Ivanti EPMM sebezhetőségeinek kihasználása: fenyegető szereplők a lesben
A folyamatos kiberfenyegetésekre válaszul a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) és a Norvég Nemzeti Kiberbiztonsági Központ (NCSC-NO) közösen jelentős kiberbiztonsági tanácsot (CSA) adott ki. Két sebezhetőség , nevezetesen a CVE-2023-35078 és a CVE-2023-35081 kihasználásával foglalkoznak. Ezeket a sérülékenységeket fejlett tartós fenyegetés (APT) szereplők támadták meg, akik a CVE-2023-35078 kódot nulladik napként használták ki 2023 áprilisa és 2023 júliusa között. sikeresen feltörte egy norvég kormányhivatal hálózatát. A biztonsági kockázatok kezelése érdekében az Ivanti, a szoftvergyártó 2023. július 23-án, illetve 2023. július 28-án javításokat adott ki mindkét sérülékenységhez. Az NCSC-NO a CVE-2023-35081 és CVE-2023-35078 lehetséges sebezhetőségi láncolását is megfigyelte, ami összetett és potenciálisan káros kiberfenyegetésre utal.
Tartalomjegyzék
Mi rejlik a CVE-2023-35078 és a CVE-2023-35081 mögött?
A CVE-2023-35078 kritikus kockázatot jelent a korábban MobileIron Core néven ismert Ivanti Endpoint Manager Mobile (EPMM) számára, mivel lehetővé teszi a fenyegetés szereplői számára, hogy hozzáférjenek a személyazonosításra alkalmas információkhoz (PII), és konfigurációs módosításokat hajtsanak végre a feltört rendszereken. Eközben a CVE-2023-35081 lehetőséget biztosít az EPMM-rendszergazdai jogosultságokkal rendelkező szereplőknek, hogy tetszőleges fájlokat írjanak az EPMM webalkalmazás-kiszolgáló operációs rendszer-jogosultságaival. A fenyegetés szereplői kezdeti, kiváltságos hozzáférést kaphatnak az EPMM-rendszerekhez, és végrehajthatják a feltöltött fájlokat, például a webhéjakat, ha összeláncolják ezeket a sebezhetőségeket. Mivel a mobileszköz-kezelő (MDM) rendszerek, mint például az EPMM, magas szintű hozzáférést biztosítanak számos mobileszközhöz, vonzó célpontokká váltak a fenyegető szereplők számára, különös tekintettel a MobileIron sebezhetőségeinek korábbi kihasználására. Tekintettel a kormányzati és a magánszektor hálózataiban való széles körű kiaknázás lehetőségére, a CISA és az NCSC-NO komoly aggodalmának ad hangot e biztonsági fenyegetések miatt.
Ebben a kiberbiztonsági tanácsadóban (CSA) az NCSC-NO megosztja a vizsgálataik során felfedezett kompromisszummutatókat (IOC), taktikákat, technikákat és eljárásokat (TTP). A CSA magába foglal egy magsablont, amely segít azonosítani a nem javított eszközöket, és felderítési útmutatást ad a szervezetek számára a kompromisszum jeleinek proaktív kereséséhez. A CISA és az NCSC-NO határozottan arra ösztönzi a szervezeteket, hogy használjanak felderítési útmutatót a rosszindulatú tevékenységek észlelésére. Ha bármilyen lehetséges kompromisszumot észlelnek, a szervezeteknek követniük kell a CSA-ban körvonalazott incidensreakciós ajánlásokat. A szervezeteknek kompromisszumok hiányában is alkalmazniuk kell az Ivanti által kiadott javításokat a biztonság azonnali biztosítása érdekében.
2023 áprilisa óta aktív exploit
A CVE-2023-35078-at 2023 áprilisa óta gyakran használják ki az APT szereplői. Kompromittált SOHO-routereket, köztük ASUS-routereket használtak a célinfrastruktúra proxyjaként. Az NCSC-NO megfigyelte, hogy a sérülékenységet kihasználó szereplők kezdeti hozzáférést kaptak az EPMM-eszközökhöz. A bejutást követően a szereplők különféle tevékenységeket hajtottak végre, például tetszőleges LDAP-lekérdezéseket hajtottak végre az Active Directoryban, lekérték az LDAP-végpontokat, listázták a felhasználókat és a rendszergazdákat API-útvonalak segítségével, és konfigurációs módosításokat hajtottak végre az EPMM-eszközön. A szereplők által végrehajtott konfigurációs változtatások ismeretlenek.
Az APT szereplői rendszeresen ellenőrizték az EPMM Core auditnaplóit, hogy elfedjék a nyomaikat, és törölték néhány bejegyzésüket az Apache httpd naplóiból a rosszindulatú „mi.war” Tomcat alkalmazással a kulcsszavak.txt alapján. A „Firefox/107.0” fájlt tartalmazó naplóbejegyzések törölve lettek.
Az EPMM-mel való kommunikációhoz a szereplők Linux és Windows felhasználói ügynököket, elsősorban Firefox/107.0-t használtak. Bár más ügynökök is szóba kerültek, nem hagytak nyomot az eszköznaplókban. A fenyegetés szereplői által az EPMM-eszközön futó shell-parancsok pontos módszere továbbra sem megerősített. Az NCSC-NO azt gyanítja, hogy kihasználták a CVE-2023-35081-et webhéjak feltöltésére és parancsok végrehajtására.
Az internetről érkező forgalom legalább egy elérhetetlen Exchange-kiszolgálóra való átirányítása érdekében az APT szereplői az Ivanti Sentry-t, az EPMM-t támogató alkalmazásátjárót alkalmazták. Az alagútépítés pontos technikája azonban továbbra sem ismert.
Ivanti EPMM sebezhetőségeinek kihasználása: fenyegető szereplők a lesben képernyőkép
