بهره‌برداری از آسیب‌پذیری‌های Ivanti EPMM: بازیگران تهدید در حال پراکندگی

در پاسخ به تهدیدات سایبری جاری، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و مرکز امنیت سایبری ملی نروژ (NCSC-NO) مشترکاً یک مشاوره امنیت سایبری قابل توجه (CSA) صادر کرده اند. آنها در حال بررسی بهره برداری از دو آسیب پذیری ، یعنی CVE-2023-35078 و CVE-2023-35081 هستند. این آسیب‌پذیری‌ها در معرض حملات عوامل تهدید دائمی پیشرفته (APT) قرار گرفته‌اند که از CVE-2023-35078 به عنوان یک روز صفر از آوریل 2023 تا ژوئیه 2023 سوء استفاده کردند. بازیگران APT از این آسیب‌پذیری برای جمع‌آوری اطلاعات حساس از سازمان‌های مختلف نروژی استفاده کردند. با موفقیت شبکه یک سازمان دولتی نروژ را به خطر انداخت. برای مقابله با خطرات امنیتی، ایوانتی، فروشنده نرم افزار، وصله های هر دو آسیب پذیری را به ترتیب در 23 ژوئیه 2023 و 28 جولای 2023 منتشر کرد. NCSC-NO همچنین زنجیره آسیب‌پذیری احتمالی CVE-2023-35081 و CVE-2023-35078 را مشاهده کرده است که نشان‌دهنده یک تهدید سایبری پیچیده و بالقوه مضر است.

چه چیزی پشت CVE-2023-35078 و CVE-2023-35081 نهفته است؟

CVE-2023-35078 برای Ivanti Endpoint Manager Mobile (EPMM) که قبلا به عنوان MobileIron Core شناخته می‌شد، خطری حیاتی ایجاد می‌کند، زیرا به عوامل تهدید اجازه می‌دهد به اطلاعات شناسایی شخصی (PII) دسترسی داشته باشند و تغییرات پیکربندی را در سیستم‌های در معرض خطر ایجاد کنند. در همین حال، CVE-2023-35081 به بازیگران دارای امتیازات سرپرست EPMM توانایی نوشتن فایل های دلخواه با امتیازات سیستم عامل سرور برنامه وب EPMM را می دهد. عوامل تهدید می‌توانند دسترسی اولیه و ممتاز به سیستم‌های EPMM داشته باشند و فایل‌های آپلود شده مانند پوسته‌های وب را با زنجیر کردن این آسیب‌پذیری‌ها به یکدیگر اجرا کنند. از آنجایی که سیستم‌های مدیریت دستگاه تلفن همراه (MDM) مانند EPMM دسترسی بالایی به دستگاه‌های تلفن همراه متعددی فراهم می‌کنند، به اهداف جذابی برای عوامل تهدید کننده تبدیل شده‌اند، به ویژه با توجه به سوء استفاده‌های قبلی از آسیب‌پذیری‌های MobileIron. با توجه به پتانسیل برای بهره برداری گسترده در شبکه های دولتی و بخش خصوصی، CISA و NCSC-NO نگرانی شدید خود را در مورد این تهدیدات امنیتی ابراز می کنند.

در این مشاوره امنیت سایبری (CSA)، NCSC-NO شاخص‌های سازش (IOC)، تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) را که در طول تحقیقات خود کشف کرده‌اند، به اشتراک می‌گذارد. CSA دارای یک الگوی هسته است که به شناسایی دستگاه‌های وصله‌نشده کمک می‌کند و راهنمایی‌های تشخیص را برای سازمان‌ها فراهم می‌کند تا به طور فعالانه نشانه‌های سازش را جستجو کنند. CISA و NCSC-NO قویاً سازمان‌ها را تشویق می‌کنند تا از راهنمایی‌های تشخیص برای شناسایی فعالیت‌های مخرب استفاده کنند. در صورت شناسایی هرگونه مصالحه بالقوه، سازمان ها باید از توصیه های واکنش به حادثه که در CSA مشخص شده است پیروی کنند. حتی در صورت عدم وجود مصالحه، سازمان‌ها باید وصله‌هایی را که ایوانتی صادر کرده است برای اطمینان از امنیت به سرعت اعمال کنند.

اکسپلویت از آوریل 2023 فعال است

CVE-2023-35078 از آوریل 2023 مورد سوء استفاده مکرر بازیگران APT بوده است. آنها از روترهای SOHO در معرض خطر، از جمله روترهای ASUS، به عنوان پروکسی برای هدف قرار دادن زیرساخت استفاده کردند. NCSC-NO بازیگرانی را مشاهده کرد که از این آسیب‌پذیری برای دستیابی به دسترسی اولیه به دستگاه‌های EPMM استفاده می‌کردند. پس از ورود، بازیگران فعالیت‌های مختلفی را انجام دادند، مانند انجام پرس‌وجوهای دلخواه LDAP در مقابل Active Directory، بازیابی نقاط پایانی LDAP، فهرست کردن کاربران و مدیران با استفاده از مسیرهای API، و ایجاد تغییرات پیکربندی در دستگاه EPMM. تغییرات پیکربندی خاص انجام شده توسط بازیگران ناشناخته باقی مانده است.

بازیگران APT به طور منظم گزارش‌های حسابرسی هسته EPMM را بررسی می‌کردند تا مسیرهای خود را پوشش دهند و برخی از ورودی‌های خود را در گزارش‌های httpd آپاچی با استفاده از برنامه مخرب Tomcat "mi.war" بر اساس keywords.txt حذف کردند. ورودی های گزارش حاوی "Firefox/107.0" حذف شدند.

برای ارتباط با EPMM، بازیگران از عوامل کاربر لینوکس و ویندوز، در درجه اول Firefox/107.0 استفاده کردند. اگر چه عوامل دیگری وارد بازی شدند، اما ردپایی در سیاهه های دستگاه باقی نگذاشتند. روش دقیقی که بازیگران تهدید برای اجرای دستورات پوسته روی دستگاه EPMM استفاده می‌کنند تأیید نشده باقی مانده است. NCSC-NO مشکوک است که از CVE-2023-35081 برای آپلود پوسته های وب و اجرای دستورات سوء استفاده کرده است.

برای تونل کردن ترافیک از اینترنت به حداقل یک سرور Exchange غیرقابل دسترسی، بازیگران APT از Ivanti Sentry، یک ابزار دروازه برنامه کاربردی که از EPMM پشتیبانی می‌کند، استفاده کردند. با این حال، تکنیک دقیق مورد استفاده برای این تونل ناشناخته باقی مانده است.

بهره‌برداری از آسیب‌پذیری‌های Ivanti EPMM: بازیگران تهدید در حال پراکندگی اسکرین شات