Explotació de les vulnerabilitats d'Ivanti EPMM: actors d'amenaça a l'aguait
En resposta a les amenaces cibernètiques en curs, l'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) i el Centre Nacional de Ciberseguretat de Noruega (NCSC-NO) han emès conjuntament un important Assessorament de Ciberseguretat (CSA). Estan abordant l'explotació de dues vulnerabilitats , CVE-2023-35078 i CVE-2023-35081. Aquestes vulnerabilitats han estat objecte d'atacs per part d'actors d'amenaça persistent avançada (APT), que van explotar CVE-2023-35078 com a dia zero des d'abril de 2023 fins a juliol de 2023. Els actors de l'APT van utilitzar aquesta vulnerabilitat per recopilar informació sensible de diverses organitzacions noruegues i va comprometre amb èxit la xarxa d'una agència governamental noruega. Per abordar els riscos de seguretat, Ivanti, el proveïdor de programari, va llançar pedaços per a ambdues vulnerabilitats el 23 de juliol de 2023 i el 28 de juliol de 2023, respectivament. El NCSC-NO també ha observat un possible encadenament de vulnerabilitats de CVE-2023-35081 i CVE-2023-35078, que indica una ciberamenaça complexa i potencialment perjudicial.
Taula de continguts
Què hi ha darrere de CVE-2023-35078 i CVE-2023-35081?
CVE-2023-35078 suposa un risc crític per a Ivanti Endpoint Manager Mobile (EPMM), abans conegut com MobileIron Core, ja que permet als actors de l'amenaça accedir a la informació d'identificació personal (PII) i fer canvis de configuració en sistemes compromesos. Mentrestant, CVE-2023-35081 concedeix als actors amb privilegis d'administrador EPMM la possibilitat d'escriure fitxers arbitraris amb els privilegis del sistema operatiu del servidor d'aplicacions web EPMM. Els actors de l'amenaça poden obtenir accés inicial i privilegiat als sistemes EPMM i executar fitxers penjats com ara shells web encadenant aquestes vulnerabilitats. Com que els sistemes de gestió de dispositius mòbils (MDM) com EPMM proporcionen un accés elevat a nombrosos dispositius mòbils, s'han convertit en objectius atractius per als actors amenaçadors, sobretot tenint en compte les explotacions anteriors de les vulnerabilitats de MobileIron. Tenint en compte el potencial d'explotació generalitzada a les xarxes governamentals i del sector privat, CISA i NCSC-NO expressen una gran preocupació per aquestes amenaces a la seguretat.
En aquest Assessorament de ciberseguretat (CSA), NCSC-NO comparteix indicadors de compromís (IOC), tàctiques, tècniques i procediments (TTP) descoberts durant les seves investigacions. El CSA incorpora una plantilla de nuclis que ajuda a identificar els dispositius sense pegats i proporciona una guia de detecció perquè les organitzacions cerquin signes de compromís de manera proactiva. CISA i NCSC-NO animen fermament les organitzacions a utilitzar les instruccions de detecció per detectar activitats malicioses. En cas que es detecti qualsevol possible compromís, les organitzacions haurien de seguir les recomanacions de resposta a incidents descrites a la CSA. Fins i tot en absència de compromís, les organitzacions han d'aplicar els pedaços emesos per Ivanti per garantir la seguretat ràpidament.
Exploitacions actives des d'abril de 2023
CVE-2023-35078 ha estat un objecte freqüent d'explotació per part dels actors de l'APT des de l'abril de 2023. Van utilitzar encaminadors SOHO compromesos, inclosos els encaminadors ASUS, com a intermediaris per a la infraestructura de destinació. NCSC-NO va observar que els actors aprofitaven aquesta vulnerabilitat per obtenir accés inicial als dispositius EPMM. Un cop a dins, els actors van realitzar diverses activitats, com ara fer consultes LDAP arbitràries contra Active Directory, recuperar els punts finals LDAP, enumerar usuaris i administradors mitjançant camins de l'API i fer canvis de configuració al dispositiu EPMM. Els canvis específics de configuració realitzats pels actors segueixen sent desconeguts.
Els actors de l'APT verificaven regularment els registres d'auditoria de l'EPMM Core per cobrir les seves pistes i esborraven algunes de les seves entrades als registres httpd d'Apache mitjançant l'aplicació maliciosa de Tomcat "mi.war" basada en keywords.txt. S'han suprimit les entrades de registre que contenien "Firefox/107.0".
Per a la comunicació amb EPMM, els actors van utilitzar agents d'usuari de Linux i Windows, principalment Firefox/107.0. Tot i que van entrar en joc altres agents, no van deixar rastres als registres del dispositiu. El mètode exacte que van utilitzar els actors de l'amenaça per executar ordres de l'intèrpret d'ordres al dispositiu EPMM continua sense confirmar-se. NCSC-NO sospita que van explotar CVE-2023-35081 per carregar shells web i executar ordres.
Per túnelitzar el trànsit d'Internet a almenys un servidor Exchange inaccessible, els actors de l'APT van emprar Ivanti Sentry, un dispositiu de passarel·la d'aplicacions que admet EPMM. No obstant això, encara es desconeix la tècnica exacta utilitzada per a aquest túnel.
Explotació de les vulnerabilitats d’Ivanti EPMM: actors d’amenaça a l’aguait captures de pantalla
