Özet
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ivanti Endpoint Manager Mobile (EPMM) sistemindeki güvenlik açıklarının sömürülmesi sonucu keşfedilen iki zararlı yazılım seti hakkında detayları paylaştı.
Saldırıda Kullanılan Güvenlik Açıkları
Saldırıda CVE-2025-4427 ve CVE-2025-4428 güvenlik açıkları kullanıldı:
- CVE-2025-4427: Kimlik doğrulama atlatma açığı
- CVE-2025-4428: Uzaktan kod çalıştırma açığı
Bu iki açık birlikte kullanılarak, saldırganların kimlik doğrulaması olmadan sistem üzerinde keyfi kod çalıştırmalarına imkan sağladı.
Saldırı Süreci
Siber saldırganlar, Mayıs 2025’te bir kavram kanıtı (PoC) exploitinin yayınlanmasının ardından bu güvenlik açıklarını birleştirerek EPMM sunucusuna erişim sağladı. Bu erişim sayesinde:
- Sistem bilgilerini topladılar
- Zararlı dosyalar indirdiler
- Ağ haritalandırması yaptılar
- LDAP kimlik bilgilerini ele geçirdiler
Zararlı Yazılım Setleri
Saldırganlar /tmp dizinine iki farklı zararlı dosya seti yerleştirdi:
Set 1
- web-install.jar (Yükleyici 1)
- ReflectUtil.class
- SecurityHandlerWanListener.class
Set 2
- web-install.jar (Yükleyici 2)
- WebAndroidAppInstaller.class
Zararlı Yazılımların İşleyişi
Her iki set de belirli HTTP isteklerini yakalayan ve bunları çözerek şifrelenmiş yükleri çalıştıran Java sınıfı dinleyicileri içeriyor. Bu sayede saldırganlar:
- Sunucuya keyfi kod enjekte etme
- Kalıcılık sağlama
- HTTP isteklerini yakalayarak veri sızdırma
Korunma Önerileri
CISA, organizasyonlara şu önerilerde bulundu:
- Sistemleri en son sürüme güncelleyin
- Şüpheli aktiviteleri izleyin
- Mobil cihaz yönetim sistemlerine yetkisiz erişimi engellemek için gerekli kısıtlamaları uygulayın
https://thehackernews.com/2025/09/cisa-warns-of-two-malware-strains.html
Bir yanıt yazın