بهرهبرداری از آسیبپذیریهای Ivanti EPMM: بازیگران تهدید در حال پراکندگی
در پاسخ به تهدیدات سایبری جاری، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و مرکز امنیت سایبری ملی نروژ (NCSC-NO) مشترکاً یک مشاوره امنیت سایبری قابل توجه (CSA) صادر کرده اند. آنها در حال بررسی بهره برداری از دو آسیب پذیری ، یعنی CVE-2023-35078 و CVE-2023-35081 هستند. این آسیبپذیریها در معرض حملات عوامل تهدید دائمی پیشرفته (APT) قرار گرفتهاند که از CVE-2023-35078 به عنوان یک روز صفر از آوریل 2023 تا ژوئیه 2023 سوء استفاده کردند. بازیگران APT از این آسیبپذیری برای جمعآوری اطلاعات حساس از سازمانهای مختلف نروژی استفاده کردند. با موفقیت شبکه یک سازمان دولتی نروژ را به خطر انداخت. برای مقابله با خطرات امنیتی، ایوانتی، فروشنده نرم افزار، وصله های هر دو آسیب پذیری را به ترتیب در 23 ژوئیه 2023 و 28 جولای 2023 منتشر کرد. NCSC-NO همچنین زنجیره آسیبپذیری احتمالی CVE-2023-35081 و CVE-2023-35078 را مشاهده کرده است که نشاندهنده یک تهدید سایبری پیچیده و بالقوه مضر است.
فهرست مطالب
چه چیزی پشت CVE-2023-35078 و CVE-2023-35081 نهفته است؟
CVE-2023-35078 برای Ivanti Endpoint Manager Mobile (EPMM) که قبلا به عنوان MobileIron Core شناخته میشد، خطری حیاتی ایجاد میکند، زیرا به عوامل تهدید اجازه میدهد به اطلاعات شناسایی شخصی (PII) دسترسی داشته باشند و تغییرات پیکربندی را در سیستمهای در معرض خطر ایجاد کنند. در همین حال، CVE-2023-35081 به بازیگران دارای امتیازات سرپرست EPMM توانایی نوشتن فایل های دلخواه با امتیازات سیستم عامل سرور برنامه وب EPMM را می دهد. عوامل تهدید میتوانند دسترسی اولیه و ممتاز به سیستمهای EPMM داشته باشند و فایلهای آپلود شده مانند پوستههای وب را با زنجیر کردن این آسیبپذیریها به یکدیگر اجرا کنند. از آنجایی که سیستمهای مدیریت دستگاه تلفن همراه (MDM) مانند EPMM دسترسی بالایی به دستگاههای تلفن همراه متعددی فراهم میکنند، به اهداف جذابی برای عوامل تهدید کننده تبدیل شدهاند، به ویژه با توجه به سوء استفادههای قبلی از آسیبپذیریهای MobileIron. با توجه به پتانسیل برای بهره برداری گسترده در شبکه های دولتی و بخش خصوصی، CISA و NCSC-NO نگرانی شدید خود را در مورد این تهدیدات امنیتی ابراز می کنند.
در این مشاوره امنیت سایبری (CSA)، NCSC-NO شاخصهای سازش (IOC)، تاکتیکها، تکنیکها و رویهها (TTP) را که در طول تحقیقات خود کشف کردهاند، به اشتراک میگذارد. CSA دارای یک الگوی هسته است که به شناسایی دستگاههای وصلهنشده کمک میکند و راهنماییهای تشخیص را برای سازمانها فراهم میکند تا به طور فعالانه نشانههای سازش را جستجو کنند. CISA و NCSC-NO قویاً سازمانها را تشویق میکنند تا از راهنماییهای تشخیص برای شناسایی فعالیتهای مخرب استفاده کنند. در صورت شناسایی هرگونه مصالحه بالقوه، سازمان ها باید از توصیه های واکنش به حادثه که در CSA مشخص شده است پیروی کنند. حتی در صورت عدم وجود مصالحه، سازمانها باید وصلههایی را که ایوانتی صادر کرده است برای اطمینان از امنیت به سرعت اعمال کنند.
اکسپلویت از آوریل 2023 فعال است
CVE-2023-35078 از آوریل 2023 مورد سوء استفاده مکرر بازیگران APT بوده است. آنها از روترهای SOHO در معرض خطر، از جمله روترهای ASUS، به عنوان پروکسی برای هدف قرار دادن زیرساخت استفاده کردند. NCSC-NO بازیگرانی را مشاهده کرد که از این آسیبپذیری برای دستیابی به دسترسی اولیه به دستگاههای EPMM استفاده میکردند. پس از ورود، بازیگران فعالیتهای مختلفی را انجام دادند، مانند انجام پرسوجوهای دلخواه LDAP در مقابل Active Directory، بازیابی نقاط پایانی LDAP، فهرست کردن کاربران و مدیران با استفاده از مسیرهای API، و ایجاد تغییرات پیکربندی در دستگاه EPMM. تغییرات پیکربندی خاص انجام شده توسط بازیگران ناشناخته باقی مانده است.
بازیگران APT به طور منظم گزارشهای حسابرسی هسته EPMM را بررسی میکردند تا مسیرهای خود را پوشش دهند و برخی از ورودیهای خود را در گزارشهای httpd آپاچی با استفاده از برنامه مخرب Tomcat "mi.war" بر اساس keywords.txt حذف کردند. ورودی های گزارش حاوی "Firefox/107.0" حذف شدند.
برای ارتباط با EPMM، بازیگران از عوامل کاربر لینوکس و ویندوز، در درجه اول Firefox/107.0 استفاده کردند. اگر چه عوامل دیگری وارد بازی شدند، اما ردپایی در سیاهه های دستگاه باقی نگذاشتند. روش دقیقی که بازیگران تهدید برای اجرای دستورات پوسته روی دستگاه EPMM استفاده میکنند تأیید نشده باقی مانده است. NCSC-NO مشکوک است که از CVE-2023-35081 برای آپلود پوسته های وب و اجرای دستورات سوء استفاده کرده است.
برای تونل کردن ترافیک از اینترنت به حداقل یک سرور Exchange غیرقابل دسترسی، بازیگران APT از Ivanti Sentry، یک ابزار دروازه برنامه کاربردی که از EPMM پشتیبانی میکند، استفاده کردند. با این حال، تکنیک دقیق مورد استفاده برای این تونل ناشناخته باقی مانده است.
بهرهبرداری از آسیبپذیریهای Ivanti EPMM: بازیگران تهدید در حال پراکندگی اسکرین شات