Genel Bakış
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), Ivanti Endpoint Manager Mobile (EPMM) yazılımında tespit edilen ve aktif olarak istismar edilen kritik bir güvenlik açığı için federal kurumlara 4 günlük bir yama süresi tanımıştır. Bu güvenlik açığı, saldırganların kimlik doğrulaması yapmadan sistem üzerinde yetkisiz işlemler gerçekleştirmesine olanak tanımaktadır.
Tehdit Analizi
Söz konusu zafiyet, saldırganların sistemdeki hassas yapılandırma verilerine erişmesine ve yönetici yetkileriyle komut çalıştırmasına izin vermektedir. Zero-day (sıfırıncı gün) olarak sınıflandırılan bu açık, yamalanmamış sistemler için yüksek risk teşkil etmektedir.
Çözüm Adımları
- Sürüm Kontrolü: Mevcut Ivanti EPMM sürümünüzü kontrol edin.
- Güncelleme: Ivanti tarafından yayınlanan en son güvenlik yamasını (patch) indirin ve uygulayın.
- Doğrulama: Yama uygulandıktan sonra sistem günlüklerini (logs) inceleyerek olağan dışı etkinlik olup olmadığını denetleyin.
Yama Uygulama Komutları
# Sistem sürümünü kontrol et
./check_version.sh
# Güvenlik yamasını indir ve uygula
wget https://patch-server.ivanti.com/updates/patch_epmm_latest.bin
chmod +x patch_epmm_latest.bin
./patch_epmm_latest.bin --applyUyarı: Yama işlemi sırasında sistemin yeniden başlatılması gerekebilir. Lütfen kritik iş saatleri dışında planlama yapın ve işlem öncesi tam sistem yedeği alın.
İzleme ve Tespit
Sistemin saldırıya uğrayıp uğramadığını anlamak için yetkisiz API isteklerini ve şüpheli yönetici oturumlarını izlemelisiniz. Özellikle /mifs/ dizini altındaki erişim loglarını incelemek, saldırı izlerini tespit etmek için en etkili yöntemdir.
Güvenlik ekibinizin, yama sonrası sistemin ağ üzerindeki trafiğini 48 saat boyunca yakından izlemesi ve anomali tespiti yapması önerilir. Eğer sistemde herhangi bir anormallik tespit edilirse, derhal izole edilmeli ve olay müdahale (incident response) prosedürleri başlatılmalıdır.
