bencede
New member
Amerikalı üretici Ivanti için kötü haber devam ediyor. Ocak ayında ortaya çıkan “Connect Secure” ve “Policy Secure” ürünlerindeki güvenlik açıkları, saldırganların ele geçirilen sistemlerin derinliklerine sızmasına olanak tanıyor. ABD siber güvenlik kurumu CISA artık Ivanti'nin araçlarının bile arka kapıları güvenilir bir şekilde tespit edemediği konusunda uyarıyor.
Duyuru
Teşkilatın diğer ulusal güvenlik kurumlarıyla işbirliği içinde keşfettiği gibi, Ivanti tarafından sağlanan “Bütünlük Denetleme Aracı”, yani potansiyel olarak tehlikeye atılmış tesislerin bütünlüğünü doğrulamaya yönelik araç, kurnazca arka kapıdan kaçınma manevraları nedeniyle önceki sürümlerde amacına ulaşamadı. Bu nedenle CISA uzmanları, saldırganların arka kapılarını yalnızca yeniden başlatma ve güncelleme yoluyla değil, aynı zamanda fabrika ayarlarına sıfırlama yoluyla da kurtarabileceklerini varsayıyor.
Google'ın yan kuruluşu Mandiant tarafından yürütülen bir araştırma da benzer bir sonuca varıyor. Ünlü “Littlelamb.wooltea”, “Bushwalk” ve “Pithook” adlarını taşıyan birkaç arka kapı bileşenine daha yakından baktılar ve bir dizi karmaşık kamuflaj önlemi keşfettiler. Bushwalk arka kapısı, sahte HTTP kullanıcı aracıları (“App1eWebKit” ve büyük “i” ile “AppIeWebKit”) kullanılarak etkinleştirilebilir ve devre dışı bırakılabilir, akıl sağlığı kontrolünden hariç tutulan bir dizindeki akıl sağlığı kontrolünden gizlenir ve sistemin kendi işletim araçlarını kullanır. kendinizi şifrelemek ve şifresini çözmek için. “Bushwalk” ayrıca tespit edilmekten kaçınmak için ölü gibi davranabilir.
Kuzu rahatça yuva yapar
Ancak “Littlelamb.wooltea” kötü amaçlı yazılımı, yapılandırma ve çalışma zamanı verilerini almak için güncelleme prosedürünün bir parçası olarak cihazın içe aktardığı yerel bir sistem veri güncellemesine kendisini ekleyerek sistem yeniden başlatmalarından ve güncellemelerinden kurtulur. Kötü amaçlı yazılımın yazarları, fabrika ayarlarına sıfırlamayı, yani Ivanti ev cihazını fabrika ayarlarına döndürmeyi bile düşündüler. Ancak ilgilenen yöneticilerin şansına, yönteminiz yalnızca belirli cihazlarda çalışıyor.
Mandiant analistleri, saldırganların Ivanti ürün yazılımı hakkında ayrıntılı bilgiye sahip olduğu ve bunları Çin'de konumlandırdığı sonucuna varıyor. UNC5325 tanımlayıcısına sahip grubun diğer Çinli casusluk gruplarıyla işbirliği yaptığından ve esas olarak savunma sanayi, teknoloji ve telekomünikasyonu hedef aldığından şüpheleniyorlar.
Mandiant, Connect Secure cihazlarının onarımına yönelik kılavuzunun güncellenmiş bir versiyonunu sunmasına rağmen, üretici en azından tespit aracını güncelledi. Bunun yerine CISA, himaye ettiği kişilere bütünsel bir yaklaşım benimsemelerini tavsiye ediyor: Cihazların yine de ele geçirilmiş olduğu düşünülmeli ve gerekirse erişim ve VPN anahtarları geri yüklenmelidir.
Bu, siber güvenlik kurumunun Ivanti'nin güvenlik açıkları konusunda ilk uyarısı değil. Yaklaşık bir ay önce federal kurum, yetkisi altındaki tüm kurumlara Ivanti cihazlarını devre dışı bırakma emri verdi.
(cku)
Haberin Sonu
Duyuru
Teşkilatın diğer ulusal güvenlik kurumlarıyla işbirliği içinde keşfettiği gibi, Ivanti tarafından sağlanan “Bütünlük Denetleme Aracı”, yani potansiyel olarak tehlikeye atılmış tesislerin bütünlüğünü doğrulamaya yönelik araç, kurnazca arka kapıdan kaçınma manevraları nedeniyle önceki sürümlerde amacına ulaşamadı. Bu nedenle CISA uzmanları, saldırganların arka kapılarını yalnızca yeniden başlatma ve güncelleme yoluyla değil, aynı zamanda fabrika ayarlarına sıfırlama yoluyla da kurtarabileceklerini varsayıyor.
Google'ın yan kuruluşu Mandiant tarafından yürütülen bir araştırma da benzer bir sonuca varıyor. Ünlü “Littlelamb.wooltea”, “Bushwalk” ve “Pithook” adlarını taşıyan birkaç arka kapı bileşenine daha yakından baktılar ve bir dizi karmaşık kamuflaj önlemi keşfettiler. Bushwalk arka kapısı, sahte HTTP kullanıcı aracıları (“App1eWebKit” ve büyük “i” ile “AppIeWebKit”) kullanılarak etkinleştirilebilir ve devre dışı bırakılabilir, akıl sağlığı kontrolünden hariç tutulan bir dizindeki akıl sağlığı kontrolünden gizlenir ve sistemin kendi işletim araçlarını kullanır. kendinizi şifrelemek ve şifresini çözmek için. “Bushwalk” ayrıca tespit edilmekten kaçınmak için ölü gibi davranabilir.
Kuzu rahatça yuva yapar
Ancak “Littlelamb.wooltea” kötü amaçlı yazılımı, yapılandırma ve çalışma zamanı verilerini almak için güncelleme prosedürünün bir parçası olarak cihazın içe aktardığı yerel bir sistem veri güncellemesine kendisini ekleyerek sistem yeniden başlatmalarından ve güncellemelerinden kurtulur. Kötü amaçlı yazılımın yazarları, fabrika ayarlarına sıfırlamayı, yani Ivanti ev cihazını fabrika ayarlarına döndürmeyi bile düşündüler. Ancak ilgilenen yöneticilerin şansına, yönteminiz yalnızca belirli cihazlarda çalışıyor.
Mandiant analistleri, saldırganların Ivanti ürün yazılımı hakkında ayrıntılı bilgiye sahip olduğu ve bunları Çin'de konumlandırdığı sonucuna varıyor. UNC5325 tanımlayıcısına sahip grubun diğer Çinli casusluk gruplarıyla işbirliği yaptığından ve esas olarak savunma sanayi, teknoloji ve telekomünikasyonu hedef aldığından şüpheleniyorlar.
Mandiant, Connect Secure cihazlarının onarımına yönelik kılavuzunun güncellenmiş bir versiyonunu sunmasına rağmen, üretici en azından tespit aracını güncelledi. Bunun yerine CISA, himaye ettiği kişilere bütünsel bir yaklaşım benimsemelerini tavsiye ediyor: Cihazların yine de ele geçirilmiş olduğu düşünülmeli ve gerekirse erişim ve VPN anahtarları geri yüklenmelidir.
Bu, siber güvenlik kurumunun Ivanti'nin güvenlik açıkları konusunda ilk uyarısı değil. Yaklaşık bir ay önce federal kurum, yetkisi altındaki tüm kurumlara Ivanti cihazlarını devre dışı bırakma emri verdi.
(cku)
Haberin Sonu