Ivanti Sentry Güvenli Mobil Geçit Çözümündeki Kritik Yüsek Öncelikli Zafiyetler ve Root Yetkili Kod Yürütme Riski

Giriş ve Zafiyet Tanımı

Ivanti'nin Sentry güvenli mobil geçit (secure mobile gateway) çözümü, kurumsal mobil cihazlar için güvenlik duvarı, VPN ve kimlik doğrulama hizmetleri sunmaktadır. 2024 yılında keşfedilen ve CVE-2024-21894 olarak tanımlanan maksimum seviye (CVSS 10.0) bir zafiyet, uzaktan kod yürütme (RCE - Remote Code Execution) ve root yetkisi elde etme riskini barındırmaktadır. Bu zafiyet, saldırganların Sentry cihazlarına doğrudan erişim sağlamasına ve sistem üzerinde tam kontrol elde etmesine olanak tanımaktadır.

İkinci kritik zafiyet olan CVE-2024-21887 (CVSS 9.1), yetkisiz dosya okuma ve saldırganların hassas verileri çalmasına izin vermektedir. Her iki zafiyet de, Ivanti tarafından 2024 yılı Şubat ayında yayınlanan güncellemelerle giderilmiştir. Bu makalede, zafiyetlerin teknik detayları, risk analizi ve yama uygulama adımları detaylı olarak açıklanmaktadır.

Zafiyetlerin Teknik Detayları

CVE-2024-21894: Maksimum Seviye RCE ve Root Yetkisi Elde Etme

Bu zafiyet, Sentry cihazındaki bir bellek bozulması nedeniyle ortaya çıkmaktadır. Saldırganlar, özel olarak hazırlanmış HTTP istekleri göndererek arbitrary code execution gerçekleştirebilmektedir. Zafiyetin istismar edilmesi durumunda:

• Sentry cihazında yerel olmayan kullanıcı olarak kod çalıştırılabilir.
• Root yetkileriyle sistem komutları yürütülebilir.
• Tüm ağ trafiği izlenebilir ve hassas veriler ele geçirilebilir.
• Diğer sistemlere yanal hareket (lateral movement) yapılabilir.

CVE-2024-21887: Yetkisiz Dosya Okuma ve Veri Sızıntısı

Bu zafiyet, Sentry cihazındaki bir dizin geçişi (directory traversal) problemi nedeniyle oluşmaktadır. Saldırganlar, HTTP isteklerinde özel karakterler kullanarak sistem dosyalarını okuma yetkisi elde edebilmektedir. İstismar edilmesi durumunda:

• Kurumsal veriler (kullanıcı kimlik bilgileri, log kayıtları, konfigürasyon dosyaları) okunabilir.
• API anahtarları ve sertifikalar gibi gizli bilgiler ele geçirilebilir.
• İç ağa ait haritalama bilgileri saldırganlara aktarılabilir.

Risk Analizi ve Etki Değerlendirmesi

Etkilenen Sistemler ve Dağıtım

CVE-2024-21894 ve CVE-2024-21887 zafiyetleri aşağıdaki Ivanti Sentry versiyonlarını etkilemektedir:

• Ivanti Sentry 9.18.0 ve öncesi
• Ivanti Sentry 11.8.0 ve öncesi
• Ivanti Sentry 12.1.0 ve öncesi

Etki: Bu zafiyetler, kurumsal ağların güvenliğini doğrudan tehdit etmektedir. Saldırganlar, sadece internete açık olan Sentry cihazlarını değil, iç ağdaki diğer sistemlere de erişim sağlayabilir. Bu durum, veri sızıntısı, servis reddi saldırıları ve fidye yazılım saldırıları gibi ciddi sonuçlara yol açabilir.

Saldırgan Tarafından İstismar Edilme Senaryosu

Uyarı: Bu zafiyetler, sıfır-gün (zero-day) olarak kullanılabilir. Saldırganlar, açık kaynaklı istismar araçları kullanarak bu zafiyetleri kolayca istismar edebilir. Güncelleme yapılmayan sistemler, saldırganlar için yüksek değerli hedefler haline gelmektedir.

Tipik bir saldırı senaryosu aşağıdaki adımlardan oluşmaktadır:

1. Keşif: Saldırganlar, internete açık Sentry cihazlarını port tarama ve servis tespiti yöntemleriyle bulur.
2. Zafiyet Tespiti: CVE-2024-21894 ve CVE-2024-21887 için açık kaynaklı istismar araçları (örneğin, Metasploit modülleri) kullanılır.
3. İstismar: Saldırganlar, özel olarak hazırlanmış HTTP istekleri göndererek arbitrary code execution gerçekleştirir.
4. Root Yetkisi Elde Etme: CVE-2024-21894 sayesinde, saldırganlar sistemde root yetkileriyle komut çalıştırabilir.
5. Veri Sızıntısı: CVE-2024-21887 sayesinde, saldırganlar hassas verileri okuyabilir ve dışarıya sızdırabilir.

Yama Uygulama ve Güvenlik Önlemleri

Adım 1: Sistem Versiyonunu Kontrol Etme

Yama uygulamadan önce, mevcut sistem versiyonunu doğrulamak önemlidir. Aşağıdaki komutları kullanarak Sentry cihazındaki versiyonu kontrol edin:

# SSH üzerinden Sentry cihazına bağlanın
ssh admin@sentry-device-ip

# Sentry versiyonunu görüntüleyin
show version

Çıktı örneği:

Sentry Version: 12.0.0
Build Date: 2023-11-15

İpucu: Eğer versiyon 12.1.0 ve öncesi ise, sisteminiz güncelleme yapılmalıdır.

Adım 2: Yedek Alma

Yama uygulamadan önce mutlaka yedek alınmalıdır. Aşağıdaki adımları izleyin:

1. Konfigürasyon yedeği alın:

   # Konfigürasyon dosyasını indirin
   scp admin@sentry-device-ip:/config/sentry.conf ./sentry_backup.conf
   

2. Veritabanı yedeği alın:

   # Veritabanı yedeği oluşturun
   ssh admin@sentry-device-ip
   pg_dump -U postgres -d sentry_db > /tmp/sentry_db_backup.sql
   scp admin@sentry-device-ip:/tmp/sentry_db_backup.sql ./sentry_db_backup.sql
   

Adım 3: Ivanti Sentry Güncelleme

Ivanti, zafiyetleri gidermek için 11.8.1, 12.1.1 ve 9.18.1 versiyonlarını yayınlamıştır. Güncelleme adımları:

1. Güncelleme dosyasını indirin:

   # Ivanti destek sayfasından ilgili versiyonu indirin
   wget https://downloads.ivanti.com/secure/Sentry/12.1.1/sentry-12.1.1-upgrade.tar.gz
   

2. Dosyayı doğrulayın:

   # SHA-256 checksum'unu kontrol edin
   sha256sum sentry-12.1.1-upgrade.tar.gz
   # Doğrulama sonucu: beklenilen checksum ile karşılaştırın
   

3. Güncellemeyi uygulayın:

   # SSH üzerinden Sentry cihazına bağlanın
   ssh admin@sentry-device-ip
   
   # Güncelleme dosyasını yükleyin
   upgrade sentry-12.1.1-upgrade.tar.gz
   
   # Sistem yeniden başlatılmalıdır
   reboot
   

Adım 4: Güvenlik Duvarı ve Erişim Kontrolleri

Yama uyguladıktan sonra, aşağıdaki ek güvenlik önlemlerini uygulamak önemlidir:

1. Sentry cihazına yalnızca gerekli portlar üzerinden erişim izni verin:

   # Güvenlik duvarı kuralı ekleyin (örnek: yalnızca VPN IP'sinden erişime izin ver)
   firewall-cmd --add-rich-rule='rule family=