CVE-2025-22457: Ivanti Connect Secure'da Kimlik Doğrulamasız Uzaktan Kod Çalıştırma

Yönetici Özeti

CVE-2025-22457, 2025'in en kritik edge cihaz açıklarından biri olarak kayıtlara geçti. Ivanti Connect Secure, Policy Secure ve doğrudan internet sınırında konumlanan ilgili gateway ürünlerini etkileyen bu zafiyet, kimlik doğrulama gerektirmeyen bir stack-based buffer overflow olarak sınıflandırıldı. Pre-authentication niteliği açığı sıradan kritik bulgulardan ayıran temel unsurdur: saldırganın zafiyetli parsing yoluna ulaşmak için tek bir geçerli kimlik bilgisine dahi ihtiyacı yoktur.

Bu sınıftaki bir hata uzaktan erişim gateway'inde bulunduğunda hasar hiçbir zaman yalnızca cihazla sınırlı kalmaz. Bu ürünler güvenilir oturumları sonlandırır, kimlik doğrulama sürecine aracılık eder ve kimlik altyapısının hemen yanı başında yer alır. Başarılı bir sömürü, saldırgana operasyonel derinliği son derece yüksek bir ilk foothold sunar.

Teknik Kök Neden: Edge Katmanında Stack-Based Buffer Overflow

Stack-based buffer overflow sınıfı güvenlik dünyasında onlarca yıllık bir tarih taşısa da modern edge appliance'larda canlılığını koruyor. Nedeni basittir: bu cihazların performans kritik bileşenlerinin önemli bir kısmı hâlâ C veya C++ gibi memory-unsafe dillerle geliştiriliyor; bellek sınırı denetimi derleyiciye değil, geliştiriciye bırakılmıştır.

Bu açıkta zafiyetli kod yolu, dışarıdan kontrol edilen veriyi alıp stack üzerinde ayrılmış bir buffer'a kopyalar veya dönüştürür; ancak sınır kontrolünü doğru uygulamaz. Saldırgan yeterli uzunlukta ya da özenle yapılandırılmış bir payload sunduğunda yazma işlemi stack frame'i aşar ve komşu kontrol verisini bozar. Bu noktadan itibaren konu input parsing değil, doğrudan execution flow'u ele geçirmektir.

Klasik overflow senaryosunda saldırgan saved return address veya stack'teki bitişik durumu ezerk yürütmeyi kendi baytlarına ya da seçilmiş bir ROP gadget zincirine yönlendirir. Stack canary, ASLR ve NX gibi modern korumalar exploit geliştirmenin maliyetini önemli ölçüde artırsa da, internet erişilebilir bir appliance üzerindeki memory corruption açığı, doğru bypass primitifleri ve yeterli çaba ile güvenilir kod yürütmeye dönüştürülebilir.

Edge Cihazları Neden Ayrı Bir Risk Kategorisidir?

İç ağdaki bir endpoint üzerindeki exploit ciddidir. İnternete açık sınır cihazındaki exploit ise birbirini güçlendiren üç nedenle stratejik olarak çok daha ağırdır:

cihaz, araya giren herhangi bir atlama noktası olmaksızın doğrudan internetten erişilebilir durumdadır.

güvenilen iç iş akışlarının ve kimlik doğrulama mekanizmalarının önünde konumlanıyor.

kurumların büyük çoğunluğunda edge appliance'lar üzerindeki detection telemetrisi, iç ağdaki Windows sistemlerinkinin çok gerisindedir.

Bu üç faktörün bir araya gelmesi yapısal bir kör nokta oluşturur: varlık hem maksimum düzeyde maruz hem de operasyonel açıdan kritiktir; buna karşın güvenlik ekibinin o varlık üzerindeki tespit kapasitesi genellikle kurumun en zayıf noktasıdır.

Exploit Sonrası Gerçeklik

Bu türden bir appliance üzerinde uzaktan kod yürütme sağlandığında saldırganlar iyi belgelenmiş ve tekrarlanabilir bir adım dizisini izler:

cihazın doğrudan dosya sistemine webshell veya başka bir kalıcılık mekanizması yerleştirmek.

yerel olarak önbelleğe alınmış oturum token'larını, yapılandırma secretlarını veya kimlik bilgisi materyalini toplamak.

gateway'in aşağı akıştaki iç servislere güven ve erişimi nasıl taşıdığını haritalamak.

kimlik altyapısına, iç yönetim düzlemlerine veya temel ağ segmentlerine pivot yapmak.

Tam da bu yüzden edge RCE zafiyetleri ransomware operasyonlarının, espionage kampanyalarının ve intrusion broker angajmanlarının erken aşamalarında bu denli sistematik biçimde karşımıza çıkıyor. Gateway yalnızca bir süreci saldırıya açmaz; kurumun güven sınırını açıyor.

Savunmacı İçin Öncelik Sırası

Yapılandırılmış bir yanıt, başka her şeyden önce dört somut soruyla başlar:

Etkilenen cihaz şu anda internetten erişilebilir mi?

Zafiyetli ürün sürümleri herhangi bir üretim veya standby ortamında mevcut mu?

Beklenmeyen dosyalar, değiştirilmiş yapılandırmalar veya anormal aktif oturumlar gibi IoC'ler mevcut mu?

İç kimlik sistemleri, gateway kompromesinin ardından gerçekleşen bir pivotla tutarlı davranışsal anomaliler gösteriyor mu?

Bu operasyonel kontroller, tam CVSS skorunu tartışmaktan çok daha fazla değer taşır. Edge cihaz olaylarında soyut önem sınıflandırmasına harcanan saatler, containment başlamadan önce ilave günlük dwell time'a dönüşüyor.

CVSS Vektörü ve Etkilenen Sürümler

Zafiyet CVSS 4.0 puanlamasında 9.3 (Kritik) değeri aldı:

~~~

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A

~~~

Bu vektör; ağ üzerinden erişilebilir sömürüyü (AV:N), karmaşıklık engeli olmadığını (AC:L), kimlik bilgisi gerekmediğini (PR:N), kullanıcı etkileşimi aranmadığını (UI:N) ve aktif gerçek dünya sömürüsünü (E:A) yansıtıyor.

| Ürün | Etkilenen Sürümler | Düzeltilmiş Sürüm |

|---|---|---|

| Ivanti Connect Secure | 22.7R2.5 ve öncesi | 22.7R2.6 |

| Ivanti Policy Secure | 22.7R1.4 ve öncesi | 22.7R1.5 |

| ZTA Gateway | 22.8R2.2 ve öncesi | Danışma belgesine göre |

CVE Zaman Çizelgesi

Zafiyetin hikâyesi, başlangıçtaki yanlış sınıflandırma açısından da öğreticidir.

Ocak 2025: Ivanti açığı başlangıçta CVSS 5.3 puanlı hizmet reddi (DoS) hatası olarak sınıflandırdı; RCE potansiyelini reddetti.

Mart 2025: Mandiant ve Ivanti, tehdit aktörü TRAILBLAZE'in bu vektör üzerinden SPAWNCHIMERA zararlı yazılımını dağıttığını doğruladıktan sonra aktif sömürüyü onayladı.

3 Nisan 2025: CISA, CVE-2025-22457'yi Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna ekledi.

Nisan 2025: Yama yayımlandı; kuruluşlar yamalanmamış her gateway'i potansiyel olarak ele geçirilmiş saymaları gerektiği konusunda uyarıldı.

"Düşük önem dereceli DoS" den "aktif sömürülen kritik RCE"ye yeniden sınıflandırma boşluğu kendi başına önemli bir ders içeriyor: çökmeleri önleyen sınır kontrolleri, farklı payload yapılarıyla yenilgiye uğratılabilir.

Tespit Sinyalleri

Uzaktan kod çalıştırma (Remote Code Execution — RCE) mekanizması, saldırganın ağ üzerinden özel hazırlanmış bir istek göndermesi ve gateway'in stack alanını bozmasıyla başlar. Yama uygulandıktan sonra veya olay müdahalesi sırasında şu sinyallere dikkat edin:

Web sunucu sürecinin alt süreci olarak başlayan beklenmedik süreçler: perl, sh, python gibi ikililerin gateway web daemon'ının çocuğu olarak görünmesi.

Gateway'den dış IP adreslerine anormal giden bağlantılar, özellikle alışılmadık portlarda.

/tmp, /data/runtime/tmp veya web'den erişilebilir dizinlerde yeni veya değiştirilmiş dosyalar.

SPAWNCHIMERA implant göstergeleri: pasif dinleyici süreçler, beklenmedik HTTPS tünelleri veya değiştirilmiş meşru ikili dosyalar.

Tespit için sözde Sigma kuralı:

~~~yaml

title: Ivanti Connect Secure Sonrası Exploit Tespiti (CVE-2025-22457)

status: experimental

description: Ivanti web daemon tarafından oluşturulan alt süreçleri tespit eder — potansiyel RCE sonrası gösterge

detection:

condition: selection

selection:

ParentImage|endswith:

'web'.

'perl'.

Image|endswith:

'/sh'.

'/bash'.

'/curl'.

'/wget'.

'/python'.

logsource:

category: process_creation

~~~

MyVuln Yaklaşımı

Olgun bir zafiyet platformu CVE-2025-22457 kaydını liste üzerinde kırmızı bir rozet olarak sunmakla yetinmemelidir. Sürüm tespiti, internet maruziyet durumu, exploit zinciri bağlamı ve cihaz kritikliğini tek bir eyleme dönüştürülebilir görünümde ilişkilendirmelidir. MyVuln'ün CVE İzleme modülü bu açığı CISA KEV entegrasyonuyla otomatik olarak önceliklendirir; etkilenen gateway sürümlerini gerçek zamanlı maruziyet durumuyla ilişkilendirir ve TRAILBLAZE/SPAWNCHIMERA gibi tehdit aktörü bağlamını operasyonel bültenlerle destekler. Bu sentez, güvenlik ekibinin teorik bir zafiyet kaydı ile aktif bir ilk erişim patikasını birbirinden ayırt etmesini sağlar. Ivanti sınıfı edge açıklıklarında bu ayrım, rutin patch planlaması ile acil müdahale arasındaki operasyonel farktır.