ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ivanti’nin Connect Secure, Policy Secure ve ZTA Gateway ürünlerinde bulunan kritik bir güvenlik açığı olan CVE-2025-22457’yi, Bilinen Sömürülen Güvenlik Açıkları (KEV) kataloğuna ekledi. Yığın tabanlı bir taşma (stack buffer overflow) olan bu açık, uzaktan kimlik doğrulama gerektirmeden kod çalıştırmaya (Remote Code Execution – RCE) imkân tanıyor. Güvenlik açığı, Mart 2025 ortasından bu yana aktif olarak sömürülüyor.
Ivanti, bu açığı ilk olarak düşük seviyeli ve uzaktan sömürülemeyen bir ürün hatası olarak değerlendirmişti. Ancak yapılan analizler, açığın yalnızca bir hizmet dışı bırakma (DoS) zafiyeti olmadığını; aksine, karmaşık yollarla sistemin tamamen ele geçirilmesine yol açabilecek derecede ciddi olduğunu ortaya koydu. Ivanti, 11 Şubat 2025’te Connect Secure için yayınladığı 22.7R2.6 sürümüyle açığı yamaladı. Policy Secure ve ZTA Gateway yamalarının ise sırasıyla 21 ve 19 Nisan’da yayımlanması bekleniyor.
Tehdit Aktörü: UNC5221
Siber güvenlik firması Mandiant, Çin bağlantılı UNC5221 adlı tehdit grubunun açığı Mart ayından bu yana casusluk amacıyla kullandığını belirtti. Grup, önce yamayı tersine mühendislik yöntemiyle analiz ederek, 22.7R2.5 ve önceki sürümleri hedef alarak uzaktan kod çalıştırma saldırıları gerçekleştirdi. Bu saldırılar özellikle Connect Secure VPN cihazlarını hedef aldı. Daha önce de UNC5221, Ivanti’nin başka bir sıfır gün açığı olan CVE-2025-0282’yi benzer şekilde kullanmıştı.
Mandiant CTO’su Charles Carmakal, “UNC5221’in son faaliyetleri, Çin bağlantılı grupların sınır cihazlarına yönelik küresel casusluk hedeflerini açıkça ortaya koyuyor. EDR çözümü olmayan kurumsal sistemler için özel zararlı yazılımlar geliştirmeye devam ediyorlar. Bu aktörler her zamankinden daha etkili,” ifadelerini kullandı.
CISA ve Ivanti’den Acil Eylem Çağrısı
CISA, açığın KEV kataloğuna eklenmesini 4 Nisan 2025’te duyurdu ve tüm kurumlara acil önlemler alma çağrısında bulundu. CISA, sadece federal kurumları değil, tüm özel sektör kuruluşlarını da bu tür açıkları önceliklendirerek sistemlerini yamalamaya teşvik ediyor. Özellikle Ivanti Connect Secure 22.7R2.5 ve altı sürümleri ile Pulse Connect Secure 9.1R18.9 ve önceki sürümler (destek dışı) en çok risk altında olanlar arasında yer alıyor.
Ivanti, kullanıcıların sistemlerini en kısa sürede güncellemelerini, Integrity Checker Tool (ICT) ile olası ihlalleri kontrol etmelerini ve gerekiyorsa fabrika ayarlarına sıfırlama yapmalarını önerdi. Ayrıca ayrıcalıklı erişime sahip tüm hesapların denetlenmesi, kimlik bilgileri ve şifrelerin yenilenmesi gerektiği belirtildi.
Eğer sistemde bir ihlal tespit edilirse, etkilenen cihazlar izole edilmeli, adli kopyalar alınmalı, sertifikalar ve şifreler iptal edilip yeniden oluşturulmalı, Kerberos biletleri iptal edilmeli ve sistemler yalnızca temiz bir imajla tekrar devreye alınmalıdır.
Kritik Açık, Kritik Süre
CVE-2025-22457, 9.0 CVSS skoru ile yüksek öneme sahip. Yamaların uygulanması için CISA tarafından belirlenen son tarih 11 Nisan 2025. CISA’nın KEV Kataloğu şu an 1.314 girdi içeriyor ve siber güvenlik önceliklendirmesi için temel kaynak olarak kabul ediliyor.
Bu olay, Ivanti’nin 2024’ten bu yana KEV kataloğuna giren 15. güvenlik açığı olarak kayıtlara geçti. Giderek artan bu güvenlik açıkları, sınır cihazlarının siber casuslukta ne kadar kritik bir rol oynadığını ve sistem yöneticilerinin neden her zaman tetikte olması gerektiğini gözler önüne seriyor.
Leave a Comment