Exploitatie van Ivanti EPMM-kwetsbaarheden: bedreigingsactoren op jacht
Als reactie op aanhoudende cyberdreigingen hebben de Cybersecurity and Infrastructure Security Agency (CISA) en het Norwegian National Cyber Security Centre (NCSC-NO) gezamenlijk een belangrijk Cybersecurity Advisory (CSA) uitgebracht. Ze pakken de uitbuiting van twee kwetsbaarheden aan, namelijk CVE-2023-35078 en CVE-2023-35081. Deze kwetsbaarheden zijn het slachtoffer geweest van aanvallen door APT-actoren (Advanced Persistent Threat), die CVE-2023-35078 als een zero-day van april 2023 tot juli 2023 hebben uitgebuit. De APT-actoren hebben deze kwetsbaarheid gebruikt om gevoelige informatie te verzamelen van verschillende Noorse organisaties en met succes het netwerk van een Noorse overheidsinstantie gecompromitteerd. Om de beveiligingsrisico's aan te pakken, heeft Ivanti, de softwareleverancier, patches voor beide kwetsbaarheden uitgebracht op respectievelijk 23 juli 2023 en 28 juli 2023. Het NCSC-NO heeft ook mogelijke chaining van kwetsbaarheden van CVE-2023-35081 en CVE-2023-35078 waargenomen, wat wijst op een complexe en mogelijk schadelijke cyberdreiging.
Inhoudsopgave
Wat zit er achter CVE-2023-35078 en CVE-2023-35081?
CVE-2023-35078 vormt een kritiek risico voor Ivanti Endpoint Manager Mobile (EPMM), voorheen bekend als MobileIron Core, omdat het bedreigingsactoren toegang geeft tot persoonlijk identificeerbare informatie (PII) en configuratiewijzigingen kan aanbrengen op gecompromitteerde systemen. Ondertussen verleent CVE-2023-35081 actoren met EPMM-beheerdersrechten de mogelijkheid om willekeurige bestanden te schrijven met de besturingssysteemrechten van de EPMM-webtoepassingsserver. Bedreigers kunnen initiële, geprivilegieerde toegang krijgen tot EPMM-systemen en geüploade bestanden zoals webshells uitvoeren door deze kwetsbaarheden aan elkaar te koppelen. Omdat Mobile Device Management (MDM)-systemen zoals EPMM verhoogde toegang bieden tot tal van mobiele apparaten, zijn ze aantrekkelijke doelen geworden voor bedreigende actoren, vooral gezien eerdere exploits van MobileIron-kwetsbaarheden. Gezien het potentieel voor wijdverbreide uitbuiting in netwerken van de overheid en de particuliere sector, uiten CISA en NCSC-NO hun ernstige bezorgdheid over deze veiligheidsbedreigingen.
In deze Cybersecurity Advisory (CSA) deelt NCSC-NO indicatoren van compromissen (IOC's), tactieken, technieken en procedures (TTP's) die tijdens hun onderzoeken zijn ontdekt. De CSA bevat een nuclei-sjabloon, die helpt bij het identificeren van niet-gepatchte apparaten, en biedt detectiebegeleiding voor organisaties om proactief te zoeken naar tekenen van compromittering. CISA en NCSC-NO moedigen organisaties sterk aan om detectierichtlijnen te gebruiken om kwaadwillende activiteiten te detecteren. Als er een mogelijk gevaar wordt gedetecteerd, moeten organisaties de aanbevelingen voor incidentrespons volgen die in de CSA worden beschreven. Zelfs als er geen compromissen worden gesloten, moeten organisaties de door Ivanti uitgegeven patches toepassen om de veiligheid snel te garanderen.
Exploits actief sinds april 2023
CVE-2023-35078 is sinds april 2023 een veelvoorkomend onderwerp van uitbuiting door APT-actoren. Ze gebruikten gecompromitteerde SOHO-routers, waaronder ASUS-routers, als proxy's voor de doelinfrastructuur. NCSC-NO heeft waargenomen dat de actoren deze kwetsbaarheid misbruikten om initiële toegang tot EPMM-apparaten te krijgen. Eenmaal binnen voerden de actoren verschillende activiteiten uit, zoals het uitvoeren van willekeurige LDAP-query's tegen Active Directory, het ophalen van LDAP-eindpunten, het opsommen van gebruikers en beheerders met behulp van API-paden en het aanbrengen van configuratiewijzigingen op het EPMM-apparaat. De specifieke configuratiewijzigingen die door de actoren zijn aangebracht, blijven onbekend.
De APT-acteurs controleerden regelmatig de EPMM Core-auditlogboeken om hun sporen uit te wissen en verwijderden enkele van hun vermeldingen in Apache httpd-logboeken met behulp van de kwaadaardige Tomcat-toepassing "mi.war" op basis van keywords.txt. Logboekvermeldingen met "Firefox/107.0" zijn verwijderd.
Voor communicatie met EPMM gebruikten de actoren Linux- en Windows-user-agents, voornamelijk Firefox/107.0. Hoewel andere agenten in het spel kwamen, lieten ze geen sporen achter in apparaatlogboeken. De exacte methode die de bedreigingsactoren gebruikten om shell-opdrachten op het EPMM-apparaat uit te voeren, blijft onbevestigd. NCSC-NO vermoedt dat ze CVE-2023-35081 hebben misbruikt om webshells te uploaden en opdrachten uit te voeren.
Om verkeer van internet naar ten minste één ontoegankelijke Exchange-server te tunnelen, gebruikten de APT-actoren Ivanti Sentry, een toepassingsgateway-appliance die EPMM ondersteunt. De exacte techniek die voor deze tunneling is gebruikt, blijft echter onbekend.
Exploitatie van Ivanti EPMM-kwetsbaarheden: bedreigingsactoren op jacht schermafbeeldingen
