Ivanti EPMM 취약점 악용: 배회 중인 위협 행위자
지속적인 사이버 위협에 대응하기 위해 CISA(Cybersecurity and Infrastructure Security Agency)와 NCSC-NO(Norwegian National Cyber Security Center)는 중요한 사이버 보안 권고(CSA)를 공동으로 발표했습니다. 그들은 CVE-2023-35078 및 CVE-2023-35081이라는 두 가지 취약점 의 악용을 해결하고 있습니다. 이러한 취약점은 2023년 4월부터 2023년 7월까지 CVE-2023-35078을 제로데이로 악용한 APT(Advanced Persistent Threat) 행위자의 공격을 받았습니다. APT 행위자는 이 취약점을 사용하여 다양한 노르웨이 조직 및 노르웨이 정부 기관의 네트워크를 성공적으로 손상시켰습니다. 보안 위험을 해결하기 위해 소프트웨어 벤더인 Ivanti는 각각 2023년 7월 23일과 2023년 7월 28일에 두 취약점에 대한 패치를 릴리스했습니다. NCSC-NO는 또한 복잡하고 잠재적으로 유해한 사이버 위협을 나타내는 CVE-2023-35081 및 CVE-2023-35078의 가능한 취약점 체인을 관찰했습니다.
목차
CVE-2023-35078 및 CVE-2023-35081의 배후에는 무엇이 있습니까?
CVE-2023-35078은 공격자가 PII(개인 식별 정보)에 액세스하고 손상된 시스템의 구성을 변경할 수 있도록 이전에 MobileIron Core로 알려졌던 EPMM(Ivanti Endpoint Manager Mobile)에 심각한 위험을 초래합니다. 한편, CVE-2023-35081은 EPMM 관리자 권한이 있는 행위자에게 EPMM 웹 애플리케이션 서버의 운영 체제 권한으로 임의의 파일을 쓸 수 있는 권한을 부여합니다. 위협 행위자는 EPMM 시스템에 대한 초기의 권한 있는 액세스 권한을 얻고 이러한 취약성을 함께 연결하여 웹 셸과 같은 업로드된 파일을 실행할 수 있습니다. EPMM과 같은 모바일 장치 관리(MDM) 시스템은 수많은 모바일 장치에 대한 향상된 액세스를 제공하므로 특히 MobileIron 취약점의 이전 익스플로잇을 고려할 때 공격자의 매력적인 표적이 되었습니다. CISA와 NCSC-NO는 정부 및 민간 부문 네트워크에서 광범위하게 악용될 가능성이 있으므로 이러한 보안 위협에 대해 심각한 우려를 표명합니다.
이 사이버 보안 권고 (CSA)에서 NCSC-NO는 조사 중에 발견된 침해 지표(IOC), 전술, 기법 및 절차(TTP)를 공유합니다. CSA는 패치되지 않은 장치를 식별하는 데 도움이 되는 핵 템플릿을 통합하고 조직이 사전에 손상 징후를 검색할 수 있도록 탐지 지침을 제공합니다. CISA 및 NCSC-NO는 조직이 탐지 지침을 사용하여 악의적인 활동을 탐지할 것을 강력히 권장합니다. 잠재적 손상이 감지되면 조직은 CSA에 요약된 사고 대응 권장 사항을 따라야 합니다. 손상이 없는 경우에도 조직은 즉시 보안을 보장하기 위해 Ivanti가 발행한 패치를 적용해야 합니다.
2023년 4월부터 활성화된 익스플로잇
CVE-2023-35078은 2023년 4월부터 APT 공격자가 자주 악용한 대상이었습니다. 그들은 ASUS 라우터를 포함하여 손상된 SOHO 라우터를 대상 인프라에 대한 프록시로 활용했습니다. NCSC-NO는 행위자가 이 취약성을 악용하여 EPMM 장치에 대한 초기 액세스 권한을 얻는 것을 관찰했습니다. 내부에 들어가면 행위자는 Active Directory에 대해 임의의 LDAP 쿼리 수행, LDAP 끝점 검색, API 경로를 사용하여 사용자 및 관리자 나열, EPMM 장치에서 구성 변경 등 다양한 활동을 수행했습니다. 행위자가 수행한 특정 구성 변경은 아직 알려지지 않았습니다.
APT 공격자는 정기적으로 EPMM Core 감사 로그를 확인하여 자신의 흔적을 숨기고 keywords.txt를 기반으로 하는 악성 Tomcat 애플리케이션 "mi.war"을 사용하여 Apache httpd 로그의 일부 항목을 삭제했습니다. "Firefox/107.0"이 포함된 로그 항목이 삭제되었습니다.
EPMM과의 통신을 위해 액터는 주로 Firefox/107.0과 같은 Linux 및 Windows 사용자 에이전트를 사용했습니다. 다른 에이전트가 등장했지만 장치 로그에 흔적을 남기지 않았습니다. 공격자가 EPMM 장치에서 셸 명령을 실행하는 데 사용한 정확한 방법은 아직 확인되지 않았습니다. NCSC-NO는 웹 셸을 업로드하고 명령을 실행하기 위해 CVE-2023-35081을 악용한 것으로 의심합니다.
인터넷에서 액세스할 수 없는 Exchange 서버 하나 이상으로 트래픽을 터널링하기 위해 APT 공격자는 EPMM을 지원하는 애플리케이션 게이트웨이 어플라이언스인 Ivanti Sentry를 사용했습니다. 그러나 이 터널링에 사용된 정확한 기술은 아직 알려지지 않았습니다.
Ivanti EPMM 취약점 악용: 배회 중인 위협 행위자 스크린샷
