Εκμετάλλευση των τρωτών σημείων του Ivanti EPMM: Threat Actors on the Prowl
Ως απάντηση στις συνεχιζόμενες απειλές στον κυβερνοχώρο, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) και το Νορβηγικό Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC-NO) εξέδωσαν από κοινού μια σημαντική συμβουλευτική για την ασφάλεια στον κυβερνοχώρο (CSA). Αντιμετωπίζουν την εκμετάλλευση δύο τρωτών σημείων , δηλαδή των CVE-2023-35078 και CVE-2023-35081. Αυτά τα τρωτά σημεία έχουν υποστεί επιθέσεις από παράγοντες προηγμένης επίμονης απειλής (APT), οι οποίοι εκμεταλλεύτηκαν το CVE-2023-35078 ως μηδενική ημέρα από τον Απρίλιο του 2023 έως τον Ιούλιο του 2023. Οι παράγοντες του APT χρησιμοποίησαν αυτήν την ευπάθεια για τη συλλογή ευαίσθητων πληροφοριών από διάφορους νορβηγικούς οργανισμούς και παραβίασε επιτυχώς το δίκτυο μιας νορβηγικής κυβερνητικής υπηρεσίας. Για την αντιμετώπιση των κινδύνων ασφαλείας, ο Ivanti, ο προμηθευτής λογισμικού, κυκλοφόρησε ενημερώσεις κώδικα και για τις δύο ευπάθειες στις 23 Ιουλίου 2023 και στις 28 Ιουλίου 2023, αντίστοιχα. Το NCSC-NO έχει επίσης παρατηρήσει πιθανή αλυσίδα ευπάθειας των CVE-2023-35081 και CVE-2023-35078, υποδεικνύοντας μια περίπλοκη και δυνητικά επιβλαβή απειλή στον κυβερνοχώρο.
Πίνακας περιεχομένων
Τι κρύβεται πίσω από τα CVE-2023-35078 και CVE-2023-35081;
Το CVE-2023-35078 ενέχει κρίσιμο κίνδυνο για το Ivanti Endpoint Manager Mobile (EPMM), παλαιότερα γνωστό ως MobileIron Core, καθώς επιτρέπει στους φορείς απειλής να έχουν πρόσβαση σε προσωπικά αναγνωρίσιμες πληροφορίες (PII) και να κάνουν αλλαγές διαμόρφωσης σε παραβιασμένα συστήματα. Εν τω μεταξύ, το CVE-2023-35081 παραχωρεί σε ηθοποιούς με δικαιώματα διαχειριστή EPMM τη δυνατότητα να γράφουν αυθαίρετα αρχεία με τα δικαιώματα λειτουργικού συστήματος του διακομιστή εφαρμογών ιστού EPMM. Οι φορείς απειλών μπορούν να αποκτήσουν αρχική, προνομιακή πρόσβαση στα συστήματα EPMM και να εκτελέσουν μεταφορτωμένα αρχεία, όπως τα κελύφη Ιστού, συνδέοντας αυτά τα τρωτά σημεία μεταξύ τους. Καθώς τα συστήματα διαχείρισης φορητών συσκευών (MDM) όπως το EPMM παρέχουν αυξημένη πρόσβαση σε πολλές κινητές συσκευές, έχουν γίνει ελκυστικοί στόχοι για απειλητικούς παράγοντες, ειδικά λαμβάνοντας υπόψη προηγούμενες εκμεταλλεύσεις ευπάθειας του MobileIron. Δεδομένης της δυνατότητας ευρείας εκμετάλλευσης στα δίκτυα του δημόσιου και του ιδιωτικού τομέα, η CISA και η NCSC-NO εκφράζουν σοβαρή ανησυχία για αυτές τις απειλές ασφαλείας.
Σε αυτό το Συμβουλευτικό Συμβούλιο για την ασφάλεια στον κυβερνοχώρο (CSA), το NCSC-NO μοιράζεται δείκτες συμβιβασμού (IOC), τακτικές, τεχνικές και διαδικασίες (TTP) που ανακαλύφθηκαν κατά τις έρευνές τους. Το CSA ενσωματώνει ένα πρότυπο πυρήνων, το οποίο βοηθά στον εντοπισμό μη επιδιορθωμένων συσκευών και παρέχει καθοδήγηση ανίχνευσης σε οργανισμούς ώστε να αναζητούν προληπτικά σημεία συμβιβασμού. Οι CISA και NCSC-NO ενθαρρύνουν σθεναρά τους οργανισμούς να χρησιμοποιούν καθοδήγηση εντοπισμού για τον εντοπισμό κακόβουλης δραστηριότητας. Σε περίπτωση που εντοπιστεί οποιοσδήποτε πιθανός συμβιβασμός, οι οργανισμοί θα πρέπει να ακολουθούν τις συστάσεις αντιμετώπισης περιστατικών που περιγράφονται στην CSA. Ακόμη και αν δεν υπάρχει συμβιβασμός, οι οργανισμοί πρέπει να εφαρμόσουν τις ενημερώσεις κώδικα που εξέδωσε ο Ivanti για να εξασφαλίσουν την ασφάλεια αμέσως.
Exploits Active Από τον Απρίλιο του 2023
Το CVE-2023-35078 αποτελεί συχνό αντικείμενο εκμετάλλευσης από τους φορείς APT από τον Απρίλιο του 2023. Χρησιμοποίησαν παραβιασμένους δρομολογητές SOHO, συμπεριλαμβανομένων των δρομολογητών ASUS, ως διακομιστή μεσολάβησης για τη στόχευση της υποδομής. Το NCSC-NO παρατήρησε τους παράγοντες να αξιοποιούν αυτήν την ευπάθεια για να αποκτήσουν αρχική πρόσβαση σε συσκευές EPMM. Μόλις μπουν μέσα, οι ηθοποιοί εκτέλεσαν διάφορες δραστηριότητες, όπως την εκτέλεση αυθαίρετων ερωτημάτων LDAP έναντι της υπηρεσίας καταλόγου Active Directory, την ανάκτηση τελικών σημείων LDAP, την καταχώριση χρηστών και διαχειριστών που χρησιμοποιούν διαδρομές API και την πραγματοποίηση αλλαγών διαμόρφωσης στη συσκευή EPMM. Οι συγκεκριμένες αλλαγές διαμόρφωσης που έγιναν από τους ηθοποιούς παραμένουν άγνωστες.
Οι ηθοποιοί του APT έλεγχαν τακτικά τα αρχεία καταγραφής ελέγχου EPMM Core για να καλύψουν τα ίχνη τους και διέγραψαν ορισμένες από τις καταχωρίσεις τους στα αρχεία καταγραφής httpd του Apache χρησιμοποιώντας την κακόβουλη εφαρμογή Tomcat "mi.war" με βάση τις λέξεις-κλειδιά.txt. Οι εγγραφές καταγραφής που περιείχαν το "Firefox/107.0" διαγράφηκαν.
Για την επικοινωνία με το EPMM, οι ηθοποιοί χρησιμοποίησαν πράκτορες χρηστών Linux και Windows, κυρίως Firefox/107.0. Αν και άλλοι πράκτορες μπήκαν στο παιχνίδι, δεν άφησαν ίχνη στα αρχεία καταγραφής συσκευών. Η ακριβής μέθοδος που χρησιμοποιούσαν οι φορείς απειλής για την εκτέλεση εντολών φλοιού στη συσκευή EPMM παραμένει ανεπιβεβαίωτη. Το NCSC-NO υποπτεύεται ότι εκμεταλλεύτηκε το CVE-2023-35081 για να ανεβάσει κελύφη Ιστού και να εκτελέσει εντολές.
Για τη διοχέτευση της κυκλοφορίας από το Διαδίκτυο σε τουλάχιστον έναν μη προσβάσιμο διακομιστή Exchange, οι παράγοντες του APT χρησιμοποίησαν το Ivanti Sentry, μια συσκευή πύλης εφαρμογών που υποστηρίζει το EPMM. Ωστόσο, η ακριβής τεχνική που χρησιμοποιήθηκε για αυτή τη σήραγγα παραμένει άγνωστη.
Εκμετάλλευση των τρωτών σημείων του Ivanti EPMM: Threat Actors on the Prowl Στιγμιότυπα οθόνης
