Ivanti, Connect Secure ve Policy Secure ürünlerinde keşfedilen kritik güvenlik açıklarını duyurdu. Bu açıklar, kötü niyetli aktörlerin sistemlere sızmasına ve uzaktan kod çalıştırmasına olanak tanıyabilir. Kullanıcıların, sistemlerini güvende tutabilmesi için hızlıca yamalar uygulaması gerekmektedir.
Güvenlik Açıklarının Teknik Detayları
CVE-2023-46805: Yetkisiz Erişim Açığı
Bu açıklık, Ivanti Connect Secure ve Policy Secure’de kimlik doğrulama mekanizmasını atlatmaya izin verir. Saldırganlar, sistem üzerinde yetkisiz işlemler gerçekleştirebilir.
Etki Düzeyi: Kritik
Saldırı Vektörü: Uzak erişim (Remote Exploitation)
Etkilenen Ürünler: Ivanti Connect Secure ve Ivanti Policy Secure
Saldırının Detayları: Kimlik doğrulama mekanizmasındaki zafiyet, saldırganların erişim kontrolünü atlayarak sistem kaynaklarına yetkisiz erişim sağlamasına olanak tanır. Bu durum, hassas bilgilerin sızdırılması ve sistem üzerinde zararlı işlemler gerçekleştirilmesine neden olabilir.
Teknik Detay:
POST /api/v1/auth HTTP/1.1 Host: target-ivanti-device Authorization: Bearer <geçersiz-token> Bu istek, kimlik doğrulama mekanizması atlanarak sisteme erişim sağlanmasına neden olabilir.CVE-2024-21887: Komut Enjeksiyonu Açığı
Bu zafiyet, yönetici haklarına sahip olmayan saldırganların zararlı komutlar enjekte etmesine ve sistemde kötü amaçlı kod çalıştırmasına imkan tanır.
Etki Düzeyi: Kritik
Saldırı Vektörü: Uzak erişim (Remote Exploitation)
Etkilenen Ürünler: Ivanti Connect Secure ve Ivanti Policy Secure
Saldırının Detayları: Güvenlik açığı, web tabanlı yönetim arayüzündeki input doğrulama eksikliğinden kaynaklanmaktadır. Saldırganlar, özel olarak hazırlanmış HTTP istekleri ile zararlı komutlar çalıştırabilir.
Teknik Detay:
POST /api/v1/config HTTP/1.1 Host: target-ivanti-device Content-Type: application/json { "command": "$(rm -rf /)", "param": "test" } Bu komut enjeksiyonu saldırısı, sistem üzerinde zararlı kodların çalıştırılmasına neden olabilir.Zincirleme Saldırı Senaryosu
CVE-2023-46805 ve CVE-2024-21887 açıkları birlikte kullanılarak zincirleme saldırılar gerçekleştirilebilir. Saldırganlar, önce kimlik doğrulama bypass açığı ile sisteme erişim sağlayabilir ve ardından komut enjeksiyonu açığını kullanarak sistem üzerinde tam yetki elde edebilir.
Örnek Saldırı Akışı:
- Kimlik doğrulama atlatılarak sisteme erişim sağlanır (CVE-2023-46805).
- Ardından özel hazırlanmış komutlarla sistem üzerinde zararlı kod çalıştırılır (CVE-2024-21887).
- Sistemin tamamen ele geçirilmesi ve hassas verilere erişim sağlanır.
Etkilenen Sürümler ve Yükseltme Önerileri
| Ürün | Etkilenen Sürümler | Güvenli Sürüm Önerisi |
|---|---|---|
| Ivanti Connect Secure | 9.x, 22.x | 9.1R15 veya daha yeni sürüm |
| Ivanti Policy Secure | 9.x, 22.x | 9.1R15 veya daha yeni sürüm |
Çözüm ve Öneriler
Ivanti, bu güvenlik açıklarını gidermek için yamalar yayımlamıştır. Kullanıcıların sistemlerini en kısa sürede güncellemeleri önemle tavsiye edilir. Ayrıca, sistemler üzerinde olağan dışı aktiviteler için log ve ağ trafiği analiz edilmelidir.
Alınabilecek Önlemler:
- En son yamaların uygulanması
- Şüpheli aktiviteler için sistem loglarının incelenmesi
- Güvenlik duvarı ve IPS/IDS kurallarının gözden geçirilmesi
- Yönetim arayüzlerinin yalnızca güvenilir IP adreslerinden erişilebilir olması
- Çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi
Sonuç ve Öneriler
Bu tür kritik güvenlik açıkları, sistem güvenliğini ciddi şekilde tehdit etmektedir. Ivanti ürünlerini kullanan tüm kuruluşların acilen gerekli önlemleri alması büyük önem taşır. Sistemlerin güncellenmesi ve güvenlik yapılandırmalarının gözden geçirilmesi, saldırılara karşı etkili bir savunma oluşturacaktır.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #Ivanti #CVE202346805 #CVE202421887
About the Author
