Wykorzystywanie luk w zabezpieczeniach Ivanti EPMM: grasujący aktorzy

W odpowiedzi na bieżące zagrożenia cybernetyczne Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) oraz Norweskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC-NO) wspólnie wydały istotne zalecenia dotyczące bezpieczeństwa cybernetycznego (CSA). Zajmują się wykorzystaniem dwóch luk w zabezpieczeniach , a mianowicie CVE-2023-35078 i CVE-2023-35081. Luki te były przedmiotem ataków ze strony zaawansowanych ugrupowań uporczywych zagrożeń (APT), które wykorzystywały lukę CVE-2023-35078 jako dzień zerowy od kwietnia 2023 r. do lipca 2023 r. Aktorzy APT wykorzystali tę lukę do zebrania poufnych informacji od różnych norweskich organizacji i z powodzeniem włamał się do sieci norweskiej agencji rządowej. Aby zaradzić zagrożeniom bezpieczeństwa, firma Ivanti, dostawca oprogramowania, wydała poprawki dla obu luk odpowiednio 23 lipca 2023 r. i 28 lipca 2023 r. NCSC-NO zaobserwowało również możliwe połączenie luk w zabezpieczeniach CVE-2023-35081 i CVE-2023-35078, co wskazuje na złożone i potencjalnie szkodliwe cyberzagrożenie.

Co kryje się za CVE-2023-35078 i CVE-2023-35081?

CVE-2023-35078 stanowi krytyczne zagrożenie dla rozwiązania Ivanti Endpoint Manager Mobile (EPMM), znanego wcześniej jako MobileIron Core, ponieważ umożliwia cyberprzestępcom dostęp do danych osobowych (PII) i wprowadzanie zmian konfiguracyjnych w zaatakowanych systemach. Tymczasem luka CVE-2023-35081 przyznaje podmiotom z uprawnieniami administratora EPMM możliwość zapisywania dowolnych plików z uprawnieniami systemu operacyjnego serwera aplikacji sieci Web EPMM. Aktorzy zagrażający mogą uzyskać początkowy, uprzywilejowany dostęp do systemów EPMM i uruchamiać przesłane pliki, takie jak powłoki sieciowe, łącząc te luki w łańcuch. Ponieważ systemy zarządzania urządzeniami mobilnymi (MDM), takie jak EPMM, zapewniają podwyższony dostęp do wielu urządzeń mobilnych, stały się atrakcyjnym celem dla cyberprzestępców, zwłaszcza biorąc pod uwagę wcześniejsze wykorzystanie luk MobileIron. Biorąc pod uwagę możliwość szerokiego wykorzystania w sieciach rządowych i sektora prywatnego, CISA i NCSC-NO wyrażają poważne zaniepokojenie tymi zagrożeniami dla bezpieczeństwa.

W tym poradniku dotyczącym bezpieczeństwa cybernetycznego (CSA) NCSC-NO udostępnia wskaźniki kompromisu (IOC), taktyki, techniki i procedury (TTP) wykryte podczas dochodzeń. CSA zawiera szablon jądra, który pomaga w identyfikacji niezałatanych urządzeń i zapewnia organizacjom wskazówki dotyczące wykrywania, które mogą proaktywnie wyszukiwać oznaki naruszenia bezpieczeństwa. CISA i NCSC-NO zdecydowanie zachęcają organizacje do stosowania wskazówek dotyczących wykrywania w celu wykrywania złośliwych działań. W przypadku wykrycia potencjalnego zagrożenia organizacje powinny postępować zgodnie z zaleceniami dotyczącymi reagowania na incydenty określonymi w CSA. Nawet w przypadku braku kompromisu organizacje muszą stosować poprawki wydane przez firmę Ivanti, aby szybko zapewnić bezpieczeństwo.

Exploity aktywne od kwietnia 2023 r

CVE-2023-35078 jest częstym obiektem ataków hakerów APT od kwietnia 2023 r. Wykorzystali oni zainfekowane routery SOHO, w tym routery ASUS, jako serwery proxy dla docelowej infrastruktury. NCSC-NO obserwowało podmioty wykorzystujące tę lukę w celu uzyskania wstępnego dostępu do urządzeń EPMM. Po wejściu do środka aktorzy wykonywali różne czynności, takie jak wykonywanie dowolnych zapytań LDAP w usłudze Active Directory, pobieranie punktów końcowych LDAP, wyświetlanie użytkowników i administratorów za pomocą ścieżek API oraz wprowadzanie zmian konfiguracyjnych w urządzeniu EPMM. Konkretne zmiany konfiguracji dokonane przez aktorów pozostają nieznane.

Aktorzy APT regularnie sprawdzali dzienniki audytu EPMM Core w celu zatarcia śladów i usuwali niektóre wpisy z dzienników httpd Apache za pomocą złośliwej aplikacji Tomcat „mi.war” opartej na pliku keywords.txt. Wpisy dziennika zawierające „Firefox/107.0” zostały usunięte.

Do komunikacji z EPMM aktorzy używali agentów użytkownika systemów Linux i Windows, głównie Firefox/107.0. Chociaż do gry weszli inni agenci, nie pozostawili śladów w dziennikach urządzeń. Dokładna metoda zastosowana przez cyberprzestępców do uruchamiania poleceń powłoki na urządzeniu EPMM pozostaje niepotwierdzona. NCSC-NO podejrzewa, że wykorzystali lukę CVE-2023-35081 do przesyłania powłok internetowych i wykonywania poleceń.

Aby tunelować ruch z Internetu do co najmniej jednego niedostępnego serwera Exchange, aktorzy APT wykorzystali Ivanti Sentry, bramę aplikacji obsługującą EPMM. Jednak dokładna technika zastosowana do tego tunelowania pozostaje nieznana.

Wykorzystywanie luk w zabezpieczeniach Ivanti EPMM: grasujący aktorzy zrzutów ekranu