Federal fonlu bir araştırmayı denetleyen ve kar amacı gütmeyen bir kuruluş olan MITRE, Ivanti ürünlerinde ortaya çıkmış iki tane sıfırıncı gün (0-Day) açığının kullanılarak, Ar-Ge ağlarından birinin Ocak ayı içerisinde ulus-devlet destekli tehdit aktörleri tarafından siber saldırıya uğradığını duyurdu.
Şirket tarafından Cuma günü yayınlanan blog yazısında, kimliği belirsiz tehdit aktörleri tarafından Ivanti Connect Secure’da ortaya çıkmış iki sıfırıncı güvenlik açığını kullanarak VPN’lerden biri ihlal etmiş ve oturum ele geçirme saldırısıyla da çok faktörlü kimlik doğrulama mekanizmasının aşıldığı belirtildi.
Tehdit aktörleri, daha sonrasında yanal hareket gerçekleştirerek güvenliği ihlal edilmiş bir yönetici hesabıyla da sunuculardaki VMWare altyapısına erişmeyi başarmışlar.
MITRE tarafından bahsedilen iki güvenlik açığı, Ivanti Connect Secure VPN cihazlarında kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veriyordu ve Volexity güvenlik araştırmacıları tarafından 10 Ocak’ta duyurulmuştu. Bu iki güvenlik açığı CVE-2023-46805 ve CVE-2024-21887 referansı ile takip ediliyordu.
Kuruluşun olayla ilgili soruşturması devam ediyor ancak siber olgunluk düzeyi en yüksek kuruluşların bile karmaşık tehdit aktörleri tarafından nasıl ihlal edilebileceğinin bir örneği olarak olayı kamuya açıklayarak büyük bir şeffaflık örneği gösterdiler diyebiliriz.
Şirket, saldırının arkasındaki tehdit aktörleriyle ilgili bir ayrıntı paylaşmasa da Volexity güvenlik araştırmacıları bu istismarı Çin devlet destekli tehdit aktörlerine bağlamıştı.
