Iskorištavanje ranjivosti Ivanti EPMM: Akteri prijetnje vrebaju
Kao odgovor na stalne kibernetičke prijetnje, Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) i Norveški nacionalni centar za kibernetičku sigurnost (NCSC-NO) zajednički su izdali značajan savjet o kibernetičkoj sigurnosti (CSA). Oni se bave iskorištavanjem dviju ranjivosti , naime CVE-2023-35078 i CVE-2023-35081. Ove su ranjivosti bile podložne napadima aktera napredne trajne prijetnje (APT), koji su iskorištavali CVE-2023-35078 kao nulti dan od travnja 2023. do srpnja 2023. Akteri APT-a koristili su se ovom ranjivošću za prikupljanje osjetljivih informacija od raznih norveških organizacija i uspješno kompromitirao mrežu norveške vladine agencije. Kako bi riješio sigurnosne rizike, Ivanti, dobavljač softvera, objavio je zakrpe za obje ranjivosti 23. srpnja 2023., odnosno 28. srpnja 2023. NCSC-NO je također uočio moguće lančane ranjivosti CVE-2023-35081 i CVE-2023-35078, što ukazuje na složenu i potencijalno štetnu kibernetičku prijetnju.
Sadržaj
Što se krije iza CVE-2023-35078 i CVE-2023-35081?
CVE-2023-35078 predstavlja kritičan rizik za Ivanti Endpoint Manager Mobile (EPMM), prethodno poznat kao MobileIron Core, budući da akterima prijetnji omogućuje pristup osobnim podacima (PII) i promjene konfiguracije na ugroženim sustavima. U međuvremenu, CVE-2023-35081 daje akterima s EPMM administratorskim povlasticama mogućnost pisanja proizvoljnih datoteka s povlasticama operativnog sustava poslužitelja web aplikacija EPMM. Akteri prijetnji mogu dobiti inicijalni, privilegirani pristup EPMM sustavima i izvršiti učitane datoteke poput web ljuski lančanim povezivanjem ovih ranjivosti. Budući da sustavi za upravljanje mobilnim uređajima (MDM) poput EPMM-a pružaju povećani pristup brojnim mobilnim uređajima, postali su atraktivne mete za prijeteće aktere, posebno s obzirom na prethodna iskorištavanja ranjivosti MobileIron-a. S obzirom na mogućnost širokog iskorištavanja u mrežama državnog i privatnog sektora, CISA i NCSC-NO izražavaju ozbiljnu zabrinutost zbog ovih sigurnosnih prijetnji.
U ovom Cybersecurity Advisory (CSA), NCSC-NO dijeli indikatore kompromisa (IOC), taktike, tehnike i procedure (TTP) otkrivene tijekom njihovih istraga. CSA uključuje predložak jezgre, koji pomaže u identificiranju nezakrpanih uređaja i pruža smjernice za otkrivanje organizacijama za proaktivno traženje znakova ugroženosti. CISA i NCSC-NO snažno potiču organizacije da koriste smjernice za otkrivanje zlonamjernih aktivnosti. Ako se otkrije potencijalno ugrožavanje, organizacije bi trebale slijediti preporuke za odgovor na incident navedene u CSA. Čak i u nedostatku kompromisa, organizacije moraju odmah primijeniti zakrpe koje je izdao Ivanti kako bi osigurale sigurnost.
Eksploatacije aktivne od travnja 2023
CVE-2023-35078 je čest predmet iskorištavanja APT aktera od travnja 2023. Koristili su kompromitirane SOHO usmjerivače, uključujući ASUS usmjerivače, kao proxyje za ciljanu infrastrukturu. NCSC-NO promatrao je aktere koji iskorištavaju ovu ranjivost kako bi dobili početni pristup EPMM uređajima. Kad su ušli unutra, akteri su izvodili različite aktivnosti, kao što je izvođenje proizvoljnih LDAP upita prema Active Directoryju, dohvaćanje krajnjih točaka LDAP-a, ispisivanje korisnika i administratora koji koriste API staze i mijenjanje konfiguracije na EPMM uređaju. Specifične promjene konfiguracije koje su izvršili glumci ostaju nepoznate.
Akteri APT-a redovito su provjeravali zapisnike revizije EPMM Core kako bi prikrili svoje tragove i izbrisali neke od svojih unosa u zapisnicima Apache httpd koristeći zlonamjernu Tomcat aplikaciju "mi.war" temeljenu na keywords.txt. Izbrisani su unosi dnevnika koji sadrže "Firefox/107.0".
Za komunikaciju s EPMM-om akteri su koristili Linux i Windows korisničke agente, prvenstveno Firefox/107.0. Iako su drugi agenti ušli u igru, oni nisu ostavili tragove u zapisima uređaja. Točna metoda koju su akteri prijetnji koristili za pokretanje naredbi ljuske na EPMM uređaju ostaje nepotvrđena. NCSC-NO sumnja da su iskoristili CVE-2023-35081 za učitavanje web ljuski i izvršavanje naredbi.
Kako bi tunelirali promet s interneta na barem jedan nedostupni Exchange server, APT akteri su angažirali Ivanti Sentry, aplikacijski gateway uređaj koji podržava EPMM. Međutim, točna tehnika korištena za ovo tuneliranje ostaje nepoznata.
Iskorištavanje ranjivosti Ivanti EPMM: Akteri prijetnje vrebaju Snimaka Zaslona
