Yazılım & İşletim SistemiOrta

CISA'nın Aktif Olarak Sömürülmekte Olan Ivanti Sentry Güvenlik Açığını Düzeltme Talimatı (BOD 26-04)

CISA, federal kurumlara Ivanti Sentry'deki aktif olarak sömürülen güvenlik açığını 3 gün içerisinde düzeltme emri verdi. Bu talimat, BOD 26-04 direktifine dayanmaktadır.

B
Bleeping Computer Tutorials
4 görüntülenme
CISA'nın Aktif Olarak Sömürülmekte Olan Ivanti Sentry Güvenlik Açığını Düzeltme Talimatı (BOD 26-04)

Giriş

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal hükûmet kurumlarına, Ivanti Sentry ürünündeki kritik bir güvenlik açığını üç gün içerisinde düzeltmeleri için zorunlu bir emir yayınladı. Bu emir, Binding Operational Directive (BOD) 26-04 adı verilen yeni bir direktif kapsamında yayımlanmıştır. Söz konusu güvenlik açığı, aktif olarak saldırganlar tarafından sömürülmekte olup, kurumların sistemlerinin tehlike altında olabileceğini göstermektedir.

Bu makalede, söz konusu güvenlik açığının tanımı, etkileri, düzeltme adımları ve uygulama komutları detaylı olarak açıklanacaktır. Ayrıca, bu sürecin zorluk seviyesi ve önemli uyarılar da paylaşılacaktır.

Güvenlik Açığının Tanımı ve Etkileri

Zafiyetin Teknik Detayları

Ivanti Sentry (eski adıyla MobileIron Sentry), kurumların mobil cihaz yönetimi (MDM) ve mobil uygulama yönetimi (MAM) için kullandıkları bir cihazdır. Bu cihazdaki CVE-2024-21893 olarak tanımlanan güvenlik açığı, uzaktan kod yürütme (RCE) yeteneğine sahiptir. Bu, saldırganların sistem üzerinde tam kontrol elde etmelerine olanak tanır.

Açık, Ivanti Sentry 9.15.0 ve öncesi sürümlerinde bulunmaktadır. Ivanti, bu açığı 9.16.0 ve üzeri sürümlerinde düzeltmiştir. Açık, güvensiz deserialization ve giriş doğrulama eksikliği nedeniyle ortaya çıkmaktadır. Saldırganlar, özel olarak hazırlanmış bir istek göndererek, hedef sistemde arbitrary kod çalıştırma yetkisi elde edebilirler.

Potansiyel Etkiler

Bu güvenlik açığının sömürülmesi durumunda, saldırganlar aşağıdaki yeteneklere sahip olabilir:

  • Sistemde tam yönetici erişimi elde etmek.
  • Kurumun ağ trafiğini izlemek ve veri çalmak.
  • Diğer sistemlere yayılmak için saldırı aracı olarak kullanmak.
  • Hizmet reddi (DoS) saldırıları gerçekleştirmek.

Bu nedenle, CISA'nın emri, federal kurumların bu açığı ivedilikle düzeltmelerini zorunlu kılmaktadır.

Düzeltme Adımları

Adım 1: Mevcut Sürümün Kontrol Edilmesi

Düzeltme işlemine başlamadan önce, Ivanti Sentry cihazının mevcut sürümünü kontrol etmek önemlidir. Aşağıdaki adımları izleyin:

  1. Sistemde SSH üzerinden Ivanti Sentry cihazına bağlanın:

    ssh admin@

  2. Sürüm bilgilerini görüntülemek için aşağıdaki komutu çalıştırın:

    show version

  3. Çıktıda 9.15.0 veya daha eski bir sürüm görünüyorsa, düzeltme işlemine devam edin.

Adım 2: Yedekleme Oluşturulması

Uyarı: Yama uygulamadan önce, sistemde tam bir yedekleme oluşturmanız önemlidir. Bu, olası bir hata durumunda sistemi eski haline geri döndürmenize olanak tanır.

  1. Sistem yedeğini oluşturmak için aşağıdaki komutu kullanın:

    backup config .tar.gz

  2. Yedek dosyasının yerel bir sunucuya veya güvenli bir depolama alanına kopyalandığından emin olun.

Adım 3: Ivanti Sentry'nin Güncellenmesi

Ivanti, güvenlik açığını düzeltmek için 9.16.0 ve üzeri bir güncelleme yayınlamıştır. Aşağıdaki adımları izleyerek güncellemeyi gerçekleştirin:

  1. Ivanti'nin resmi web sitesinden (https://forums.ivanti.com) en son sürümü indirin.

  2. Güncelleme dosyasını Ivanti Sentry cihazına yükleyin:

    scp .pkg admin@:/tmp

  3. Yükleme işlemini başlatın:

    install software update /tmp/.pkg

  4. Sistemin yeniden başlatılmasını bekleyin. Bu işlem tamamlandıktan sonra, aşağıdaki komutla yeni sürümü doğrulayın:

    show version

Adım 4: Güvenlik Açığının Doğrulanması

Güncelleme işlemi tamamlandıktan sonra, aşağıdaki adımları izleyerek güvenlik açığının düzeltildiğini doğrulayabilirsiniz:

  1. Saldırı simülasyonu için Metasploit Framework veya benzeri bir araç kullanın. Aşağıdaki komutlar, güvenlik açığının varlığını test etmek için kullanılabilir:

    use exploit/multi/http/ivanti_sentry_rce
set RHOSTS 
set RPORT 443
set SSL true
exploit

  2. Eğer sistemde güvenlik açığı bulunmuyorsa, saldırı başarısız olmalıdır. Aksi takdirde, sistemde hala bir güvenlik açığı bulunmaktadır ve yama işlemi tekrarlanmalıdır.

Önemli Uyarılar ve İpuçları

Uyarı 1: Ivanti Sentry cihazını güncellemeden önce, tüm kullanıcıların sistemden çıkış yaptığından emin olun. Bu, veri kaybını veya hizmet kesintisini önleyecektir.

İpucu 1: Güncelleme işlemi sırasında sistemde bakım penceresi planlayın. Bu, hizmet kesintisini en aza indirecektir.

Uyarı 2: Ivanti Sentry cihazının varsayılan şifrelerini değiştirmeyi unutmayın. Bu, sisteminizin güvenliğini artıracaktır.

İpucu 2: Güncelleme sonrasında, log dosyalarını inceleyin ve herhangi bir şüpheli aktivite olup olmadığını kontrol edin.

Zorluk Seviyesi ve Özet

Zorluk Seviyesi: Intermediate (Orta Seviye)

Bu süreç, temel Linux komutları ve ağ yönetimi bilgisi gerektirir. Ancak, Ivanti Sentry cihazına özgü komutlar ve güncelleme adımları nedeniyle orta seviye olarak sınıflandırılmıştır. Deneyimsiz kullanıcılar için, Ivanti destek ekibiyle iletişime geçmek veya bir uzmandan yardım almak önerilir.

Sonuç

CISA'nın yayınladığı BOD 26-04 direktifi kapsamında, federal kurumların Ivanti Sentry'deki aktif olarak sömürülen güvenlik açığını ivedilikle düzeltmeleri gerekmektedir. Bu makalede açıklanan adımları izleyerek, sistemlerinizin güvenliğini sağlamaya yönelik önemli bir adım atmış olacaksınız. Unutmayın, güvenlik açıklarının zamanında düzeltilmesi, kurumunuzun veri güvenliği ve operasyonel sürekliliği için kritik öneme sahiptir.

Not: Bu makale, Ivanti Sentry'nin 9.15.0 ve öncesi sürümleri için geçerlidir. Farklı bir sürüm kullanıyorsanız, Ivanti'nin resmi dokümantasyonunu inceleyin.

İlgili Makaleler