ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះរបស់ Ivanti EPMM៖ តួអង្គគំរាមកំហែងនៅលើ Prowl
ដើម្បីឆ្លើយតបទៅនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលកំពុងបន្ត ទីភ្នាក់ងារសន្តិសុខអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធ (CISA) និងមជ្ឈមណ្ឌលសន្តិសុខអ៊ីនធឺណិតជាតិន័រវេស (NCSC-NO) បានរួមគ្នាចេញសេចក្តីណែនាំស្តីពីសុវត្ថិភាពអ៊ីនធឺណិត (CSA) ដ៏សំខាន់មួយ។ ពួកគេកំពុងដោះស្រាយការកេងប្រវ័ញ្ច ភាពងាយរងគ្រោះ ចំនួនពីរគឺ CVE-2023-35078 និង CVE-2023-35081។ ភាពងាយរងគ្រោះទាំងនេះត្រូវបានទទួលរងការវាយប្រហារដោយតួអង្គគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដែលបានកេងប្រវ័ញ្ច CVE-2023-35078 ជាសូន្យថ្ងៃចាប់ពីខែមេសា ឆ្នាំ 2023 រហូតដល់ខែកក្កដា ឆ្នាំ 2023។ តួអង្គ APT បានប្រើប្រាស់ភាពងាយរងគ្រោះនេះដើម្បីប្រមូលព័ត៌មានរសើបពីអង្គការន័រវេសផ្សេងៗ និង សម្របសម្រួលបណ្តាញរបស់ទីភ្នាក់ងាររដ្ឋាភិបាលន័រវេសដោយជោគជ័យ។ ដើម្បីដោះស្រាយហានិភ័យសុវត្ថិភាព Ivanti ដែលជាអ្នកលក់កម្មវិធីបានចេញផ្សាយបំណះសម្រាប់ភាពងាយរងគ្រោះទាំងពីរនៅថ្ងៃទី 23 ខែកក្កដា ឆ្នាំ 2023 និងថ្ងៃទី 28 ខែកក្កដា ឆ្នាំ 2023 រៀងគ្នា។ NCSC-NO ក៏បានសង្កេតឃើញការដាក់ខ្សែសង្វាក់ភាពងាយរងគ្រោះដែលអាចកើតមាននៃ CVE-2023-35081 និង CVE-2023-35078 ដែលបង្ហាញពីការគំរាមកំហែងតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ និងអាចបង្កគ្រោះថ្នាក់។
តារាងមាតិកា
តើមានអ្វីនៅពីក្រោយ CVE-2023-35078 និង CVE-2023-35081?
CVE-2023-35078 បង្កហានិភ័យយ៉ាងធ្ងន់ធ្ងរដល់ Ivanti Endpoint Manager Mobile (EPMM) ដែលពីមុនត្រូវបានគេស្គាល់ថា MobileIron Core ព្រោះវាអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងចូលប្រើព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួន (PII) និងធ្វើការផ្លាស់ប្តូរការកំណត់នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ទន្ទឹមនឹងនេះ CVE-2023-35081 ផ្តល់ឱ្យតួអង្គដែលមានសិទ្ធិជាអ្នកគ្រប់គ្រង EPMM នូវសមត្ថភាពក្នុងការសរសេរឯកសារបំពានជាមួយនឹងសិទ្ធិប្រព័ន្ធប្រតិបត្តិការរបស់ម៉ាស៊ីនមេកម្មវិធីបណ្តាញ EPMM ។ តួអង្គគំរាមកំហែងអាចទទួលបានសិទ្ធិចូលដំណើរការដំបូងដែលមានសិទ្ធិទៅប្រព័ន្ធ EPMM និងដំណើរការឯកសារដែលបានផ្ទុកឡើងដូចជា Web shells ដោយដាក់ខ្សែសង្វាក់ភាពងាយរងគ្រោះទាំងនេះជាមួយគ្នា។ ដោយសារប្រព័ន្ធគ្រប់គ្រងឧបករណ៍ចល័ត (MDM) ដូចជា EPMM ផ្តល់នូវការចូលប្រើប្រាស់ឧបករណ៍ចល័តជាច្រើន ពួកវាបានក្លាយជាគោលដៅដ៏គួរឱ្យទាក់ទាញសម្រាប់តួអង្គគំរាមកំហែង ជាពិសេសការពិចារណាលើការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះពីមុនរបស់ MobileIron ។ ដោយមើលឃើញពីសក្តានុពលសម្រាប់ការកេងប្រវ័ញ្ចយ៉ាងទូលំទូលាយនៅក្នុងបណ្តាញរបស់រដ្ឋាភិបាល និងវិស័យឯកជន CISA និង NCSC-NO បង្ហាញពីការព្រួយបារម្ភយ៉ាងខ្លាំងចំពោះការគំរាមកំហែងផ្នែកសន្តិសុខទាំងនេះ។
នៅក្នុង ទីប្រឹក្សាសន្តិសុខតាមអ៊ីនធឺណិត (CSA) NCSC-NO ចែករំលែកសូចនាករនៃការសម្របសម្រួល (IOCs) យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី (TTPs) ដែលបានរកឃើញក្នុងអំឡុងពេលស៊ើបអង្កេតរបស់ពួកគេ។ CSA រួមបញ្ចូលគំរូ nuclei ជំនួយក្នុងការកំណត់អត្តសញ្ញាណឧបករណ៍ដែលមិនបានជួសជុល និងផ្តល់ការណែនាំអំពីការរកឃើញសម្រាប់អង្គការនានាដើម្បីស្វែងរកសញ្ញានៃការសម្របសម្រួលយ៉ាងសកម្ម។ CISA និង NCSC-NO លើកទឹកចិត្តយ៉ាងខ្លាំងដល់អង្គការនានាឱ្យប្រើការណែនាំអំពីការរកឃើញ ដើម្បីស្វែងរកសកម្មភាពព្យាបាទ។ ប្រសិនបើការសម្របសម្រួលដែលអាចកើតមានណាមួយត្រូវបានរកឃើញ អង្គការគួរតែអនុវត្តតាមអនុសាសន៍ឆ្លើយតបឧបទ្ទវហេតុដែលបានរៀបរាប់នៅក្នុង CSA ។ ទោះបីជាមិនមានការសម្របសម្រួលក៏ដោយ អង្គការត្រូវតែអនុវត្តបំណះដែល Ivanti បានចេញដើម្បីធានាសុវត្ថិភាពភ្លាមៗ។
ការកេងប្រវ័ញ្ចសកម្មតាំងពីខែមេសា ឆ្នាំ 2023
CVE-2023-35078 គឺជាប្រធានបទនៃការកេងប្រវ័ញ្ចជាញឹកញាប់ដោយតួអង្គ APT ចាប់តាំងពីខែមេសា ឆ្នាំ 2023។ ពួកគេបានប្រើប្រាស់រ៉ោតទ័រ SOHO ដែលត្រូវបានសម្របសម្រួល រួមទាំងរ៉ោតទ័រ ASUS ជាប្រូកស៊ីដើម្បីកំណត់រចនាសម្ព័ន្ធហេដ្ឋារចនាសម្ព័ន្ធ។ NCSC-NO បានសង្កេតឃើញតួអង្គដែលប្រើប្រាស់ភាពងាយរងគ្រោះនេះដើម្បីទទួលបានការចូលប្រើដំបូងទៅកាន់ឧបករណ៍ EPMM ។ នៅពេលដែលនៅខាងក្នុង តួសម្តែងបានធ្វើសកម្មភាពផ្សេងៗ ដូចជាការអនុវត្តសំណួរ LDAP បំពានប្រឆាំងនឹង Active Directory ទាញយកចំណុចបញ្ចប់ LDAP រាយបញ្ជីអ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងដោយប្រើផ្លូវ API និងធ្វើការផ្លាស់ប្តូរការកំណត់នៅលើឧបករណ៍ EPMM។ ការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធជាក់លាក់ដែលធ្វើឡើងដោយតួអង្គនៅតែមិនស្គាល់។
តួអង្គ APT បានពិនិត្យកំណត់ហេតុសវនកម្ម EPMM Core ជាទៀងទាត់ ដើម្បីគ្របដណ្តប់បទរបស់ពួកគេ និងបានលុបធាតុមួយចំនួនរបស់ពួកគេនៅក្នុងកំណត់ហេតុ Apache httpd ដោយប្រើកម្មវិធី Tomcat ដ៏អាក្រក់ "mi.war" ដោយផ្អែកលើ keywords.txt ។ ធាតុកំណត់ហេតុដែលមាន "Firefox/107.0" ត្រូវបានលុប។
សម្រាប់ការប្រាស្រ័យទាក់ទងជាមួយ EPMM តួអង្គបានប្រើភ្នាក់ងារអ្នកប្រើប្រាស់ Linux និង Windows ជាចម្បង Firefox/107.0។ ទោះបីជាភ្នាក់ងារផ្សេងទៀតចូលមកលេងក៏ដោយ ក៏ពួកគេមិនបានបន្សល់ទុកដាននៅក្នុងកំណត់ហេតុឧបករណ៍ដែរ។ វិធីសាស្រ្តពិតប្រាកដដែលតួអង្គគំរាមកំហែងប្រើដើម្បីដំណើរការពាក្យបញ្ជាសែលនៅលើឧបករណ៍ EPMM នៅតែមិនត្រូវបានបញ្ជាក់។ NCSC-NO សង្ស័យថាពួកគេបានកេងប្រវ័ញ្ច CVE-2023-35081 ដើម្បីបង្ហោះសែលបណ្តាញ និងប្រតិបត្តិពាក្យបញ្ជា។
ដើម្បីចរាចរផ្លូវរូងក្រោមដីពីអ៊ីនធឺណិតទៅកាន់ម៉ាស៊ីនមេ Exchange ដែលមិនអាចចូលដំណើរការបានយ៉ាងហោចណាស់មួយ តួអង្គ APT បានប្រើប្រាស់ Ivanti Sentry ដែលជាឧបករណ៍ច្រកចេញចូលកម្មវិធីដែលគាំទ្រ EPMM ។ ទោះជាយ៉ាងណាក៏ដោយ បច្ចេកទេសពិតប្រាកដដែលប្រើប្រាស់សម្រាប់ការជីករូងក្រោមដីនេះនៅមិនទាន់ដឹងនៅឡើយ។
ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះរបស់ Ivanti EPMM៖ តួអង្គគំរាមកំហែងនៅលើ Prowl រូបថតអេក្រង់
