Son zamanlarda siber güvenlik dünyasını sarsan Ivanti Cloud Services Application (CSA) ürünündeki zero-day açıklarına yönelik saldırıların arkasında devlet destekli tehdit aktörleri olduğu düşünülüyor. Fortinet, bu saldırıların özellikle Çin bağlantılı hacker gruplarına işaret ettiğini belirtiyor. Ivanti’nin CSA ürünü, bir dizi güvenlik açığıyla saldırılara açık hale gelmiş durumda ve bu zafiyetler zincirleme kullanılarak şirketlerin sistemlerine sızılıyor.
Ivanti CSA zero-day zafiyetlerine yönelik saldırılar ve devlet desteği iddiası
Ivanti, geçtiğimiz ay boyunca birkaç önemli zero-day zafiyeti hakkında müşterilerini bilgilendirdi. Bu zafiyetler arasında en dikkat çekenlerden biri, CVE-2024-8190 kodlu güvenlik açığı. Bu açık, uzaktan kod çalıştırmaya olanak tanıyor, ancak saldırganların bu güvenlik açığından faydalanabilmesi için öncelikle yüksek yetkilere sahip olmaları gerekiyor. Bu noktada saldırganlar, CVE-2024-8190’u diğer CSA zafiyetleri ile birleştirerek sistemlerde yetki elde edebiliyorlar. Özellikle CVE-2024-8963, CVE-2024-9379 ve CVE-2024-9380 gibi zafiyetler, saldırıların daha etkili hale gelmesi için kullanılıyor.
Fortinet, bir müşterinin sisteminde bu saldırılardan birini tespit ettiğinde, başlangıçta yalnızca CVE-2024-8190 açık olduğunda farkına vardı. Ancak, daha derinlemesine yapılan incelemeler sonucunda saldırganların sistemlere CSA zero-day zafiyetlerini kullanarak sızdığı, sonrasında ise sistem içinde yatay hareket ederek web shell’ler yerleştirdikleri, bilgi toplama, tarama ve brute-force saldırıları gerçekleştirdikleri ortaya çıktı. Saldırganlar ayrıca, ele geçirilen Ivanti cihazlarını proxy olarak kullanarak daha fazla trafik yönlendirdiler.
Saldırganların en dikkat çekici adımlarından biri, ele geçirdikleri sistemlerde kalıcı hale gelmek için rootkit yerleştirme girişimlerinde bulunmalarıydı. Bu sayede cihaz fabrika ayarlarına döndürülse bile, saldırganların sistem üzerinde varlıklarını sürdürebilecekleri anlaşıldı. Bir başka ilginç ayrıntı ise saldırganların, kendi kullandıkları güvenlik açıklarını kapatmalarıydı. Bu hamle, diğer siber saldırganların aynı zafiyetleri kullanarak müdahale etmesini engellemeye yönelik bir strateji olarak yorumlanıyor.
Fortinet, bu saldırıların arkasında büyük olasılıkla bir devlet destekli düşman olduğunu belirtse de, spesifik bir tehdit grubunu doğrudan tanımlamaktan kaçındı. Bununla birlikte, yayınladıkları IP adreslerinden biri, daha önce Çin bağlantılı bir tehdit grubu olan UNC4841’e atfedilmişti. UNC4841, 2023’ün sonlarında Barracuda ürünlerinde ortaya çıkan bir zero-day açığını istismar ederken gözlemlenmişti. Fortinet’in raporuna göre, bu grubun aktiviteleriyle Ivanti saldırılarında görülen bazı hareketlerin benzer olduğu belirtiliyor.
Çinli devlet destekli hacker grupları, Ivanti ürünlerindeki zero-day zafiyetleri geçmişte de çeşitli operasyonlarında kullanmıştı. Bu nedenle, son Ivanti CSA saldırılarında Çin bağlantılı grupların baş şüpheli olarak görülmesi şaşırtıcı değil. Siber güvenlik araştırmacıları, Çinli grupların Ivanti gibi büyük teknoloji sağlayıcılarının ürünlerindeki güvenlik açıklarını kullanarak, kritik altyapılara ve büyük şirketlere yönelik saldırılar gerçekleştirdiğini daha önce de belgelemişti. Bu bağlamda, Çin’in devlet destekli siber operasyonlarının bir parçası olarak, Ivanti CSA açıklarını istismar etmeye yönelik bu saldırıların da bir zincirin parçası olduğu düşünülüyor.
Fortinet’in raporu, Ivanti saldırılarının detaylarına ışık tutarken, bu tür tehditlerin ne kadar karmaşık ve organize olduğunu bir kez daha gözler önüne seriyor. Saldırganlar, sistemlere girdikten sonra sadece zafiyetleri istismar etmekle kalmıyor, aynı zamanda bu zafiyetleri kendi operasyonlarını sürdürebilmek adına kapatıyor. Bu strateji, saldırganların uzun vadede sistemlere erişimlerini sürdürebilmeleri ve rekabetçi tehdit gruplarını dışarıda tutabilmeleri için oldukça önemli bir adım olarak değerlendiriliyor.
Sonuç olarak, devlet destekli sibersiber saldırılar ve özellikle Çin merkezli tehdit aktörleri, Ivanti CSA ürünlerinde tespit edilen zafiyetlerin başlıca sorumlusu olarak öne çıkıyor. Bu tür saldırılar, siber güvenlik dünyasında devletlerin giderek daha karmaşık ve sofistike siber savaş taktikleri geliştirdiğini gösteriyor. Siber güvenlik uzmanları, bu tür saldırılara karşı daha hazırlıklı olabilmek için Ivanti gibi ürünlerdeki zafiyetlerin hızla tespit edilip giderilmesi gerektiğini vurguluyor.
