Mayıs 2025’te Ivanti, üç farklı ürün grubunda önemli güvenlik açıklarını duyurdu. Bu makalede, tespit edilen zaafiyetlerin teknik detaylarını, saldırı vektörlerini, IOC’leri ve geçici çözüm yöntemlerini detaylı olarak inceleyeceğiz.
1. Ivanti EPMM’de RCE Zafiyeti Zinciri (CVE-2025-4427 & CVE-2025-4428)
Teknik Detaylar
Bu kritik zafiyet zinciri, iki ayrı güvenlik açığının kombinasyonu olarak çalışmaktadır:
- CVE-2025-4427 (CVSS: 5.3) – API bileşenindeki kimlik doğrulama bypass zaafiyeti
- Saldırganlar, API uç noktalarına kimlik doğrulama olmadan erişim sağlayabilir
- Açık, EPMM’de kullanılan açık kaynak kütüphanelerinden kaynaklanıyor
- CVE-2025-4428 (CVSS: 7.2) – API aracılığıyla uzaktan kod çalıştırma zaafiyeti
- Özel hazırlanmış API istekleri kullanılarak hedef sistemde keyfi kod çalıştırılabilir
- Kimlik doğrulama bypass açığı ile birleştirildiğinde, kimliksiz RCE sağlar
Etkilenen Versiyonlar (Detaylı)
- 11.12.0.4 ve öncesi (11.12.0.5 ile düzeltildi)
- 12.3.0.1 ve öncesi (12.3.0.2 ile düzeltildi)
- 12.4.0.1 ve öncesi (12.4.0.2 ile düzeltildi)
- 12.5.0.0 ve öncesi (12.5.0.1 ile düzeltildi)
Saldırı Tespiti
Şu anda Ivanti, istismar edilmiş sistemlerde güvenilir IOC’ler paylaşmamıştır, ancak güvenlik ekipleri şu belirtilere dikkat etmelidir:
- API erişim günlüklerinde anormal istek modelleri
- Kimlik doğrulama olmadan API erişim denemeleri
- Yetkisiz sistem komutlarının çalıştırılması
- Shadowserver verilerine göre açık EPMM örnekleri çoğunlukla Almanya (992) ve ABD’de (418) bulunmaktadır
Geçici Çözüm (Workaround)
Yama uygulanamayan sistemler için teknik azaltma yöntemleri:
# API erişimini kısıtlamak için Portal ACL yapılandırması
- Portal ACLs > Add New Rule
- Source IP: [Güvenilir IP adresleri]
- Action: Allow
- Deny All Others: Yes
# Web Uygulama Güvenlik Duvarı (WAF) Konfigürasyonu
- Block non-whitelisted API paths
- Implement rate limiting for API endpoints
- Block suspicious HTTP methods
2. Neurons for ITSM Kimlik Doğrulama Bypass (CVE-2025-22462)
Teknik Detaylar
Bu kritik zafiyet (CVSS 9.8), IIS web sunucusu üzerinde çalışan Neurons for ITSM’deki kimlik doğrulama mekanizmasında bulunan bir açıktan kaynaklanmaktadır. Zafiyet, saldırganların kimlik doğrulama sürecini tamamen atlamasına ve sistemde yönetici ayrıcalıklarıyla oturum açmasına olanak tanımaktadır.
Saldırı Vektörü
Zafiyet, çoğunlukla aşağıdaki vektörler üzerinden istismar edilebilir:
- Açık IIS web sunucusu üzerinden erişim
- Doğrudan yönetim arayüzüne yönlendirilen HTTP/HTTPS istekleri
- Kimlik doğrulama kontrol mekanizmalarının atlatılması
IIS Güvenlik Yapılandırması
Güvenlik açığını azaltmak için IIS güvenlik önlemleri (Çevresel CVSS puanını 9.8’den 6.9’a düşürür):
<!-- IIS Web.config güvenlik yapılandırması -->
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<!-- Sadece güvenilir IP'lere izin ver -->
<add ipAddress="192.168.1.0" subnetMask="255.255.255.0" allowed="true" />
<add ipAddress="10.10.0.0" subnetMask="255.255.0.0" allowed="true" />
</ipSecurity>
</security>
<!-- İlave güvenlik başlıkları -->
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
<add name="X-XSS-Protection" value="1; mode=block" />
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>
</system.webServer>
DMZ Yapılandırması
Harici erişim için güvenilir DMZ konfigürasyonu:
[İnternet] --> [Dış Güvenlik Duvarı] --> [DMZ'de Reverse Proxy] --> [İç Güvenlik Duvarı] --> [ITSM Sunucusu]
DMZ Yapılandırma Notları:
- Sadece 443 portu dışa açık
- TLS 1.2+ zorunlu
- Oturum zaman aşımı: 15 dakika
- Brute force koruması aktif
3. Cloud Services Application Yetki Yükseltme (CVE-2025-22460)
Teknik Detaylar
Bu yüksek önemli zafiyet (CVSS 7.8), CSA’nın aşağıdaki vektör ile sınıflandırılan bir güvenlik açığıdır:
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Bu vektör şunları gösterir:
- AV:L – Yerel erişim gerektirir
- AC:L – Düşük saldırı karmaşıklığı
- PR:L – Düşük ayrıcalık gerektirir
- UI:N – Kullanıcı etkileşimi gerekmez
- S:U – Etki kapsamı değişmiyor
- C:H/I:H/A:H – Gizlilik, bütünlük ve erişilebilirlik üzerinde yüksek etki
Güncelleme Sorunu
CSA 5.0.5 sürümüne yükseltme, yamayı otomatik olarak uygulamamaktadır. Aşağıdaki ek adımlar gereklidir:
# CSA 5.0.5 yüklemesinden sonra varsayılan kimlik bilgilerini değiştirmek için:
1. Yönetici hesabıyla giriş yapın
2. Komut satırına erişin:
$ ssh admin@<CSA-IP-ADDRESS>
3. Yapılandırma moduna girin:
> enable
> configure terminal
4. Varsayılan kimlik bilgilerini değiştirin:
(config)# security default-credentials remove all
5. Yapılandırmayı kaydedin:
(config)# write memory
Şüpheli Etkinlik Belirtileri
Sistemlerinizde bu zafiyetin istismar edilip edilmediğini kontrol etmek için aşağıdaki güvenlik günlüklerini inceleyin:
- Yetkilendirme günlüklerinde beklenmeyen ayrıcalık değişiklikleri
- Local-to-root eskalasyon girişimleri
- Dahili sistem komut günlüklerinde şüpheli aktivite
- Bilinen düşük ayrıcalıklı hesaplardan yüksek ayrıcalıklı işlemler
Test ve Doğrulama Teknikleri
Sistemlerinizin zaafiyetlere karşı savunmasız olup olmadığını kontrol etmek için kullanabileceğiniz test komutları:
EPMM API Erişim Testi
# API erişim testi (güvenli bir ortamda uygulayın)
curl -k -v "https://<EPMM-SERVER>/api/v1/dm/devices" -H "Accept: application/json"
# Sonuç 401 (Unauthorized) dönmeli. 200 (OK) alırsanız, sistem savunmasız olabilir.
Neurons for ITSM IIS Sıkılaştırma Testi
# IIS kısıtlamalarını kontrol etme (PowerShell)
Import-Module WebAdministration
Get-WebConfiguration -Filter "/system.webServer/security/ipSecurity" -PSPath "IIS:\Sites\Default Web Site"
# IP kısıtlamaları listelenmeli, "allowUnlisted" değeri "false" olmalı
CSA Varsayılan Kimlik Bilgileri Testi
# Varsayılan kimlik bilgilerinin hala geçerli olup olmadığını test etme
ssh defaultuser@<CSA-IP-ADDRESS>
# Varsayılan kimlik bilgileri çalışmamalıdır
Güvenlik Güncellemelerini Uygulama
Her ürün için kritik güvenlik güncellemeleri:
EPMM için Güncel Sürümler
- 11.12.0.5
- 12.3.0.2
- 12.4.0.2
- 12.5.0.1
Neurons for ITSM için Güvenlik Yamaları
- 2023.4 Mayıs 2025 Güvenlik Yaması
- 2024.2 Mayıs 2025 Güvenlik Yaması
- 2024.3 Mayıs 2025 Güvenlik Yaması
CSA Güvenlik Güncellemesi
- CSA 5.0.5 (ek manuel yapılandırma gerektirir)
Sonuç
Ivanti ürünlerinde tespit edilen bu güvenlik açıkları, özellikle EPMM zaafiyetlerinin halihazırda kullanıldığı düşünüldüğünde, kritik sistemlerin hızla yamalanmasını gerektirmektedir. Teknik ekipler, gecikmeden güvenlik güncellemelerini uygulamalı, IIS güvenlik önlemlerini sıkılaştırmalı ve şüpheli etkinlikler için sistemleri sürekli izlemelidir.
İlave güvenlik önlemleri için, güvenlik sıkılaştırma kılavuzları ve ürün belgelerindeki detaylı yapılandırma adımlarını takip etmeniz önerilir.
About the Author
