Ivanti EPMM ievainojamību izmantošana: apdraudēti aktieri
Reaģējot uz pastāvīgiem kiberdraudiem, Kiberdrošības un infrastruktūras drošības aģentūra (CISA) un Norvēģijas Nacionālais kiberdrošības centrs (NCSC-NO) ir kopīgi izdevuši nozīmīgu kiberdrošības ieteikumu (CSA). Tie attiecas uz divu ievainojamību , proti, CVE-2023-35078 un CVE-2023-35081, izmantošanu. Šīs ievainojamības ir uzbrukušas progresīvu pastāvīgo draudu (APT) dalībniekiem, kuri no 2023. gada aprīļa līdz 2023. gada jūlijam izmantoja CVE-2023-35078 kā nulles dienu. APT dalībnieki izmantoja šo ievainojamību, lai savāktu sensitīvu informāciju no dažādām Norvēģijas organizācijām un veiksmīgi kompromitēja Norvēģijas valdības aģentūras tīklu. Lai novērstu drošības riskus, programmatūras piegādātājs Ivanti 2023. gada 23. jūlijā un 2023. gada 28. jūlijā izlaida ielāpus abām ievainojamībām. NCSC-NO ir novērojis arī iespējamu CVE-2023-35081 un CVE-2023-35078 ievainojamības ķēdi, kas norāda uz sarežģītiem un potenciāli kaitīgiem kiberdraudiem.
Satura rādītājs
Kas slēpjas aiz CVE-2023-35078 un CVE-2023-35081?
CVE-2023-35078 rada kritisku risku Ivanti Endpoint Manager Mobile (EPMM), kas iepriekš bija pazīstams kā MobileIron Core, jo tas ļauj apdraudējuma dalībniekiem piekļūt personu identificējošai informācijai (PII) un veikt konfigurācijas izmaiņas apdraudētajās sistēmās. Tikmēr CVE-2023-35081 dalībniekiem piešķir EPMM administratora privilēģijas iespēju rakstīt patvaļīgus failus ar EPMM tīmekļa lietojumprogrammu servera operētājsistēmas privilēģijām. Apdraudējuma dalībnieki var iegūt sākotnējo, priviliģētu piekļuvi EPMM sistēmām un izpildīt augšupielādētos failus, piemēram, tīmekļa čaulas, savienojot šīs ievainojamības. Tā kā mobilo ierīču pārvaldības (MDM) sistēmas, piemēram, EPMM, nodrošina paaugstinātu piekļuvi daudzām mobilajām ierīcēm, tās ir kļuvušas par pievilcīgiem mērķiem apdraudētiem dalībniekiem, īpaši ņemot vērā iepriekšējos MobileIron ievainojamību izmantošanas gadījumus. Ņemot vērā potenciālu plaši izmantot valdības un privātā sektora tīklos, CISA un NCSC-NO pauž nopietnas bažas par šiem drošības apdraudējumiem.
Šajā kiberdrošības ieteikumā (CSA) NCSC-NO dalās ar kompromisu (IOC), taktiku, paņēmienu un procedūru (TTP) rādītājiem, kas atklāti viņu izmeklēšanas laikā. CSA ietver kodolu veidni, kas palīdz identificēt ierīces, kas nav ielādētas, un sniedz atklāšanas norādījumus organizācijām, lai tās varētu aktīvi meklēt kompromisa pazīmes. CISA un NCSC-NO stingri mudina organizācijas izmantot atklāšanas norādījumus, lai atklātu ļaunprātīgu darbību. Ja tiek atklāts kāds potenciāls kompromiss, organizācijām jāievēro ieteikumi reaģēšanai uz incidentiem, kas izklāstīti CSA. Pat ja nav kompromisu, organizācijām ir jāpiemēro Ivanti izdotie ielāpi, lai nodrošinātu drošību nekavējoties.
Ekspluatācijas aktīvs kopš 2023. gada aprīļa
Kopš 2023. gada aprīļa APT dalībnieki bieži izmantoja CVE-2023-35078. Viņi izmantoja apdraudētus SOHO maršrutētājus, tostarp ASUS maršrutētājus, kā starpniekserveri mērķa infrastruktūrai. NCSC-NO novēroja dalībniekus, kuri izmanto šo ievainojamību, lai iegūtu sākotnējo piekļuvi EPMM ierīcēm. Iekļuvuši iekšā, dalībnieki veica dažādas darbības, piemēram, veica patvaļīgus LDAP vaicājumus pret Active Directory, izguva LDAP galapunktus, uzskaitīja lietotājus un administratorus, izmantojot API ceļus, un veica konfigurācijas izmaiņas EPMM ierīcē. Konkrētās aktieru veiktās konfigurācijas izmaiņas joprojām nav zināmas.
APT dalībnieki regulāri pārbaudīja EPMM Core audita žurnālus, lai aptvertu savus ierakstus, un izdzēsa dažus savus ierakstus Apache httpd žurnālos, izmantojot ļaunprātīgu Tomcat lietojumprogrammu "mi.war", kuras pamatā ir atslēgas vārds.txt. Tika dzēsti žurnāla ieraksti, kas satur "Firefox/107.0".
Saziņai ar EPMM dalībnieki izmantoja Linux un Windows lietotāju aģentus, galvenokārt Firefox/107.0. Lai gan spēlē parādījās citi aģenti, tie neatstāja pēdas ierīču žurnālos. Precīza metode, ko apdraudējuma dalībnieki izmantoja čaulas komandu izpildei EPMM ierīcē, joprojām nav apstiprināta. NCSC-NO ir aizdomas, ka viņi izmantoja CVE-2023-35081, lai augšupielādētu tīmekļa čaulas un izpildītu komandas.
Lai novirzītu trafiku no interneta uz vismaz vienu nepieejamu Exchange serveri, APT dalībnieki izmantoja Ivanti Sentry — lietojumprogrammu vārtejas ierīci, kas atbalsta EPMM. Tomēr precīza šī tunelēšanas tehnika joprojām nav zināma.
Ivanti EPMM ievainojamību izmantošana: apdraudēti aktieri ekrānuzņēmumi
