Udnytter Ivanti EPMM Vulnerabilities: Threat Actors on the Prowl
Som svar på igangværende cybertrusler har Cybersecurity and Infrastructure Security Agency (CISA) og det norske nationale cybersikkerhedscenter (NCSC-NO) i fællesskab udstedt en betydelig cybersikkerhedsrådgivning (CSA). De adresserer udnyttelsen af to sårbarheder , nemlig CVE-2023-35078 og CVE-2023-35081. Disse sårbarheder har været udsat for angreb fra avancerede persistent trussel (APT)-aktører, som udnyttede CVE-2023-35078 som en nul-dag fra april 2023 til juli 2023. APT-aktørerne brugte denne sårbarhed til at indsamle følsomme oplysninger fra forskellige norske organisationer og kompromitterede med succes et norsk regeringsorgans netværk. For at imødegå sikkerhedsrisiciene udgav Ivanti, softwareleverandøren, patches til begge sårbarheder henholdsvis den 23. juli 2023 og den 28. juli 2023. NCSC-NO har også observeret mulig sårbarhedskæde af CVE-2023-35081 og CVE-2023-35078, hvilket indikerer en kompleks og potentielt skadelig cybertrussel.
Indholdsfortegnelse
Hvad ligger der bag CVE-2023-35078 og CVE-2023-35081?
CVE-2023-35078 udgør en kritisk risiko for Ivanti Endpoint Manager Mobile (EPMM), tidligere kendt som MobileIron Core, da det giver trusselsaktører mulighed for at få adgang til personligt identificerbar information (PII) og foretage konfigurationsændringer på kompromitterede systemer. I mellemtiden giver CVE-2023-35081 aktører med EPMM-administratorrettigheder mulighed for at skrive vilkårlige filer med operativsystemrettighederne fra EPMM-webapplikationsserveren. Trusselaktører kan få indledende, privilegeret adgang til EPMM-systemer og eksekvere uploadede filer som web-skaller ved at kæde disse sårbarheder sammen. Da Mobile Device Management (MDM)-systemer som EPMM giver øget adgang til adskillige mobile enheder, er de blevet attraktive mål for truende aktører, især i betragtning af tidligere udnyttelse af MobileIron-sårbarheder. I betragtning af potentialet for udbredt udnyttelse i offentlige og private netværk, udtrykker CISA og NCSC-NO alvorlig bekymring over disse sikkerhedstrusler.
I denne Cybersecurity Advisory (CSA) deler NCSC-NO indikatorer for kompromis (IOC'er), taktikker, teknikker og procedurer (TTP'er), opdaget under deres undersøgelser. CSA'en inkorporerer en kerneskabelon, der hjælper med at identificere ikke-patchede enheder og giver detekteringsvejledning til organisationer, der proaktivt kan søge efter tegn på kompromis. CISA og NCSC-NO opfordrer kraftigt organisationer til at bruge detektionsvejledning til at opdage ondsindet aktivitet. Hvis der opdages et potentielt kompromis, bør organisationer følge anbefalingerne om hændelsesreaktion, der er skitseret i CSA. Selv i mangel af kompromis, skal organisationer anvende de patches, Ivanti udstedte for at sikre sikkerheden hurtigt.
Udnyttelse aktive siden april 2023
CVE-2023-35078 har været et hyppigt genstand for udnyttelse af APT-aktører siden april 2023. De brugte kompromitterede SOHO-routere, inklusive ASUS-routere, som proxyer til målinfrastruktur. NCSC-NO observerede, at aktørerne udnyttede denne sårbarhed for at få indledende adgang til EPMM-enheder. Når de først var inde, udførte aktørerne forskellige aktiviteter, såsom at udføre vilkårlige LDAP-forespørgsler mod Active Directory, hente LDAP-slutpunkter, liste brugere og administratorer ved hjælp af API-stier og foretage konfigurationsændringer på EPMM-enheden. De specifikke konfigurationsændringer foretaget af skuespillerne forbliver ukendte.
APT-aktørerne tjekkede regelmæssigt EPMM Core-revisionslogfiler for at dække deres spor og slettede nogle af deres poster i Apache httpd-logfiler ved hjælp af den ondsindede Tomcat-applikation "mi.war" baseret på keywords.txt. Logposter indeholdende "Firefox/107.0" blev slettet.
Til kommunikation med EPMM brugte aktørerne Linux og Windows brugeragenter, primært Firefox/107.0. Selvom andre agenter kom i spil, efterlod de ikke spor i enhedslogfiler. Den nøjagtige metode trusselsaktørerne brugte til at køre shell-kommandoer på EPMM-enheden forbliver ubekræftet. NCSC-NO har mistanke om, at de udnyttede CVE-2023-35081 til at uploade web-skaller og udføre kommandoer.
For at tunnelere trafik fra internettet til mindst én utilgængelig Exchange-server, brugte APT-aktørerne Ivanti Sentry, en applikationsgateway-enhed, der understøtter EPMM. Den nøjagtige teknik, der anvendes til denne tunneling, er dog stadig ukendt.
Udnytter Ivanti EPMM Vulnerabilities: Threat Actors on the Prowl Skærmbilleder
