamış bir saldırganın cihazlarda uzaktan kod yürütmesine izin verir.
Kusur her üç ürünü de etkilerken, Ivanti sadece Ivanti Connect Güvenli cihazlarda sömürüldüğünü gördüklerini söylüyor.
IVanti blog yazısı, "İfşa sırasında CVE-2025-0282 tarafından kullanılan sınırlı sayıda müşterinin Ivanti Connect Güvenli cihazlarının farkındayız."
Diyerek şöyle devam etti: "Bu CVES'in IVANTI Politika Güvenli veya ZTA Gateways için nöronlarda kullanıldığının farkında değiliz."
Ivanti, 22.7R2.5 ürün yazılımı sürümünde çözülen Ivanti Connect Secure için güvenlik yamalarını koştu.
Ancak, bugün yayınlanan bir güvenlik bültenine göre, Ivanti Politikası Yamaları Güvenli ve ZTA Gateways için Ivanti nöronları 21 Ocak'a kadar hazır olmayacak.
Ivanti Politikası Güvenli: Bu çözüm İnternet'e bakma amaçlanmamıştır, bu da sömürü riskini önemli ölçüde daha düşük hale getirir. Ivanti Policy Secure için düzeltme, 21 Ocak 2025'te piyasaya sürülecek ve standart indirme portalında sunulacak. Müşteriler her zaman IPS cihazlarının Ivanti önerilerine göre yapılandırılmasını ve İnternet'e maruz bırakmamasını sağlamalıdır. Bu CVES'in Ivanti Politikası Güvenli'de kullanılmasının farkında değiliz.
ZTA Gateways için Ivanti Nöronları: Ivanti Nöronları ZTA Gateways üretim sırasında kullanılamaz. Bu çözüm için bir ağ geçidi oluşturulur ve bir ZTA kontrolörüne bağlı kalmazsa, üretilen ağ geçidinde sömürü riski vardır. Düzeltmenin 21 Ocak 2025'te piyasaya sürülmesi planlanıyor. Bu CV'lerin ZTA Gateways'te kullanılmasının farkında değiliz.
Şirket, tüm Ivanti Connect Secure yöneticilerinin iç ve harici BİT taramalarını yapmasını önerir.
Taramalar temiz olursa, Ivanti hala Ivanti Connect Secure 22.7R2.5'e yükseltmeden önce yöneticilerin bir fabrika sıfırlaması yapmanızı önerir.
Ancak, taramalar bir uzlaşma belirtileri gösterirse, Ivanti bir fabrika sıfırlamasının yüklü kötü amaçlı yazılımları kaldırması gerektiğini söylüyor. Cihaz daha sonra 22.7R2.5 sürümünü kullanarak üretime geri konulmalıdır
Bugünün güvenlik güncellemeleri, CVE-2025-0283 olarak izlenen ikinci bir güvenlik açığını da düzeltir; Bu kusur, kimlik doğrulamalı bir yerel saldırganın ayrıcalıklarını artırmasına izin verir.
Ivanti, saldırıları araştırmak için Mantiant ve Microsoft Tehdit İstihbarat Merkezi ile çalışırken, muhtemelen tespit edilen kötü amaçlı yazılımlarla ilgili raporları kısa süre içinde göreceğiz.
BleepingComputer, saldırılarla ilgili başka sorularla Ivanti ile temasa geçti ve bir yanıt alırsak bu hikayeyi güncelleyecek.
Ekim ayında Ivanti, saldırılarda aktif olarak sömürülen üç bulut hizmeti cihazı (CSA) sıfır günlerini düzeltmek için güvenlik güncellemeleri yayınladı.
Ivanti Zero-Gün Saldırıları Enfekte Cihazlar Özel Kötü Yazılımlarla
Satılmamış kritik kusurlar, süslü ürün tasarımcısı WordPress eklentisini etkiler
Yeni Botnet NVRS, TP-Link Yönlendiricilerdeki Güvenlik Açıklarını İstismar
Qualcomm sıfır gün hatalarına bağlı yeni Android novispy casus yazılım
KDE 4/5'teki sıfır gün hatası bir klasör açarak komutları yürütür
Kaynak: Bleeping Computer