Sfruttamento delle vulnerabilità dell'EPMM di Ivanti: attori della minaccia in agguato
In risposta alle continue minacce informatiche, la Cybersecurity and Infrastructure Security Agency (CISA) e il Norwegian National Cyber Security Center (NCSC-NO) hanno emesso congiuntamente un importante Cybersecurity Advisory (CSA). Stanno affrontando lo sfruttamento di due vulnerabilità , vale a dire CVE-2023-35078 e CVE-2023-35081. Queste vulnerabilità sono state oggetto di attacchi da parte di attori APT (Advanced Persistent Threat), che hanno sfruttato CVE-2023-35078 come zero-day da aprile 2023 a luglio 2023. Gli attori APT hanno utilizzato questa vulnerabilità per raccogliere informazioni sensibili da varie organizzazioni norvegesi e ha compromesso con successo la rete di un'agenzia governativa norvegese. Per affrontare i rischi per la sicurezza, Ivanti, il fornitore del software, ha rilasciato patch per entrambe le vulnerabilità rispettivamente il 23 luglio 2023 e il 28 luglio 2023. L'NCSC-NO ha anche osservato un possibile concatenamento di vulnerabilità di CVE-2023-35081 e CVE-2023-35078, indicando una minaccia informatica complessa e potenzialmente dannosa.
Sommario
Cosa si nasconde dietro CVE-2023-35078 e CVE-2023-35081?
CVE-2023-35078 rappresenta un rischio critico per Ivanti Endpoint Manager Mobile (EPMM), precedentemente noto come MobileIron Core, poiché consente agli attori delle minacce di accedere alle informazioni di identificazione personale (PII) e apportare modifiche alla configurazione sui sistemi compromessi. Nel frattempo, CVE-2023-35081 concede agli attori con privilegi di amministratore EPMM la possibilità di scrivere file arbitrari con i privilegi del sistema operativo del server di applicazioni web EPMM. Gli autori delle minacce possono ottenere un accesso privilegiato iniziale ai sistemi EPMM ed eseguire i file caricati come Web shell concatenando insieme queste vulnerabilità. Poiché i sistemi di gestione dei dispositivi mobili (MDM) come EPMM forniscono un accesso elevato a numerosi dispositivi mobili, sono diventati bersagli allettanti per gli attori minacciosi, soprattutto considerando i precedenti exploit delle vulnerabilità di MobileIron. Dato il potenziale di sfruttamento diffuso nelle reti governative e del settore privato, CISA e NCSC-NO esprimono grave preoccupazione per queste minacce alla sicurezza.
In questo Cybersecurity Advisory (CSA), NCSC-NO condivide indicatori di compromissione (IOC), tattiche, tecniche e procedure (TTP) scoperti durante le loro indagini. Il CSA incorpora un modello di nuclei, che aiuta a identificare i dispositivi privi di patch e fornisce una guida al rilevamento per le organizzazioni per cercare in modo proattivo segni di compromissione. CISA e NCSC-NO incoraggiano fortemente le organizzazioni a utilizzare la guida al rilevamento per rilevare attività dannose. Qualora venga rilevata una potenziale compromissione, le organizzazioni dovrebbero seguire le raccomandazioni di risposta agli incidenti delineate nel CSA. Anche in assenza di compromessi, le organizzazioni devono applicare tempestivamente le patch rilasciate da Ivanti per garantire la sicurezza.
Exploit attivi da aprile 2023
CVE-2023-35078 è stato un frequente oggetto di sfruttamento da parte degli attori APT dall'aprile 2023. Hanno utilizzato router SOHO compromessi, inclusi router ASUS, come proxy per l'infrastruttura di destinazione. NCSC-NO ha osservato gli attori che sfruttano questa vulnerabilità per ottenere l'accesso iniziale ai dispositivi EPMM. Una volta all'interno, gli attori hanno svolto varie attività, come eseguire query LDAP arbitrarie su Active Directory, recuperare endpoint LDAP, elencare utenti e amministratori utilizzando percorsi API e apportare modifiche alla configurazione sul dispositivo EPMM. Le modifiche alla configurazione specifica apportate dagli attori rimangono sconosciute.
Gli attori di APT controllavano regolarmente i log di audit di EPMM Core per coprire le loro tracce e cancellavano alcune delle loro voci nei log httpd di Apache utilizzando l'applicazione Tomcat dannosa "mi.war" basata su keywords.txt. Le voci di registro contenenti "Firefox/107.0" sono state eliminate.
Per la comunicazione con EPMM, gli attori hanno utilizzato agenti utente Linux e Windows, principalmente Firefox/107.0. Sebbene altri agenti siano entrati in gioco, non hanno lasciato tracce nei log dei dispositivi. Il metodo esatto utilizzato dagli attori delle minacce per eseguire i comandi della shell sul dispositivo EPMM rimane non confermato. NCSC-NO sospetta di aver sfruttato CVE-2023-35081 per caricare shell Web ed eseguire comandi.
Per eseguire il tunneling del traffico da Internet ad almeno un server Exchange inaccessibile, gli attori APT hanno impiegato Ivanti Sentry, un'appliance gateway applicazione che supporta EPMM. Tuttavia, la tecnica esatta utilizzata per questo tunnel rimane sconosciuta.
Sfruttamento delle vulnerabilità dell’EPMM di Ivanti: attori della minaccia in agguato screenshot
