Využití Ivanti EPMM Zranitelnosti: Threat Actors on the Prowl

V reakci na pokračující kybernetické hrozby vydaly Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a Norské národní centrum kybernetické bezpečnosti (NCSC-NO) společně významné doporučení pro kybernetickou bezpečnost (CSA). Zabývají se zneužitím dvou zranitelností , konkrétně CVE-2023-35078 a CVE-2023-35081. Tato zranitelnost byla vystavena útokům ze strany aktérů pokročilé perzistentní hrozby (APT), kteří zneužili CVE-2023-35078 jako zero-day od dubna 2023 do července 2023. Aktéři APT využili tuto zranitelnost ke shromažďování citlivých informací od různých norských organizací a úspěšně kompromitoval síť norské vládní agentury. Aby se vypořádal s bezpečnostními riziky, Ivanti, dodavatel softwaru, vydal záplaty pro obě zranitelnosti 23. července 2023, respektive 28. července 2023. NCSC-NO také zaznamenalo možné řetězení zranitelnosti CVE-2023-35081 a CVE-2023-35078, což ukazuje na komplexní a potenciálně škodlivou kybernetickou hrozbu.

Co se skrývá za CVE-2023-35078 a CVE-2023-35081?

CVE-2023-35078 představuje kritické riziko pro Ivanti Endpoint Manager Mobile (EPMM), dříve známý jako MobileIron Core, protože umožňuje aktérům hrozeb přistupovat k osobním údajům (PII) a provádět změny konfigurace na kompromitovaných systémech. Mezitím CVE-2023-35081 uděluje aktérům s administrátorskými právy EPMM možnost zapisovat libovolné soubory s oprávněními operačního systému webového aplikačního serveru EPMM. Aktéři hrozeb mohou získat počáteční privilegovaný přístup k systémům EPMM a spouštět nahrané soubory, jako jsou webové shelly, zřetězením těchto zranitelností dohromady. Protože systémy Mobile Device Management (MDM), jako je EPMM, poskytují zvýšený přístup k mnoha mobilním zařízením, staly se atraktivními cíli pro ohrožující aktéry, zejména s ohledem na předchozí zneužití zranitelností MobileIron. Vzhledem k potenciálu širokého využívání ve vládních a soukromých sítích vyjadřují CISA a NCSC-NO vážné znepokojení nad těmito bezpečnostními hrozbami.

V tomto Poradně o kybernetické bezpečnosti (CSA) sdílí NCSC-NO indikátory kompromisu (IOC), taktiky, techniky a postupy (TTP) objevené během jejich vyšetřování. CSA obsahuje šablonu jader, která pomáhá při identifikaci zařízení bez záplaty a poskytuje organizacím pokyny k detekci, aby proaktivně hledaly známky kompromisu. CISA a NCSC-NO důrazně doporučují organizacím, aby k detekci škodlivé činnosti používaly pokyny pro detekci. Pokud by byl zjištěn jakýkoli potenciální kompromis, organizace by se měly řídit doporučeními pro reakci na incidenty uvedenými v CSA. I když nedojde ke kompromisu, musí organizace použít záplaty vydané Ivanti, aby zajistily bezpečnost rychle.

Využívá aktivní od dubna 2023

CVE-2023-35078 je od dubna 2023 častým předmětem zneužívání aktéry APT. Využili kompromitované SOHO routery, včetně routerů ASUS, jako proxy pro cílovou infrastrukturu. NCSC-NO pozorovalo aktéry využívající tuto zranitelnost k získání počátečního přístupu k zařízením EPMM. Jakmile byli uvnitř, aktéři prováděli různé činnosti, jako je provádění libovolných dotazů LDAP na Active Directory, načítání koncových bodů LDAP, seznam uživatelů a správců pomocí cest API a provádění změn konfigurace na zařízení EPMM. Konkrétní změny konfigurace provedené herci zůstávají neznámé.

Herci APT pravidelně kontrolovali protokoly auditu EPMM Core, aby zakryli své stopy, a vymazali některé ze svých záznamů v protokolech Apache httpd pomocí škodlivé aplikace Tomcat "mi.war" založené na keywords.txt. Záznamy protokolu obsahující „Firefox/107.0“ byly smazány.

Pro komunikaci s EPMM použili aktéři uživatelské agenty Linuxu a Windows, především Firefox/107.0. Přestože do hry vstoupili další agenti, nezanechali stopy v protokolech zařízení. Přesná metoda, kterou aktéři hrozby použili ke spuštění příkazů shellu na zařízení EPMM, zůstává nepotvrzená. NCSC-NO má podezření, že zneužili CVE-2023-35081 k nahrávání webových shellů a provádění příkazů.

K tunelování provozu z internetu na alespoň jeden nepřístupný Exchange server použili aktéři APT Ivanti Sentry, zařízení aplikační brány podporující EPMM. Přesná technika použitá pro toto tunelování však zůstává neznámá.

Využití Ivanti EPMM Zranitelnosti: Threat Actors on the Prowl snímků obrazovky