मल्टी-लाइसेंस छूट
Computer Security इवांती ईपीएमएम की कमजोरियों का फायदा उठाना: खतरे में पड़े...

इवांती ईपीएमएम की कमजोरियों का फायदा उठाना: खतरे में पड़े अभिनेता

Chance से Computer Security तक
अनुवाद करने के लिए:
हिन्दी

चल रहे साइबर खतरों के जवाब में, साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) और नॉर्वेजियन नेशनल साइबर सुरक्षा केंद्र (एनसीएससी-एनओ) ने संयुक्त रूप से एक महत्वपूर्ण साइबर सुरक्षा सलाहकार (सीएसए) जारी किया है। वे CVE-2023-35078 और CVE-2023-35081 नामक दो कमजोरियों के शोषण को संबोधित कर रहे हैं। ये कमजोरियाँ उन्नत लगातार खतरे (एपीटी) अभिनेताओं द्वारा हमलों के अधीन रही हैं, जिन्होंने अप्रैल 2023 से जुलाई 2023 तक शून्य-दिन के रूप में सीवीई-2023-35078 का शोषण किया। एपीटी अभिनेताओं ने इस भेद्यता का उपयोग विभिन्न नॉर्वेजियन संगठनों से संवेदनशील जानकारी इकट्ठा करने के लिए किया और नॉर्वेजियन सरकारी एजेंसी के नेटवर्क से सफलतापूर्वक समझौता किया। सुरक्षा जोखिमों को दूर करने के लिए, सॉफ़्टवेयर विक्रेता, इवंती ने क्रमशः 23 जुलाई, 2023 और 28 जुलाई, 2023 को दोनों कमजोरियों के लिए पैच जारी किए। एनसीएससी-एनओ ने सीवीई-2023-35081 और सीवीई-2023-35078 की संभावित भेद्यता श्रृंखला भी देखी है, जो एक जटिल और संभावित हानिकारक साइबर खतरे का संकेत देती है।

CVE-2023-35078 और CVE-2023-35081 के पीछे क्या है?

सीवीई-2023-35078 इवंती एंडपॉइंट मैनेजर मोबाइल (ईपीएमएम), जिसे पहले मोबाइलआयरन कोर के नाम से जाना जाता था, के लिए एक गंभीर खतरा पैदा करता है, क्योंकि यह खतरे वाले अभिनेताओं को व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) तक पहुंचने और समझौता किए गए सिस्टम पर कॉन्फ़िगरेशन परिवर्तन करने की अनुमति देता है। इस बीच, सीवीई-2023-35081 ईपीएमएम प्रशासक विशेषाधिकारों वाले अभिनेताओं को ईपीएमएम वेब एप्लिकेशन सर्वर के ऑपरेटिंग सिस्टम विशेषाधिकारों के साथ मनमानी फाइलें लिखने की क्षमता प्रदान करता है। ख़तरे वाले कलाकार ईपीएमएम सिस्टम तक प्रारंभिक, विशेषाधिकार प्राप्त पहुंच प्राप्त कर सकते हैं और इन कमजोरियों को एक साथ जोड़कर वेब शेल जैसी अपलोड की गई फ़ाइलों को निष्पादित कर सकते हैं। चूंकि ईपीएमएम जैसे मोबाइल डिवाइस प्रबंधन (एमडीएम) सिस्टम कई मोबाइल उपकरणों तक उन्नत पहुंच प्रदान करते हैं, वे धमकी देने वाले अभिनेताओं के लिए आकर्षक लक्ष्य बन गए हैं, खासकर मोबाइलआयरन कमजोरियों के पिछले कारनामों को देखते हुए। सरकारी और निजी क्षेत्र के नेटवर्क में व्यापक शोषण की संभावना को देखते हुए, सीआईएसए और एनसीएससी-एनओ इन सुरक्षा खतरों पर गंभीर चिंता व्यक्त करते हैं।

इस साइबर सुरक्षा सलाहकार (सीएसए) में, एनसीएससी-एनओ अपनी जांच के दौरान खोजे गए समझौते (आईओसी), रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) के संकेतक साझा करता है। सीएसए एक न्यूक्लियर टेम्प्लेट को शामिल करता है, जो अप्रकाशित उपकरणों की पहचान करने में सहायता करता है, और संगठनों को सक्रिय रूप से समझौता के संकेतों की खोज करने के लिए पहचान मार्गदर्शन प्रदान करता है। सीआईएसए और एनसीएससी-एनओ संगठनों को दुर्भावनापूर्ण गतिविधि का पता लगाने के लिए पहचान मार्गदर्शन का उपयोग करने के लिए दृढ़ता से प्रोत्साहित करते हैं। यदि किसी संभावित समझौते का पता चलता है, तो संगठनों को सीएसए में उल्लिखित घटना प्रतिक्रिया सिफारिशों का पालन करना चाहिए। समझौते के अभाव में भी, संगठनों को तुरंत सुरक्षा सुनिश्चित करने के लिए इवांती द्वारा जारी किए गए पैच को लागू करना चाहिए।

अप्रैल 2023 से सक्रिय शोषण

CVE-2023-35078 अप्रैल 2023 से APT अभिनेताओं द्वारा लगातार शोषण का विषय रहा है। उन्होंने बुनियादी ढांचे को लक्षित करने के लिए प्रॉक्सी के रूप में ASUS राउटर सहित समझौता किए गए SOHO राउटर का उपयोग किया। एनसीएससी-एनओ ने देखा कि अभिनेता ईपीएमएम उपकरणों तक प्रारंभिक पहुंच हासिल करने के लिए इस भेद्यता का लाभ उठा रहे हैं। एक बार अंदर जाने के बाद, अभिनेताओं ने विभिन्न गतिविधियां कीं, जैसे सक्रिय निर्देशिका के विरुद्ध मनमाने ढंग से एलडीएपी क्वेरी करना, एलडीएपी एंडपॉइंट को पुनर्प्राप्त करना, एपीआई पथों का उपयोग करने वाले उपयोगकर्ताओं और प्रशासकों को सूचीबद्ध करना और ईपीएमएम डिवाइस पर कॉन्फ़िगरेशन परिवर्तन करना। अभिनेताओं द्वारा किए गए विशिष्ट कॉन्फ़िगरेशन परिवर्तन अज्ञात रहते हैं।

एपीटी अभिनेताओं ने अपने ट्रैक को कवर करने के लिए नियमित रूप से ईपीएमएम कोर ऑडिट लॉग की जांच की और कीवर्ड.txt पर आधारित दुर्भावनापूर्ण टॉमकैट एप्लिकेशन "mi.war" का उपयोग करके अपाचे httpd लॉग में अपनी कुछ प्रविष्टियां हटा दीं। "फ़ायरफ़ॉक्स/107.0" वाली लॉग प्रविष्टियाँ हटा दी गईं।

ईपीएमएम के साथ संचार के लिए, अभिनेताओं ने लिनक्स और विंडोज उपयोगकर्ता एजेंटों का उपयोग किया, मुख्य रूप से फ़ायरफ़ॉक्स/107.0। हालाँकि अन्य एजेंट भूमिका में आए, लेकिन उन्होंने डिवाइस लॉग में कोई निशान नहीं छोड़ा। ईपीएमएम डिवाइस पर शेल कमांड चलाने के लिए खतरे वाले अभिनेताओं द्वारा अपनाई गई सटीक विधि अपुष्ट बनी हुई है। एनसीएससी-एनओ को संदेह है कि उन्होंने वेब शेल अपलोड करने और कमांड निष्पादित करने के लिए सीवीई-2023-35081 का शोषण किया।

इंटरनेट से कम से कम एक दुर्गम एक्सचेंज सर्वर तक ट्रैफिक को टनल करने के लिए, एपीटी अभिनेताओं ने ईपीएमएम का समर्थन करने वाले एक एप्लिकेशन गेटवे उपकरण, इवंती सेंट्री को नियोजित किया। हालाँकि, इस सुरंग बनाने के लिए इस्तेमाल की जाने वाली सटीक तकनीक अज्ञात बनी हुई है।

इवांती ईपीएमएम की कमजोरियों का फायदा उठाना: खतरे में पड़े अभिनेता स्क्रीनशॉट

लोड हो रहा है...