Amerika Birleşik Devletleri merkezli yazılım devi Ivanti, yaygın kullanılan bir kurumsal VPN cihazındaki sıfırıncı gün güvenlik açığının müşterilerinin ağlarını tehlikeye attığını duyurdu.
Güvenlik Açığı ve Etkileri
Ivanti, Çarşamba günü yaptığı açıklamada, kritik seviyede olduğu tespit edilen bu güvenlik açığının, CVE-2025-0282 kodu ile izlenebileceğini belirtti. Bu açık, kullanıcı doğrulaması olmaksızın uzaktan kötü amaçlı yazılım kodu yüklemesine olanak tanıyor. Ivanti, Connect Secure VPN çözümünün “her boyutta ve sektördeki kuruluşlar tarafından en çok benimsenen SSL VPN olduğunu” ifade etti.
Önceki Saldırılardan Sonra Alınan Önlemler
Bu, son yıllarda Ivanti ürünlerini hedef alan en son güvenlik açığı değil. Geçen yıl, şirket büyük çaplı saldırılara karşı savunma mekanizmalarını güçlendirme sözü vermişti. Son olayda, şirket, erken tespit edilen kötü niyetli aktivitelerin ardından güvenlik süreçlerini gözden geçiriyor.
Güvenlik Açığının Boyutu ve Yamanma Süreci
Ivanti, son güvenlik açığını kendi geliştirdiği Ivanti Integrity Checker Tool (ICT) ile tespit etti. Şirket, CVE-2025-0282’nin aktörler tarafından “sıfırıncı gün” açığı olarak kullanıldığını ve bu durumun firmaya açığı düzeltme süresi tanımadığını açıkladı. Açık, sınırlı sayıda müşterinin Ivanti Connect Secure cihazlarının etkilediği belirtiliyor.
Ivanti, Connect Secure için bir yamanın mevcut olduğunu, fakat Policy Secure ve ZTA Gateways için gönderilecek yamaların 21 Ocak’ta dağıtılacağını aktardı. Ayrıca, henüz kötüye kullanılmamış ikinci bir açık olan CVE-2025-0283 de bulundu.
Saldırıların İç Yüzü
Ivanti, etkilenen müşteri sayısını veya saldırların arkasındaki kişileri açıklamadı. Firma, TechCrunchın sorularına yanıt vermedi. Olay yanı sıra, incident response şirketi Mandiant, birlikte araştırmacılarla birlikte açığı tespit etti ve blog gönderisinde, Connect Secure açığının aralık 2024’teki saldırılarda kullanıldığını kaydetti.
Uluslararası Güvenlik Kurumlarının Tepkisi
Mandiant, bu saldırıların belirli bir tehdit grubuna atfedilemeyeceğini belirtse de bu grubun, Çin ile bağlantılı bir siber casusluk grubu olduğuna ilişkin şüpheleri olduğunu ekledi. Bu, 2024’te Ivanti müşterilerine yönelik büyük çaplı saldırılar gerçekleştiren aynı grubun bir parçasıdır. İlgili blogda bu özellikle vurgulandı.
U.K. Ulusal Siber Güvenlik Merkezi, aktif olarak U.K. ağlarını etkileyen saldırıları incelemekte olduğunu duyurdu. Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA da bu açığı bilinen güvenlik açıkları kataloğuna ekledi.
