Memanfaatkan Kerentanan Ivanti EPMM: Mengancam Pelakon yang Menjelajah
Sebagai tindak balas kepada ancaman siber yang berterusan, Agensi Keselamatan Siber dan Infrastruktur (CISA) dan Pusat Keselamatan Siber Kebangsaan Norway (NCSC-NO) telah bersama-sama mengeluarkan Nasihat Keselamatan Siber (CSA) yang penting. Mereka menangani eksploitasi dua kelemahan , iaitu CVE-2023-35078 dan CVE-2023-35081. Kerentanan ini telah tertakluk kepada serangan oleh pelakon ancaman berterusan lanjutan (APT), yang mengeksploitasi CVE-2023-35078 sebagai hari sifar dari April 2023 hingga Julai 2023. Pelakon APT menggunakan kelemahan ini untuk mengumpulkan maklumat sensitif daripada pelbagai organisasi Norway dan berjaya menjejaskan rangkaian agensi kerajaan Norway. Untuk menangani risiko keselamatan, Ivanti, vendor perisian, mengeluarkan tampung untuk kedua-dua kelemahan pada 23 Julai 2023 dan 28 Julai 2023, masing-masing. NCSC-NO juga telah melihat kemungkinan rantaian kerentanan CVE-2023-35081 dan CVE-2023-35078, yang menunjukkan ancaman siber yang kompleks dan berpotensi berbahaya.
Isi kandungan
Apa yang Ada di Sebalik CVE-2023-35078 dan CVE-2023-35081?
CVE-2023-35078 menimbulkan risiko kritikal kepada Ivanti Endpoint Manager Mobile (EPMM), sebelum ini dikenali sebagai MobileIron Core, kerana ia membenarkan pelaku ancaman mengakses maklumat pengenalan peribadi (PII) dan membuat perubahan konfigurasi pada sistem yang terjejas. Sementara itu, CVE-2023-35081 memberikan pelakon dengan keistimewaan pentadbir EPMM keupayaan untuk menulis fail sewenang-wenangnya dengan keistimewaan sistem pengendalian pelayan aplikasi web EPMM. Aktor ancaman boleh memperoleh akses awal yang istimewa kepada sistem EPMM dan melaksanakan fail yang dimuat naik seperti cangkerang Web dengan merantai kelemahan ini bersama-sama. Memandangkan sistem Pengurusan Peranti Mudah Alih (MDM) seperti EPMM menyediakan akses yang lebih tinggi kepada pelbagai peranti mudah alih, ia telah menjadi sasaran menarik untuk pelakon yang mengancam, terutamanya memandangkan eksploitasi kelemahan MobileIron sebelum ini. Memandangkan potensi untuk eksploitasi yang meluas dalam rangkaian kerajaan dan sektor swasta, CISA dan NCSC-NO menyatakan kebimbangan yang mendalam terhadap ancaman keselamatan ini.
Dalam Cybersecurity Advisory (CSA) ini, NCSC-NO berkongsi penunjuk kompromi (IOC), taktik, teknik dan prosedur (TTP) yang ditemui semasa penyiasatan mereka. CSA menggabungkan templat nukleus, membantu dalam mengenal pasti peranti yang tidak ditambal dan menyediakan panduan pengesanan untuk organisasi mencari tanda-tanda kompromi secara proaktif. CISA dan NCSC-NO amat menggalakkan organisasi menggunakan panduan pengesanan untuk mengesan aktiviti berniat jahat. Sekiranya sebarang kemungkinan kompromi dikesan, organisasi harus mengikut pengesyoran tindak balas insiden yang digariskan dalam CSA. Walaupun tanpa kompromi, organisasi mesti menggunakan patch yang dikeluarkan Ivanti untuk memastikan keselamatan dengan segera.
Eksploitasi Aktif Sejak April 2023
CVE-2023-35078 telah menjadi subjek eksploitasi yang kerap oleh pelakon APT sejak April 2023. Mereka menggunakan penghala SOHO yang terjejas, termasuk penghala ASUS, sebagai proksi untuk menyasarkan infrastruktur. NCSC-NO memerhatikan pelakon yang memanfaatkan kelemahan ini untuk mendapatkan akses awal kepada peranti EPMM. Sebaik sahaja di dalam, pelakon melakukan pelbagai aktiviti, seperti melakukan pertanyaan LDAP sewenang-wenangnya terhadap Active Directory, mendapatkan semula titik akhir LDAP, menyenaraikan pengguna dan pentadbir menggunakan laluan API dan membuat perubahan konfigurasi pada peranti EPMM. Perubahan konfigurasi khusus yang dibuat oleh pelakon masih tidak diketahui.
Pelakon APT kerap menyemak log audit Teras EPMM untuk menutup jejak mereka dan memadamkan beberapa entri mereka dalam log httpd Apache menggunakan aplikasi Tomcat berniat jahat "mi.war" berdasarkan keywords.txt. Entri log yang mengandungi "Firefox/107.0" telah dipadamkan.
Untuk komunikasi dengan EPMM, pelakon menggunakan ejen pengguna Linux dan Windows, terutamanya Firefox/107.0. Walaupun ejen lain terlibat, mereka tidak meninggalkan kesan dalam log peranti. Kaedah tepat yang digunakan oleh pelaku ancaman untuk menjalankan arahan shell pada peranti EPMM masih belum disahkan. NCSC-NO mengesyaki bahawa mereka mengeksploitasi CVE-2023-35081 untuk memuat naik cangkerang Web dan melaksanakan arahan.
Untuk menyalurkan trafik dari internet kepada sekurang-kurangnya satu pelayan Exchange yang tidak boleh diakses, pelakon APT menggunakan Ivanti Sentry, perkakas gerbang aplikasi yang menyokong EPMM. Walau bagaimanapun, teknik tepat yang digunakan untuk terowong ini masih tidak diketahui.
Memanfaatkan Kerentanan Ivanti EPMM: Mengancam Pelakon yang Menjelajah Tangkapan skrin
