Експлоатиране на уязвимостите на Ivanti EPMM: Актьори на заплахи, които дебнат

В отговор на продължаващите киберзаплахи, Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) и Норвежкият национален център за киберсигурност (NCSC-NO) издадоха съвместно значителни съвети за киберсигурност (CSA). Те се занимават с използването на две уязвимости , а именно CVE-2023-35078 и CVE-2023-35081. Тези уязвимости са били обект на атаки от напреднали постоянни заплахи (APT) участници, които са използвали CVE-2023-35078 като нулев ден от април 2023 г. до юли 2023 г. APT участниците са използвали тази уязвимост, за да събират чувствителна информация от различни норвежки организации и успешно компрометира мрежа на норвежка правителствена агенция. За да се справи с рисковете за сигурността, Ivanti, доставчикът на софтуер, пусна пачове и за двете уязвимости съответно на 23 юли 2023 г. и 28 юли 2023 г. NCSC-NO също така наблюдава възможна верига на уязвимости на CVE-2023-35081 и CVE-2023-35078, което показва сложна и потенциално опасна кибер заплаха.

Какво се крие зад CVE-2023-35078 и CVE-2023-35081?

CVE-2023-35078 представлява критичен риск за Ivanti Endpoint Manager Mobile (EPMM), известен преди като MobileIron Core, тъй като позволява на участниците в заплахата да имат достъп до лична информация (PII) и да правят промени в конфигурацията на компрометирани системи. Междувременно CVE-2023-35081 предоставя на участниците с EPMM администраторски привилегии възможността да пишат произволни файлове с привилегиите на операционната система на сървъра за уеб приложения EPMM. Актьорите на заплахи могат да получат първоначален, привилегирован достъп до EPMM системи и да изпълнят качени файлове като уеб обвивки чрез верижно свързване на тези уязвимости заедно. Тъй като системите за управление на мобилни устройства (MDM) като EPMM предоставят повишен достъп до многобройни мобилни устройства, те се превърнаха в привлекателни цели за заплашителни участници, особено като се имат предвид предишни експлойти на уязвимости на MobileIron. Като се има предвид потенциалът за широко разпространена експлоатация в мрежите на правителството и частния сектор, CISA и NCSC-NO изразяват сериозна загриженост относно тези заплахи за сигурността.

В този съвет за киберсигурност (CSA) NCSC-NO споделя индикатори за компрометиране (IOC), тактики, техники и процедури (TTP), открити по време на техните разследвания. CSA включва шаблон за ядра, подпомагащ идентифицирането на устройства без корекции и предоставя насоки за откриване на организациите за проактивно търсене на признаци на компрометиране. CISA и NCSC-NO силно насърчават организациите да използват насоки за откриване за откриване на злонамерена дейност. Ако бъде открит потенциален компромет, организациите трябва да следват препоръките за реакция при инциденти, описани в CSA. Дори при липса на компромис, организациите трябва да прилагат кръпките, издадени от Ivanti, за да осигурят незабавна сигурност.

Експлойти Активни от април 2023 г

CVE-2023-35078 е често обект на експлоатация от APT участници от април 2023 г. Те са използвали компрометирани SOHO рутери, включително ASUS рутери, като проксита за целева инфраструктура. NCSC-NO наблюдава участниците, които използват тази уязвимост, за да получат първоначален достъп до EPMM устройства. Веднъж вътре, актьорите извършваха различни дейности, като извършване на произволни LDAP заявки към Active Directory, извличане на LDAP крайни точки, изброяване на потребители и администратори, използващи API пътеки, и извършване на промени в конфигурацията на EPMM устройството. Конкретните промени в конфигурацията, направени от актьорите, остават неизвестни.

Актьорите от APT редовно проверяваха одитните регистрационни файлове на EPMM Core, за да прикрият следите си и изтриха някои от своите записи в httpd регистрационните файлове на Apache, използвайки злонамереното приложение Tomcat „mi.war“, базирано на keywords.txt. Записите в регистрационния файл, съдържащи „Firefox/107.0“, бяха изтрити.

За комуникация с EPMM актьорите използваха потребителски агенти на Linux и Windows, предимно Firefox/107.0. Въпреки че други агенти влязоха в игра, те не оставиха следи в регистрационните файлове на устройството. Точният метод, използван от участниците в заплахата за изпълнение на команди на обвивката на EPMM устройството, остава непотвърден. NCSC-NO подозира, че са използвали CVE-2023-35081 за качване на уеб черупки и изпълнение на команди.

За да тунелират трафика от интернет към поне един недостъпен Exchange сървър, участниците в APT използваха Ivanti Sentry, устройство за шлюз на приложения, поддържащо EPMM. Въпреки това, точната техника, използвана за това тунелиране, остава неизвестна.

Експлоатиране на уязвимостите на Ivanti EPMM: Актьори на заплахи, които дебнат екранни снимки