Utnytter Ivanti EPMM Vulnerabilities: Threat Actors on the Prowl
Som svar på pågående cybertrusler har Cybersecurity and Infrastructure Security Agency (CISA) og Norwegian National Cyber Security Center (NCSC-NO) i fellesskap utstedt en betydelig Cybersecurity Advisory (CSA). De tar for seg utnyttelsen av to sårbarheter , nemlig CVE-2023-35078 og CVE-2023-35081. Disse sårbarhetene har vært utsatt for angrep fra avanserte vedvarende trussel (APT)-aktører, som utnyttet CVE-2023-35078 som en nulldag fra april 2023 til juli 2023. APT-aktørene brukte denne sårbarheten til å samle inn sensitiv informasjon fra ulike norske organisasjoner og kompromitterte et norsk myndighets nettverk. For å møte sikkerhetsrisikoen, ga Ivanti, programvareleverandøren, ut oppdateringer for begge sårbarhetene henholdsvis 23. juli 2023 og 28. juli 2023. NCSC-NO har også observert mulig sårbarhetskjeding av CVE-2023-35081 og CVE-2023-35078, noe som indikerer en kompleks og potensielt skadelig cybertrussel.
Innholdsfortegnelse
Hva ligger bak CVE-2023-35078 og CVE-2023-35081?
CVE-2023-35078 utgjør en kritisk risiko for Ivanti Endpoint Manager Mobile (EPMM), tidligere kjent som MobileIron Core, ettersom den lar trusselaktører få tilgang til personlig identifiserbar informasjon (PII) og gjøre konfigurasjonsendringer på kompromitterte systemer. I mellomtiden gir CVE-2023-35081 aktører med EPMM-administratorrettigheter muligheten til å skrive vilkårlige filer med operativsystemrettighetene til EPMM-nettapplikasjonsserveren. Trusselaktører kan få innledende, privilegert tilgang til EPMM-systemer og kjøre opplastede filer som nettskall ved å lenke disse sårbarhetene sammen. Siden Mobile Device Management (MDM)-systemer som EPMM gir økt tilgang til en rekke mobile enheter, har de blitt attraktive mål for truende aktører, spesielt med tanke på tidligere utnyttelse av MobileIron-sårbarheter. Gitt potensialet for omfattende utnyttelse i offentlige og private nettverk, uttrykker CISA og NCSC-NO alvorlig bekymring over disse sikkerhetstruslene.
I denne Cybersecurity Advisory (CSA) deler NCSC-NO indikatorer på kompromiss (IOC), taktikk, teknikker og prosedyrer (TTP) oppdaget under undersøkelsene deres. CSA inneholder en kjernemal, som hjelper til med å identifisere upatchede enheter, og gir deteksjonsveiledning for organisasjoner for å søke etter tegn på kompromiss proaktivt. CISA og NCSC-NO oppfordrer sterkt organisasjoner til å bruke deteksjonsveiledning for å oppdage ondsinnet aktivitet. Skulle det oppdages et potensielt kompromiss, bør organisasjoner følge anbefalingene for hendelsesrespons som er skissert i CSA. Selv i fravær av kompromisser, må organisasjoner bruke oppdateringene Ivanti utstedte for å sikre sikkerheten raskt.
Utnyttelse aktive siden april 2023
CVE-2023-35078 har vært et hyppig gjenstand for utnyttelse av APT-aktører siden april 2023. De brukte kompromitterte SOHO-rutere, inkludert ASUS-rutere, som proxyer til målinfrastruktur. NCSC-NO observerte aktørene som utnyttet denne sårbarheten for å få innledende tilgang til EPMM-enheter. Vel inne, utførte aktørene ulike aktiviteter, som å utføre vilkårlige LDAP-spørringer mot Active Directory, hente LDAP-endepunkter, liste opp brukere og administratorer ved hjelp av API-baner og gjøre konfigurasjonsendringer på EPMM-enheten. De spesifikke konfigurasjonsendringene gjort av skuespillerne forblir ukjente.
APT-aktørene sjekket regelmessig EPMM Core-revisjonslogger for å dekke sporene deres og slettet noen av oppføringene deres i Apache httpd-logger ved å bruke den ondsinnede Tomcat-applikasjonen "mi.war" basert på keywords.txt. Loggoppføringer som inneholder "Firefox/107.0" ble slettet.
For kommunikasjon med EPMM brukte aktørene Linux og Windows brukeragenter, primært Firefox/107.0. Selv om andre agenter spilte inn, la de ikke spor i enhetslogger. Den nøyaktige metoden trusselaktørene brukte for å kjøre skallkommandoer på EPMM-enheten forblir ubekreftet. NCSC-NO mistenker at de utnyttet CVE-2023-35081 for å laste opp web-skall og utføre kommandoer.
For å tunnelere trafikk fra internett til minst én utilgjengelig Exchange-server, brukte APT-aktørene Ivanti Sentry, en applikasjonsgateway-enhet som støtter EPMM. Den nøyaktige teknikken som ble brukt for denne tunneleringen er imidlertid fortsatt ukjent.
Utnytter Ivanti EPMM Vulnerabilities: Threat Actors on the Prowl skjermbilder
