استغلال ثغرات Ivanti EPMM: تهديد الجهات الفاعلة في الجوف
استجابة للتهديدات السيبرانية المستمرة ، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) والمركز الوطني النرويجي للأمن السيبراني (NCSC-NO) استشاريًا هامًا للأمن السيبراني (CSA). إنهم يعالجون استغلال ثغرات أمنية ، وهما CVE-2023-35078 و CVE-2023-35081. تعرضت هذه الثغرات الأمنية لهجمات من قبل الجهات الفاعلة المتقدمة للتهديد المستمر (APT) ، الذين استغلوا CVE-2023-35078 باعتباره يوم الصفر من أبريل 2023 حتى يوليو 2023. استخدم ممثلو APT هذه الثغرة الأمنية لجمع معلومات حساسة من مختلف المنظمات النرويجية و نجحت في اختراق شبكة وكالة حكومية نرويجية. لمعالجة المخاطر الأمنية ، أصدر بائع البرامج Ivanti تصحيحات لكل من الثغرات الأمنية في 23 يوليو 2023 و 28 يوليو 2023 على التوالي. كما لاحظ NCSC-NO تسلسل نقاط الضعف المحتملة في CVE-2023-35081 و CVE-2023-35078 ، مما يشير إلى وجود تهديد إلكتروني معقد ومن المحتمل أن يكون ضارًا.
جدول المحتويات
ما الذي يكمن وراء CVE-2023-35078 و CVE-2023-35081؟
يشكل CVE-2023-35078 خطرًا كبيرًا على Ivanti Endpoint Manager Mobile (EPMM) ، المعروف سابقًا باسم MobileIron Core ، لأنه يسمح للجهات الفاعلة في التهديد بالوصول إلى معلومات التعريف الشخصية (PII) وإجراء تغييرات التكوين على الأنظمة المخترقة. وفي الوقت نفسه ، تمنح CVE-2023-35081 الجهات الفاعلة التي تتمتع بامتيازات مسؤول EPMM القدرة على كتابة ملفات عشوائية بامتيازات نظام التشغيل لخادم تطبيق الويب EPMM. يمكن لممثلي التهديدات الحصول على وصول مبدئي وامتياز إلى أنظمة EPMM وتنفيذ الملفات التي تم تحميلها مثل قذائف الويب من خلال ربط هذه الثغرات ببعضها البعض. نظرًا لأن أنظمة إدارة الأجهزة المحمولة (MDM) مثل EPMM توفر وصولًا مرتفعًا إلى العديد من الأجهزة المحمولة ، فقد أصبحت أهدافًا جذابة للجهات الفاعلة المهددة ، لا سيما بالنظر إلى الثغرات السابقة للثغرات الأمنية MobileIron. نظرًا لاحتمال انتشار الاستغلال على نطاق واسع في شبكات الحكومة والقطاع الخاص ، فإن CISA و NCSC-NO يعربان عن قلقهما البالغ إزاء هذه التهديدات الأمنية.
في هذا الدليل الاستشاري للأمن السيبراني (CSA) ، يشارك NCSC-NO مؤشرات التسوية (IOCs) والتكتيكات والتقنيات والإجراءات (TTPs) التي تم اكتشافها أثناء تحقيقاتهم. يشتمل CSA على نموذج نوى ، يساعد في تحديد الأجهزة التي لم يتم إصلاحها ، ويوفر إرشادات الكشف للمؤسسات للبحث عن علامات التسوية بشكل استباقي. تشجع CISA و NCSC-NO المنظمات بشدة على استخدام دليل الكشف للكشف عن النشاط الضار. في حالة اكتشاف أي حل وسط محتمل ، يجب على المؤسسات اتباع توصيات الاستجابة للحوادث الموضحة في CSA. حتى في حالة عدم وجود حل وسط ، يجب على المنظمات تطبيق التصحيحات الصادرة عن Ivanti لضمان الأمن على الفور.
برمجيات إكسبلويت نشطة منذ أبريل 2023
كان CVE-2023-35078 موضوعًا متكررًا للاستغلال من قبل الجهات الفاعلة في APT منذ أبريل 2023. لقد استخدموا أجهزة توجيه SOHO المخترقة ، بما في ذلك أجهزة توجيه ASUS ، كوكلاء لاستهداف البنية التحتية. لاحظ NCSC-NO الجهات الفاعلة التي استفادت من هذه الثغرة الأمنية للوصول الأولي إلى أجهزة EPMM. بمجرد الدخول ، أجرى الممثلون أنشطة مختلفة ، مثل تنفيذ استعلامات LDAP التعسفية ضد Active Directory ، واسترداد نقاط نهاية LDAP ، وإدراج المستخدمين والمسؤولين باستخدام مسارات API ، وإجراء تغييرات التكوين على جهاز EPMM. لا تزال تغييرات التكوين المحددة التي أجراها الممثلون غير معروفة.
قام ممثلو APT بفحص سجلات تدقيق EPMM Core بانتظام لتغطية مساراتهم وحذفوا بعض إدخالاتهم في سجلات Apache httpd باستخدام تطبيق Tomcat الضار "mi.war" استنادًا إلى keywords.txt. تم حذف إدخالات السجل التي تحتوي على "Firefox / 107.0".
للتواصل مع EPMM ، استخدم الممثلون وكلاء مستخدم Linux و Windows ، بشكل أساسي Firefox / 107.0. على الرغم من أن الوكلاء الآخرين دخلوا حيز التنفيذ ، إلا أنهم لم يتركوا آثارًا في سجلات الجهاز. لا تزال الطريقة الدقيقة التي استخدمها ممثلو التهديد لتشغيل أوامر shell على جهاز EPMM غير مؤكدة. يشتبه NCSC-NO في أنهم استغلوا CVE-2023-35081 لتحميل قذائف الويب وتنفيذ الأوامر.
لتوجيه حركة المرور عبر الإنترنت إلى خادم Exchange واحد على الأقل لا يمكن الوصول إليه ، استخدم ممثلو APT Ivanti Sentry ، وهو عبارة عن جهاز بوابة تطبيق يدعم EPMM. ومع ذلك ، فإن التقنية الدقيقة المستخدمة لهذا النفق لا تزال غير معروفة.
استغلال ثغرات Ivanti EPMM: تهديد الجهات الفاعلة في الجوف لقطة
