इभान्ती EPMM कमजोरीहरू शोषण गर्दै: प्रोउलमा अभिनेताहरू

चलिरहेको साइबर खतराहरूको प्रतिक्रियामा, साइबर सुरक्षा र पूर्वाधार सुरक्षा एजेन्सी (CISA) र नर्वेजियन राष्ट्रिय साइबर सुरक्षा केन्द्र (NCSC-NO) ले संयुक्त रूपमा महत्त्वपूर्ण साइबर सुरक्षा सल्लाह (CSA) जारी गरेका छन्। तिनीहरूले CVE-2023-35078 र CVE-2023-35081 नामक दुई कमजोरीहरूको शोषणलाई सम्बोधन गरिरहेका छन्। यी कमजोरीहरू उन्नत पर्सिस्टेन्ट थ्रेट (APT) अभिनेताहरूद्वारा आक्रमणको विषय बनेका छन्, जसले CVE-2023-35078 लाई अप्रिल 2023 देखि जुलाई 2023 सम्म शून्य-दिनको रूपमा शोषण गरेका छन्। APT अभिनेताहरूले यो जोखिमलाई विभिन्न नर्वेजियन संस्थाहरूबाट संवेदनशील जानकारी सङ्कलन गर्न प्रयोग गरे। नर्वेजियन सरकारी एजेन्सीको नेटवर्कलाई सफलतापूर्वक सम्झौता गर्यो। सुरक्षा जोखिमहरूलाई सम्बोधन गर्न, सफ्टवेयर विक्रेता इभान्तीले क्रमशः जुलाई 23, 2023 र जुलाई 28, 2023 मा दुवै कमजोरीहरूको लागि प्याचहरू जारी गर्यो। NCSC-NO ले जटिल र सम्भावित हानिकारक साइबर खतरालाई संकेत गर्दै CVE-2023-35081 र CVE-2023-35078 को सम्भावित जोखिम चेनिङ पनि अवलोकन गरेको छ।

CVE-2023-35078 र CVE-2023-35081 पछाडि के छ?

CVE-2023-35078 ले Ivanti Endpoint Manager Mobile (EPMM), पहिले MobileIron Core को रूपमा चिनिन्थ्यो, को लागी एक महत्वपूर्ण जोखिम खडा गर्दछ, किनकि यसले खतरा अभिनेताहरूलाई व्यक्तिगत रूपमा पहिचान योग्य जानकारी (PII) पहुँच गर्न र सम्झौता प्रणालीहरूमा कन्फिगरेसन परिवर्तनहरू गर्न अनुमति दिन्छ। यसैबीच, CVE-2023-35081 ले EPMM प्रशासक विशेषाधिकारहरूसँग अभिनेताहरूलाई EPMM वेब अनुप्रयोग सर्भरको अपरेटिङ सिस्टम विशेषाधिकारहरूसँग मनमानी फाइलहरू लेख्ने क्षमता प्रदान गर्दछ। थ्रेट अभिनेताहरूले EPMM प्रणालीहरूमा प्रारम्भिक, विशेषाधिकार प्राप्त पहुँच प्राप्त गर्न सक्छन् र यी कमजोरीहरूलाई एकसाथ जोडेर वेब शेलहरू जस्ता अपलोड गरिएका फाइलहरू कार्यान्वयन गर्न सक्छन्। EPMM जस्ता मोबाइल उपकरण व्यवस्थापन (MDM) प्रणालीहरूले धेरै मोबाइल उपकरणहरूमा उन्नत पहुँच प्रदान गर्ने भएकाले, तिनीहरू धम्की दिने अभिनेताहरूको लागि आकर्षक लक्ष्य भएका छन्, विशेष गरी MobileIron कमजोरीहरूको अघिल्लो शोषणलाई विचार गर्दै। सरकारी र निजी क्षेत्र सञ्जालहरूमा व्यापक शोषणको सम्भावनालाई ध्यानमा राख्दै, CISA र NCSC-NO यी सुरक्षा खतराहरूमा गम्भीर चिन्ता व्यक्त गर्दछ।

यस साइबरसुरक्षा सल्लाहकार (CSA) मा, NCSC-NO ले आफ्नो अनुसन्धानको क्रममा पत्ता लगाएका सम्झौता (IOCs), रणनीति, प्रविधि र प्रक्रिया (TTPs) को सूचकहरू साझा गर्दछ। CSA ले एक न्यूक्ली टेम्प्लेट समावेश गर्दछ, नप्याच नगरिएका यन्त्रहरू पहिचान गर्न मद्दत गर्दै, र संगठनहरूलाई सक्रिय रूपमा सम्झौताका संकेतहरू खोज्नको लागि पत्ता लगाउन निर्देशन प्रदान गर्दछ। CISA र NCSC-NO ले सङ्गठनहरूलाई दुर्भावनापूर्ण गतिविधि पत्ता लगाउन पत्ता लगाउन निर्देशन प्रयोग गर्न प्रोत्साहन दिन्छ। कुनै पनि सम्भावित सम्झौता पत्ता लागेमा, संस्थाहरूले CSA मा उल्लिखित घटना प्रतिक्रिया सिफारिसहरू पालना गर्नुपर्छ। सम्झौताको अभावमा पनि, संस्थाहरूले तुरुन्तै सुरक्षा सुनिश्चित गर्न इभान्ती जारी गरिएको प्याचहरू लागू गर्नुपर्छ।

अप्रिल २०२३ देखि सक्रिय शोषण

CVE-2023-35078 अप्रिल 2023 देखि APT कलाकारहरू द्वारा बारम्बार शोषणको विषय भएको छ। तिनीहरूले पूर्वाधारलाई लक्षित गर्न प्रोक्सीको रूपमा ASUS राउटरहरू सहित सम्झौता गरिएका SOHO राउटरहरू प्रयोग गरे। NCSC-NO ले EPMM यन्त्रहरूमा प्रारम्भिक पहुँच प्राप्त गर्नको लागि यो जोखिमको लाभ उठाउने अभिनेताहरूलाई अवलोकन गर्‍यो। एकपटक भित्र पसेपछि, कलाकारहरूले विभिन्न गतिविधिहरू प्रदर्शन गरे, जस्तै सक्रिय डाइरेक्टरी विरुद्ध स्वेच्छाचारी LDAP क्वेरीहरू प्रदर्शन गर्ने, LDAP अन्त्य बिन्दुहरू पुन: प्राप्त गर्ने, API मार्गहरू प्रयोग गरेर प्रयोगकर्ताहरू र प्रशासकहरूलाई सूचीबद्ध गर्ने, र EPMM उपकरणमा कन्फिगरेसन परिवर्तनहरू गर्ने। कलाकारहरू द्वारा गरिएका विशिष्ट कन्फिगरेसन परिवर्तनहरू अज्ञात रहन्छन्।

APT अभिनेताहरूले तिनीहरूको ट्र्याकहरू कभर गर्न नियमित रूपमा EPMM कोर अडिट लगहरू जाँच गर्थे र keywords.txt मा आधारित दुर्भावनापूर्ण Tomcat अनुप्रयोग "mi.war" प्रयोग गरेर Apache httpd लगहरूमा तिनीहरूका केही प्रविष्टिहरू मेटाए। "Firefox/107.0" भएको लग प्रविष्टिहरू मेटाइयो।

EPMM सँग सञ्चारको लागि, अभिनेताहरूले लिनक्स र Windows प्रयोगकर्ता एजेन्टहरू प्रयोग गर्थे, मुख्य रूपमा फायरफक्स/107.0। यद्यपि अन्य एजेन्टहरू खेलमा आए, तिनीहरूले उपकरण लगहरूमा ट्रेसहरू छोडेनन्। EPMM उपकरणमा शेल आदेशहरू चलाउनको लागि खतरा अभिनेताहरूले प्रयोग गर्ने सही विधि अपुष्ट रहन्छ। NCSC-NO लाई शंका छ कि तिनीहरूले वेब शेलहरू अपलोड गर्न र आदेशहरू कार्यान्वयन गर्न CVE-2023-35081 को दुरुपयोग गरे।

इन्टरनेटबाट कम्तिमा एउटा दुर्गम एक्सचेन्ज सर्भरमा ट्राफिक टनेल गर्न, एपीटी अभिनेताहरूले इभान्ती सेन्ट्री, EPMM लाई समर्थन गर्ने एप्लिकेसन गेटवे उपकरण प्रयोग गरे। तर, यो सुरुङ निर्माणको लागि प्रयोग गरिएको सही प्रविधि अज्ञात छ।

इभान्ती EPMM कमजोरीहरू शोषण गर्दै: प्रोउलमा अभिनेताहरू स्क्रिनसटहरू