ניצול פגיעות Ivanti EPMM: Threat Actors on the Prowl
בתגובה לאיומי סייבר מתמשכים, הסוכנות לאבטחת סייבר ותשתיות (CISA) ומרכז אבטחת הסייבר הלאומי של נורווגיה (NCSC-NO) פרסמו במשותף ייעוץ משמעותי בנושא אבטחת סייבר (CSA). הם מטפלים בניצול של שתי נקודות תורפה , כלומר CVE-2023-35078 ו-CVE-2023-35081. פגיעויות אלו היו נתונים להתקפות של שחקנים מתקדמים באיום מתמשך (APT), שניצלו את CVE-2023-35078 כיום אפס מאפריל 2023 עד יולי 2023. שחקני APT השתמשו בפגיעות זו כדי לאסוף מידע רגיש מארגונים נורבגים שונים פגע בהצלחה ברשת של סוכנות ממשלתית נורבגית. כדי להתמודד עם סיכוני האבטחה, Ivanti, ספקית התוכנה, פרסמה תיקונים עבור שתי הפגיעויות ב-23 ביולי 2023 וב-28 ביולי 2023, בהתאמה. ה-NCSC-NO ראה גם שרשרת פגיעות אפשרית של CVE-2023-35081 ו-CVE-2023-35078, מה שמצביע על איום סייבר מורכב ועלול להזיק.
תוכן העניינים
מה מסתתר מאחורי CVE-2023-35078 ו-CVE-2023-35081?
CVE-2023-35078 מהווה סיכון קריטי ל-Ivanti Endpoint Manager Mobile (EPMM), הידועה בעבר בשם MobileIron Core, שכן היא מאפשרת לשחקני איומים לגשת למידע המאפשר זיהוי אישי (PII) ולבצע שינויים בתצורה במערכות שנפגעו. בינתיים, CVE-2023-35081 מעניק לשחקנים עם הרשאות מנהל EPMM את היכולת לכתוב קבצים שרירותיים עם הרשאות מערכת ההפעלה של שרת יישומי האינטרנט של EPMM. שחקני איומים יכולים לקבל גישה ראשונית ומיוחסת למערכות EPMM ולהפעיל קבצים שהועלו כמו קונכיות אינטרנט על ידי שרשרת הפגיעויות הללו יחד. מכיוון שמערכות ניהול התקנים ניידים (MDM) כמו EPMM מספקות גישה מוגברת למכשירים ניידים רבים, הן הפכו למטרות אטרקטיביות עבור שחקנים מאיימים, במיוחד בהתחשב בניצול קודמים של פגיעויות של MobileIron. בהתחשב בפוטנציאל לניצול נרחב ברשתות הממשלתיות והפרטיות, CISA ו-NCSC-NO מביעים דאגה חמורה מאיומי אבטחה אלו.
בייעוץ בנושא אבטחת סייבר (CSA), NCSC-NO חולקת אינדיקטורים של פשרה (IOCs), טקטיקות, טכניקות ונהלים (TTPs) שהתגלו במהלך החקירות שלהם. ה-CSA משלבת תבנית גרעינים, המסייעת בזיהוי התקנים לא מתוקנים, ומספקת הנחיות זיהוי לארגונים לחפש סימני פשרה באופן יזום. CISA ו-NCSC-NO מעודדים מאוד ארגונים להשתמש בהנחיית זיהוי כדי לזהות פעילות זדונית. אם תתגלה פשרה פוטנציאלית כלשהי, ארגונים צריכים לפעול לפי המלצות התגובה לאירועים המתוארים ב-CSA. גם בהיעדר פשרה, ארגונים חייבים להחיל את התיקונים שהוציאה איבנטי כדי להבטיח אבטחה מיידית.
ניצול פעיל מאז אפריל 2023
CVE-2023-35078 היה נושא תכוף לניצול על ידי שחקני APT מאז אפריל 2023. הם השתמשו בנתבי SOHO שנפגעו, כולל נתבי ASUS, בתור פרוקסי לתשתית יעד. NCSC-NO צפה בשחקנים הממנפים את הפגיעות הזו כדי לקבל גישה ראשונית למכשירי EPMM. לאחר שנכנסו, השחקנים ביצעו פעילויות שונות, כגון ביצוע שאילתות LDAP שרירותיות נגד Active Directory, אחזור נקודות קצה של LDAP, רישום משתמשים ומנהלי מערכת באמצעות נתיבים API וביצוע שינויים בתצורה במכשיר ה-EPMM. שינויי התצורה הספציפיים שבוצעו על ידי השחקנים נותרו לא ידועים.
שחקני APT בדקו באופן קבוע את יומני הביקורת של EPMM Core כדי לכסות את עקבותיהם ומחקו חלק מהערכים שלהם ביומני httpd של Apache באמצעות אפליקציית Tomcat הזדונית "mi.war" המבוססת על keywords.txt. רשומות יומן המכילות את "Firefox/107.0" נמחקו.
לתקשורת עם EPMM, השחקנים השתמשו בסוכני משתמש של Linux ו-Windows, בעיקר Firefox/107.0. למרות שסוכנים אחרים נכנסו לתמונה, הם לא השאירו עקבות ביומני המכשיר. השיטה המדויקת שבה השתמשו גורמי האיום כדי להפעיל פקודות מעטפת במכשיר ה-EPMM נותרה לא מאומתת. NCSC-NO חושד שהם ניצלו את CVE-2023-35081 כדי להעלות קונכיות אינטרנט ולבצע פקודות.
כדי להעביר תעבורה מהאינטרנט לפחות לשרת Exchange אחד שאינו נגיש, הפעילים שחקני APT את Ivanti Sentry, מכשיר שער יישומים התומך ב-EPMM. עם זאת, הטכניקה המדויקת המשמשת למנהור זה עדיין לא ידועה.
ניצול פגיעות Ivanti EPMM: Threat Actors on the Prowl צילומי מסך
