Ivanti EPMM-i haavatavuste ärakasutamine: varitsevad ohunäitlejad
Vastuseks jätkuvatele küberohtudele on küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) ja Norra riiklik küberturvakeskus (NCSC-NO) ühiselt välja andnud olulise küberturvalisuse nõuande (CSA). Need käsitlevad kahe haavatavuse , nimelt CVE-2023-35078 ja CVE-2023-35081 ärakasutamist. Neid haavatavusi on rünnanud arenenud püsiva ohu (APT) osalejad, kes kasutasid CVE-2023-35078 nullpäevana 2023. aasta aprillist kuni 2023. aasta juulini. APT osalejad kasutasid seda haavatavust erinevatelt Norra organisatsioonidelt ja organisatsioonidelt tundliku teabe kogumiseks. õnnestus ohustada Norra valitsusasutuse võrku. Turvariskide lahendamiseks andis tarkvaramüüja Ivanti mõlemale haavatavusele paigad välja vastavalt 23. juulil 2023 ja 28. juulil 2023. NCSC-NO on täheldanud ka CVE-2023-35081 ja CVE-2023-35078 võimalikku haavatavuse ahelat, mis viitab keerulisele ja potentsiaalselt kahjulikule küberohule.
Sisukord
Mis peitub CVE-2023-35078 ja CVE-2023-35081 taga?
CVE-2023-35078 kujutab endast kriitilist ohtu Ivanti Endpoint Manager Mobile'ile (EPMM), varem tuntud kui MobileIron Core, kuna see võimaldab ohus osalejatel pääseda juurde isikut tuvastavale teabele (PII) ja teha ohustatud süsteemides konfiguratsioonimuudatusi. Samal ajal annab CVE-2023-35081 EPMM-i administraatoriõigustega osalejatele võimaluse kirjutada suvalisi faile EPMM-i veebirakenduse serveri operatsioonisüsteemi õigustega. Ohutegurid võivad saada esialgse privilegeeritud juurdepääsu EPMM-süsteemidele ja käivitada üleslaaditud faile, näiteks veebikestasid, aheldades need haavatavused kokku. Kuna mobiilseadmete haldussüsteemid (MDM), nagu EPMM, pakuvad kõrgendatud juurdepääsu paljudele mobiilseadmetele, on neist saanud ahvatlevad sihtmärgid ähvardavatele osalejatele, eriti kui arvestada varasemaid MobileIroni haavatavuste ärakasutamist. Arvestades valitsuse ja erasektori võrkudes laialdase ärakasutamise potentsiaali, väljendavad CISA ja NCSC-NO nende turvaohtude pärast tõsist muret.
Selles küberturvalisuse nõuandes (CSA) jagab NCSC-NO nende uurimiste käigus avastatud kompromissi (IOC), taktikat, tehnikaid ja protseduure (TTP-sid). CSA sisaldab tuumade malli, mis aitab tuvastada paigatamata seadmeid ja annab organisatsioonidele tuvastamisjuhised, et ennetavalt otsida kompromissi märke. CISA ja NCSC-NO julgustavad organisatsioone kasutama pahatahtliku tegevuse tuvastamiseks avastamisjuhiseid. Kui avastatakse võimalikud ohud, peaksid organisatsioonid järgima CSA-s kirjeldatud intsidentidele reageerimise soovitusi. Isegi kompromisside puudumisel peavad organisatsioonid turvalisuse tagamiseks rakendama Ivanti väljastatud plaastreid.
Kasutused on aktiivsed alates 2023. aasta aprillist
CVE-2023-35078 on APT osalejad sageli ära kasutanud alates 2023. aasta aprillist. Nad kasutasid sihtinfrastruktuuri puhverserveritena ohustatud SOHO ruutereid, sealhulgas ASUSe ruutereid. NCSC-NO jälgis, kuidas näitlejad kasutasid seda haavatavust, et saada esmane juurdepääs EPMM-seadmetele. Sisse sisenedes tegid näitlejad mitmesuguseid tegevusi, nagu suvaliste LDAP-päringute sooritamine Active Directory vastu, LDAP-i lõpp-punktide toomine, kasutajate ja administraatorite loetlemine API-teede abil ning konfiguratsioonimuudatuste tegemine EPMM-seadmes. Näitlejate tehtud konkreetsed konfiguratsioonimuudatused jäävad teadmata.
APT osalejad kontrollisid regulaarselt EPMM Core'i auditiloge, et katta oma jälgi, ja kustutasid mõned oma kirjed Apache httpd-logidest, kasutades märksõnas.txt-l põhinevat pahatahtlikku Tomcati rakendust "mi.war". Faili "Firefox/107.0" sisaldavad logikirjed kustutati.
EPMM-iga suhtlemiseks kasutasid näitlejad Linuxi ja Windowsi kasutajaagente, peamiselt Firefox/107.0. Kuigi mängu tulid ka teised agendid, ei jätnud nad seadme logidesse jälgi. Täpne meetod, mida ohus osalejad kasutasid EPMM-seadmes shellikäskude käivitamiseks, jääb kinnitamata. NCSC-NO kahtlustab, et nad kasutasid CVE-2023-35081 veebikestade üleslaadimiseks ja käskude täitmiseks.
Interneti-liikluse tunnelimiseks vähemalt ühte ligipääsmatusse Exchange'i serverisse kasutasid APT osalejad Ivanti Sentryt, EPMM-i toetavat rakenduste lüüsi. Selle tunneldamise täpne tehnika on aga teadmata.
Ivanti EPMM-i haavatavuste ärakasutamine: varitsevad ohunäitlejad ekraanipilti
