Ivanti EPMM Zafiyetleri Üzerinden Gerçekleşen Saldırılarda Kritik IP ve Otomatik İstismar Taktikleri

Anasayfa » Ivanti EPMM Zafiyetleri Üzerinden Gerçekleşen Saldırılarda Kritik IP ve Otomatik İstismar Taktikleri
APT, Siber Güvenlik, Zafiyetler
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
Ivanti EPMM Zafiyetleri Üzerinden Gerçekleşen Saldırılarda Kritik IP ve Otomatik İstismar Taktikleri

Saldırının Genel Çerçevesi

Şubat 2026’nın ilk haftasında, Ivanti EPMM platformundaki kritik güvenlik açıkları kötü niyetli aktörler tarafından yoğun şekilde hedef alındı. Yapılan analizlere göre, 1-9 Şubat tarihleri arasında 8 farklı kaynak IP adresinden toplam 417 istismar oturumu kaydedildi. Bu oturumların %83’ü, 193.24.123.42 IP adresinden gelmekte olup, saldırıların büyük çoğunluğunu oluşturuyor. Bu IP adresi, Bulletproof hosting altyapısına bağlı ve saldırganların gizliliğini korumasına olanak tanıyor.

Saldırılar, özellikle CVE-2026-1281 (CVSS 9.8) ve CVE-2026-1340 zafiyetlerini hedef alıyor. İkinci zafiyet, kimlik doğrulaması olmadan uzaktan kod çalıştırılmasına imkan veriyor. Bu açıklar, geçtiğimiz ayın sonunda sıfırıncı gün istismarları sonrası sınırlı sayıda müşteride etkili olduğu tespit edilmişti.

Hangi Sistemler Risk Altında?

Ivanti EPMM, mobil cihaz yönetimi (MDM) altyapısı kullanan kurumlar için kritik bir platformdur. Hollanda Veri Koruma Otoritesi, Avrupa Komisyonu, Finlandiya’nın Valtori’si ve Yargı Konseyi gibi önemli Avrupa kurumları, bu zafiyetler üzerinden hedef alındı. Ayrıca, aynı sunucu üzerinde Oracle WebLogic (CVE-2026-21962), GNU InetUtils telnetd (CVE-2026-24061) ve GLPI (CVE-2025-24799) gibi farklı ürünlere ait üç ayrı zafiyetin eşzamanlı istismar edildiği belirlendi.

Saldırı Zinciri ve Teknik Detaylar

İstismar oturumları, Chrome, Firefox, Safari ve çeşitli işletim sistemi varyantlarını taklit eden 300’den fazla benzersiz kullanıcı ajanı ile gerçekleştiriliyor. Bu çeşitlilik, otomatik araçların kullanıldığını gösteriyor. Saldırganlar, PROSPERO adlı otonom sistem üzerinden GootLoader, Matanbuchus, SpyNote, Coper (Octo) ve SocGholish gibi masaüstü ve Android kötü amaçlı yazılımlarını dağıtma geçmişine sahip Proton66 adlı başka bir sistemle bağlantılı.

İlginç bir şekilde, istismarların %85’i herhangi bir kötü amaçlı yazılım yüklemeden önce DNS üzerinden geri bildirim alarak hedefin istismar edilebilirliğini doğruluyor. Bu, OAST (Out-of-Band Application Security Testing) yöntemine benzer bir yaklaşım olup, hedeflerin önceden kataloglanmasını sağlıyor.

Defused Cyber tarafından bildirilen “uyuyan kabuk” kampanyası, ele geçirilmiş EPMM örneklerinde /mifs/403.jsp yolunda etkin olmayan bir Java sınıf yükleyicisi dağıtıyor. Bu taktik, ilk erişim sağlandıktan sonra finansal kazanç amacıyla erişimin satılması veya devredilmesi için altyapı hazırlığı olarak değerlendiriliyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Ivanti EPMM için yayımlanan yamaları derhal uygulayın.
  • İnternet erişimli MDM altyapılarını düzenli olarak denetleyin ve erişim kontrollerini sıkılaştırın.
  • DNS günlüklerini OAST benzeri geri bildirim çağrılarını tespit etmek için analiz edin.
  • EPMM örneklerinde /mifs/403.jsp yolunu izleyerek anormal aktiviteleri takip edin.
  • PROSPERO otonom sistemini (AS200593) ağ sınırlarında engelleyin.
  • EDR ve SIEM sistemlerinde CVE-2026-1281 ve CVE-2026-1340 için özel tespit kuralları oluşturun.
  • Ağ segmentasyonu ve Zero Trust prensipleri ile yatay hareketi zorlaştırın.
  • Olay müdahale (incident response) planlarınızı bu tür otomatik istismar senaryolarına göre güncelleyin.

Teknik Özet

  • Kullanılan zararlılar: GootLoader, Matanbuchus, SpyNote, Coper (Octo), SocGholish.
  • Hedef sektörler: Kamu kurumları, Avrupa merkezli organizasyonlar.
  • İstismar edilen zafiyetler: CVE-2026-1281, CVE-2026-1340, CVE-2026-21962, CVE-2026-24061, CVE-2025-24799.
  • Saldırı zinciri: Otomatik istismar araçları ile hedef doğrulama (DNS geri bildirim), kritik EPMM zafiyetlerinin kullanımı, “uyuyan kabuk” ile kalıcı erişim sağlama, kötü amaçlı yazılım dağıtımı.
  • Temel savunma: Güncel yamaların uygulanması, DNS ve ağ trafiği analizi, erişim kontrolü, EDR ve SIEM entegrasyonu.

Bu gelişmeler, internet erişimli MDM altyapılarının ve kritik cihaz yönetim sistemlerinin güvenliğinin ne denli önemli olduğunu bir kez daha ortaya koyuyor. Kurumsal ağlarda ağ segmentasyonu ve çok katmanlı savunma stratejileri uygulanmadığı takdirde, saldırganlar yatay hareketle geniş çaplı erişim elde edebilirler. Bu nedenle, e-posta güvenliği, bulut güvenliği ve olay müdahale süreçleriyle entegre bir savunma yaklaşımı kritik önem taşımaktadır.

, , , , , , ,