Ivanti EPMM pažeidžiamumo išnaudojimas: sėlinantys veikėjai
Reaguodamos į nuolatines kibernetines grėsmes, Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) ir Norvegijos nacionalinis kibernetinio saugumo centras (NCSC-NO) kartu paskelbė reikšmingą kibernetinio saugumo patarimą (CSA). Jie sprendžia dviejų pažeidžiamumų , būtent CVE-2023-35078 ir CVE-2023-35081, išnaudojimą. Šiuos pažeidžiamumus atakavo pažangios nuolatinės grėsmės (APT) veikėjai, kurie nuo 2023 m. balandžio mėn. iki 2023 m. liepos mėn. naudojo CVE-2023-35078 kaip nulinę dieną. APT dalyviai naudojo šį pažeidžiamumą rinkdami neskelbtiną informaciją iš įvairių Norvegijos organizacijų ir sėkmingai sukompromitavo Norvegijos vyriausybinės agentūros tinklą. Siekdama pašalinti saugumo riziką, programinės įrangos tiekėjas „Ivanti“ 2023 m. liepos 23 d. ir 2023 m. liepos 28 d. išleido abiejų spragų pataisas. NCSC-NO taip pat pastebėjo galimą CVE-2023-35081 ir CVE-2023-35078 pažeidžiamumo grandinę, nurodant sudėtingą ir potencialiai žalingą kibernetinę grėsmę.
Turinys
Kas slypi už CVE-2023-35078 ir CVE-2023-35081?
CVE-2023-35078 kelia kritinę riziką „Ivanti Endpoint Manager Mobile“ (EPMM), anksčiau žinomai kaip „MobileIron Core“, nes leidžia grėsmės subjektams pasiekti asmenį identifikuojančią informaciją (PII) ir atlikti konfigūracijos pakeitimus pažeistose sistemose. Tuo tarpu CVE-2023-35081 suteikia aktoriams, turintiems EPMM administratoriaus privilegijas, galimybę rašyti savavališkus failus su EPMM žiniatinklio programų serverio operacinės sistemos teisėmis. Grėsmės veikėjai gali įgyti pirminę privilegijuotą prieigą prie EPMM sistemų ir vykdyti įkeltus failus, pavyzdžiui, žiniatinklio apvalkalus, sujungdami šiuos pažeidžiamumus. Kadangi mobiliųjų įrenginių valdymo (MDM) sistemos, pvz., EPMM, suteikia didesnę prieigą prie daugelio mobiliųjų įrenginių, jos tapo patraukliais taikiniais grėsmingiems veikėjams, ypač atsižvelgiant į ankstesnius „MobileIron“ pažeidžiamumų išnaudojimus. Atsižvelgdami į tai, kad vyriausybės ir privataus sektoriaus tinklai gali būti plačiai naudojami, CISA ir NCSC-NO išreiškia didelį susirūpinimą dėl šių saugumo grėsmių.
Šiame kibernetinio saugumo patarime (CSA) NCSC-NO dalijasi kompromiso (IOC), taktikos, technikos ir procedūrų (TTP) rodikliais, kurie buvo aptikti jų tyrimų metu. CSA apima branduolių šabloną, padedantį atpažinti nepataisytus įrenginius, ir pateikia aptikimo gaires organizacijoms aktyviai ieškoti kompromiso ženklų. CISA ir NCSC-NO primygtinai ragina organizacijas naudoti aptikimo gaires, kad aptiktų kenkėjišką veiklą. Nustačius bet kokį galimą kompromisą, organizacijos turėtų vadovautis reagavimo į incidentus rekomendacijomis, išdėstytomis CSA. Net ir nesant kompromiso, organizacijos turi pritaikyti „Ivanti“ išleistas pataisas, kad užtikrintų greitą saugumą.
Išnaudojimai aktyvūs nuo 2023 m. balandžio mėn
CVE-2023-35078 APT veikėjai dažnai naudojasi nuo 2023 m. balandžio mėn. Jie naudojo pažeistus SOHO maršruto parinktuvus, įskaitant ASUS maršrutizatorius, kaip tarpinius serverius tikslinei infrastruktūrai. NCSC-NO pastebėjo, kad veikėjai pasinaudojo šiuo pažeidžiamumu, kad gautų pradinę prieigą prie EPMM įrenginių. Patekę į vidų, aktoriai atliko įvairią veiklą, pvz., atliko savavališkas LDAP užklausas „Active Directory“, nuskaito LDAP galutinius taškus, įtraukė vartotojus ir administratorius naudodami API kelius ir atliko EPMM įrenginio konfigūracijos pakeitimus. Konkretūs aktorių atlikti konfigūracijos pakeitimai lieka nežinomi.
APT dalyviai reguliariai tikrino EPMM Core audito žurnalus, kad apimtų savo pėdsakus, ir ištrynė kai kuriuos savo įrašus Apache httpd žurnaluose, naudodami kenkėjišką Tomcat programą „mi.war“, pagrįstą raktažodžiais.txt. Žurnalo įrašai su „Firefox/107.0“ buvo ištrinti.
Bendravimui su EPMM aktoriai naudojo Linux ir Windows vartotojų agentus, pirmiausia Firefox/107.0. Nors pasirodė kiti agentai, jie nepaliko pėdsakų įrenginių žurnaluose. Tikslus metodas, kurį grėsmės veikėjai naudojo vykdydami apvalkalo komandas EPMM įrenginyje, lieka nepatvirtintas. NCSC-NO įtaria, kad jie išnaudojo CVE-2023-35081, norėdami įkelti žiniatinklio apvalkalus ir vykdyti komandas.
Norėdami nukreipti srautą iš interneto į bent vieną nepasiekiamą „Exchange“ serverį, APT dalyviai panaudojo „Ivanti Sentry“ – taikomųjų programų šliuzo įrenginį, palaikantį EPMM. Tačiau tiksli šio tuneliavimo technika vis dar nežinoma.
Ivanti EPMM pažeidžiamumo išnaudojimas: sėlinantys veikėjai ekrano kopijos
