ইভান্তি ইপিএমএম দুর্বলতাকে শোষণ করা: থ্রেট অ্যাক্টরস অন দ্য প্রোল

চলমান সাইবার হুমকির প্রতিক্রিয়ায়, সাইবারসিকিউরিটি এবং ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) এবং নরওয়েজিয়ান ন্যাশনাল সাইবার সিকিউরিটি সেন্টার (NCSC-NO) যৌথভাবে একটি উল্লেখযোগ্য সাইবার সিকিউরিটি অ্যাডভাইজরি (CSA) জারি করেছে। তারা CVE-2023-35078 এবং CVE-2023-35081 নামে দুটি দুর্বলতার শোষণকে সম্বোধন করছে। এই দুর্বলতাগুলি অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) অভিনেতাদের দ্বারা আক্রমণের শিকার হয়েছে, যারা এপ্রিল 2023 থেকে জুলাই 2023 পর্যন্ত শূন্য-দিন হিসাবে CVE-2023-35078 ব্যবহার করেছিল৷ APT অভিনেতারা বিভিন্ন নরওয়েজিয়ান সংস্থার কাছ থেকে সংবেদনশীল তথ্য সংগ্রহ করতে এই দুর্বলতা ব্যবহার করেছিল নরওয়েজিয়ান সরকারী সংস্থার নেটওয়ার্ক সফলভাবে আপস করেছে। নিরাপত্তা ঝুঁকি মোকাবেলার জন্য, সফ্টওয়্যার বিক্রেতা ইভান্তি যথাক্রমে 23 জুলাই, 2023 এবং 28 জুলাই, 2023-এ উভয় দুর্বলতার জন্য প্যাচ প্রকাশ করেছে। NCSC-NO CVE-2023-35081 এবং CVE-2023-35078-এর সম্ভাব্য দুর্বলতা চেইনিংও পর্যবেক্ষণ করেছে, যা একটি জটিল এবং সম্ভাব্য ক্ষতিকারক সাইবার হুমকি নির্দেশ করে।

CVE-2023-35078 এবং CVE-2023-35081 এর পিছনে কী রয়েছে?

CVE-2023-35078 ইভান্তি এন্ডপয়েন্ট ম্যানেজার মোবাইল (EPMM) এর জন্য একটি গুরুতর ঝুঁকি তৈরি করেছে, যা আগে মোবাইলআইরন কোর নামে পরিচিত ছিল, কারণ এটি হুমকি অভিনেতাদের ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য (PII) অ্যাক্সেস করতে এবং আপোসকৃত সিস্টেমে কনফিগারেশন পরিবর্তন করতে দেয়। ইতিমধ্যে, CVE-2023-35081 EPMM অ্যাডমিনিস্ট্রেটর বিশেষাধিকার সহ অভিনেতাদের EPMM ওয়েব অ্যাপ্লিকেশন সার্ভারের অপারেটিং সিস্টেমের বিশেষাধিকারগুলির সাথে নির্বিচারে ফাইল লেখার ক্ষমতা প্রদান করে৷ হুমকি অভিনেতারা EPMM সিস্টেমে প্রাথমিক, বিশেষ সুবিধাপ্রাপ্ত অ্যাক্সেস লাভ করতে পারে এবং এই দুর্বলতাগুলিকে একসাথে চেইন করে ওয়েব শেলগুলির মতো আপলোড করা ফাইলগুলি চালাতে পারে। যেহেতু EPMM-এর মতো মোবাইল ডিভাইস ম্যানেজমেন্ট (MDM) সিস্টেমগুলি অসংখ্য মোবাইল ডিভাইসে উচ্চতর অ্যাক্সেস সরবরাহ করে, তারা হুমকিদাতা অভিনেতাদের জন্য আকর্ষণীয় লক্ষ্যবস্তুতে পরিণত হয়েছে, বিশেষ করে MobileIron দুর্বলতার পূর্ববর্তী শোষণগুলি বিবেচনা করে। সরকারী ও বেসরকারী সেক্টর নেটওয়ার্কে ব্যাপক শোষণের সম্ভাবনার পরিপ্রেক্ষিতে, CISA এবং NCSC-NO এই নিরাপত্তা হুমকির বিষয়ে গভীর উদ্বেগ প্রকাশ করে।

এই সাইবারসিকিউরিটি অ্যাডভাইজরিতে (CSA), NCSC-NO তাদের তদন্তের সময় আবিষ্কৃত সমঝোতার সূচক (IOCs), কৌশল, কৌশল এবং পদ্ধতি (TTPs) শেয়ার করে। CSA একটি নিউক্লিয়াস টেমপ্লেট অন্তর্ভুক্ত করে, যা প্যাচ না করা ডিভাইসগুলি সনাক্ত করতে সহায়তা করে এবং সংগঠনগুলিকে সক্রিয়ভাবে সমঝোতার লক্ষণগুলি অনুসন্ধান করার জন্য সনাক্তকরণ নির্দেশিকা প্রদান করে। CISA এবং NCSC-NO দূষিত কার্যকলাপ সনাক্ত করার জন্য সনাক্তকরণ নির্দেশিকা ব্যবহার করার জন্য সংস্থাগুলিকে জোরালোভাবে উত্সাহিত করে৷ কোনো সম্ভাব্য আপস সনাক্ত করা হলে, সংস্থাগুলিকে CSA-তে বর্ণিত ঘটনার প্রতিক্রিয়া সুপারিশগুলি অনুসরণ করা উচিত। এমনকি সমঝোতার অনুপস্থিতিতে, সংস্থাগুলিকে অবশ্যই নিরাপত্তা নিশ্চিত করতে ইভান্তির জারি করা প্যাচগুলি প্রয়োগ করতে হবে।

এপ্রিল 2023 সাল থেকে সক্রিয় শোষণ

CVE-2023-35078 এপ্রিল 2023 সাল থেকে APT অভিনেতাদের দ্বারা শোষণের একটি ঘন ঘন বিষয়। তারা ASUS রাউটার সহ আপোষহীন SOHO রাউটারগুলিকে অবকাঠামো লক্ষ্য করার প্রক্সি হিসাবে ব্যবহার করেছিল। NCSC-NO EPMM ডিভাইসগুলিতে প্রাথমিক অ্যাক্সেস পেতে অভিনেতাদের এই দুর্বলতা ব্যবহার করে পর্যবেক্ষণ করেছে। ভিতরে একবার, অভিনেতারা বিভিন্ন ক্রিয়াকলাপ সম্পাদন করে, যেমন অ্যাক্টিভ ডিরেক্টরির বিরুদ্ধে নির্বিচারে LDAP প্রশ্নগুলি সম্পাদন করা, LDAP এন্ডপয়েন্ট পুনরুদ্ধার করা, API পাথ ব্যবহার করে ব্যবহারকারী এবং প্রশাসকদের তালিকা করা এবং EPMM ডিভাইসে কনফিগারেশন পরিবর্তন করা। অভিনেতাদের দ্বারা তৈরি নির্দিষ্ট কনফিগারেশন পরিবর্তন অজানা থেকে যায়।

APT অভিনেতারা তাদের ট্র্যাকগুলি কভার করার জন্য নিয়মিত EPMM কোর অডিট লগগুলি পরীক্ষা করে এবং keywords.txt-এর উপর ভিত্তি করে দূষিত টমক্যাট অ্যাপ্লিকেশন "mi.war" ব্যবহার করে Apache httpd লগগুলিতে তাদের কিছু এন্ট্রি মুছে ফেলে। "Firefox/107.0" ধারণকারী লগ এন্ট্রি মুছে ফেলা হয়েছে।

ইপিএমএমের সাথে যোগাযোগের জন্য, অভিনেতারা লিনাক্স এবং উইন্ডোজ ব্যবহারকারী এজেন্ট ব্যবহার করেছেন, প্রাথমিকভাবে ফায়ারফক্স/107.0। যদিও অন্যান্য এজেন্টরা খেলতে এসেছিল, তারা ডিভাইস লগগুলিতে চিহ্ন রেখে যায়নি। EPMM ডিভাইসে শেল কমান্ড চালানোর জন্য হুমকি অভিনেতারা যে সঠিক পদ্ধতিটি নিযুক্ত করে তা এখনও নিশ্চিত নয়। NCSC-NO সন্দেহ করে যে তারা CVE-2023-35081 কে ব্যবহার করেছে ওয়েব শেল আপলোড করতে এবং কমান্ড চালাতে।

ইন্টারনেট থেকে অন্তত একটি অ্যাক্সেসযোগ্য এক্সচেঞ্জ সার্ভারে ট্র্যাফিক টানেল করার জন্য, APT অভিনেতারা ইভান্তি সেন্ট্রিকে নিযুক্ত করেছিল, একটি অ্যাপ্লিকেশন গেটওয়ে যন্ত্র যা EPMM সমর্থন করে। যাইহোক, এই টানেলিংয়ের জন্য ব্যবহৃত সঠিক কৌশলটি অজানা থেকে যায়।

ইভান্তি ইপিএমএম দুর্বলতাকে শোষণ করা: থ্রেট অ্যাক্টরস অন দ্য প্রোল স্ক্রিনশট