Ivanti EPMM:n haavoittuvuuksien hyödyntäminen: Threat Actors on the Prowl
Vastauksena jatkuviin kyberuhkiin Cybersecurity and Infrastructure Security Agency (CISA) ja Norjan kansallinen kyberturvallisuuskeskus (NCSC-NO) ovat yhdessä julkaisseet merkittävän kyberturvallisuusohjeen (CSA). Ne käsittelevät kahden haavoittuvuuden hyödyntämistä, nimittäin CVE-2023-35078 ja CVE-2023-35081. Nämä haavoittuvuudet ovat joutuneet hyökkäyksiin kehittyneiltä pysyvän uhkan (APT) toimijoilta, jotka käyttivät CVE-2023-35078:aa nollapäivänä huhtikuusta 2023 heinäkuuhun 2023. APT-toimijat käyttivät tätä haavoittuvuutta kerätäkseen arkaluonteisia tietoja useilta norjalaisilta organisaatioilta ja organisaatioilta. onnistuneesti vaarantui Norjan valtion viraston verkoston. Tietoturvariskien poistamiseksi ohjelmistotoimittaja Ivanti julkaisi korjauspäivitykset molempiin haavoittuvuuksiin 23.7.2023 ja 28.7.2023. NCSC-NO on myös havainnut CVE-2023-35081:n ja CVE-2023-35078:n mahdollisen haavoittuvuusketjutuksen, mikä osoittaa monimutkaisen ja mahdollisesti haitallisen kyberuhan.
Sisällysluettelo
Mitä CVE-2023-35078 ja CVE-2023-35081 takaa?
CVE-2023-35078 aiheuttaa kriittisen riskin Ivanti Endpoint Manager Mobilelle (EPMM), joka tunnettiin aiemmin nimellä MobileIron Core, koska sen avulla uhkatekijät voivat käyttää henkilökohtaisia tunnistetietoja (PII) ja tehdä kokoonpanomuutoksia vaarantuneissa järjestelmissä. Samaan aikaan CVE-2023-35081 antaa toimijoille EPMM-järjestelmänvalvojan oikeudet mahdollisuuden kirjoittaa mielivaltaisia tiedostoja EPMM-verkkosovelluspalvelimen käyttöjärjestelmän oikeuksilla. Uhkatoimijat voivat saada alkuperäisen, etuoikeutetun pääsyn EPMM-järjestelmiin ja suorittaa ladattuja tiedostoja, kuten Web-kuoret, ketjuttamalla nämä haavoittuvuudet yhteen. Koska Mobile Device Management (MDM) -järjestelmät, kuten EPMM, tarjoavat laajemman pääsyn lukuisiin mobiililaitteisiin, niistä on tullut houkuttelevia kohteita uhkaaville toimijoille, etenkin kun otetaan huomioon MobileIronin haavoittuvuuksien aiemmat hyväksikäytöt. Ottaen huomioon mahdollisen laajan hyödyntämisen valtion ja yksityisen sektorin verkoissa, CISA ja NCSC-NO ovat syvästi huolissaan näistä turvallisuusuhkista.
Tässä kyberturvallisuusneuvonnassa (CSA) NCSC-NO jakaa kompromissiindikaattoreita (IOC), taktiikoita, tekniikoita ja menettelyjä (TTP), jotka on löydetty niiden tutkimusten aikana. CSA sisältää ydinmallin, joka auttaa tunnistamaan korjaamattomia laitteita, ja tarjoaa tunnistusohjeita organisaatioille, jotta he voivat etsiä merkkejä kompromisseista ennakoivasti. CISA ja NCSC-NO rohkaisevat organisaatioita käyttämään tunnistusohjeita haitallisen toiminnan havaitsemiseen. Mikäli mahdollisia kompromisseja havaitaan, organisaatioiden tulee noudattaa CSA:ssa esitettyjä vaaratilanteiden reagoimissuosituksia. Myös ilman kompromisseja organisaatioiden on käytettävä Ivantin myöntämiä korjaustiedostoja turvallisuuden varmistamiseksi viipymättä.
Exploits Active huhtikuusta 2023 lähtien
APT-toimijat ovat usein käyttäneet CVE-2023-35078:aa huhtikuusta 2023 lähtien. He käyttivät vaarantuneita SOHO-reitittimiä, mukaan lukien ASUS-reitittimiä, välityspalvelimina kohdeinfrastruktuuriin. NCSC-NO havaitsi, että toimijat hyödyntävät tätä haavoittuvuutta päästäkseen alkuun EPMM-laitteisiin. Sisään päästyään näyttelijät suorittivat erilaisia toimintoja, kuten tekivät mielivaltaisia LDAP-kyselyitä Active Directorysta, hakivat LDAP-päätepisteitä, listasivat käyttäjät ja järjestelmänvalvojat API-polkuja käyttäen ja tekivät EPMM-laitteen kokoonpanomuutoksia. Näyttelijöiden tekemät erityiset kokoonpanomuutokset ovat edelleen tuntemattomia.
APT-toimijat tarkistivat säännöllisesti EPMM Core -tarkastuslokit peittääkseen jälkensä ja poistivat osan merkintöistään Apachen httpd-lokeista käyttämällä haitallista Tomcat-sovellusta "mi.war", joka perustuu avainsanat.txt-tiedostoon. "Firefox/107.0" sisältävät lokimerkinnät poistettiin.
Kommunikointiin EPMM:n kanssa näyttelijät käyttivät Linux- ja Windows-käyttäjäagentteja, ensisijaisesti Firefox/107.0:aa. Vaikka muut agentit tulivat peliin, he eivät jättäneet jälkiä laitelokeihin. Tarkkaa menetelmää, jolla uhkatekijät käyttivät komentotulkkikomentoja EPMM-laitteella, ei ole vahvistettu. NCSC-NO epäilee, että he käyttivät CVE-2023-35081:tä Web-kuorien lataamiseen ja komentojen suorittamiseen.
APT-toimijat käyttivät Ivanti Sentryä, sovellusyhdyskäytävälaitetta, joka tukee EPMM:ää, tunneloidakseen liikennettä Internetistä ainakin yhdelle saavuttamattomalle Exchange-palvelimelle. Tähän tunnelointiin käytetty tarkka tekniikka on kuitenkin tuntematon.
Ivanti EPMM:n haavoittuvuuksien hyödyntäminen: Threat Actors on the Prowl kuvakaappausta
