Explorando as Vulnerabilidades do Ivanti EPMM: Agentes de Ameaças à Espreita
Em resposta às ameaças cibernéticas em andamento, a Agência de Segurança Cibernética e Infraestrutura (CISA) e o Centro Nacional de Segurança Cibernética da Noruega (NCSC-NO) emitiram em conjunto um importante Aviso de Segurança Cibernética (CSA). Eles estão abordando a exploração de duas vulnerabilidades, ou seja, CVE-2023-35078 e CVE-2023-35081. Essas vulnerabilidades foram sujeitas a ataques por atores de ameaças persistentes avançadas (APT), que exploraram CVE-2023-35078 como um dia zero de abril de 2023 a julho de 2023. Os atores APT usaram essa vulnerabilidade para coletar informações confidenciais de várias organizações norueguesas e comprometeu com sucesso a rede de uma agência do governo norueguês. Para lidar com os riscos de segurança, Ivanti, o fornecedor de software, lançou patches para ambas as vulnerabilidades em 23 de julho de 2023 e 28 de julho de 2023, respectivamente. O NCSC-NO também observou um possível encadeamento de vulnerabilidades de CVE-2023-35081 e CVE-2023-35078, indicando uma ameaça cibernética complexa e potencialmente prejudicial.
Índice
O Que está por Trás do CVE-2023-35078 e do CVE-2023-35081?
O CVE-2023-35078 representa um risco crítico para o Ivanti Endpoint Manager Mobile (EPMM), anteriormente conhecido como MobileIron Core, pois permite que os agentes de ameaças acessem informações de identificação pessoal (PII) e façam alterações na configuração dos sistemas comprometidos. Enquanto isso, o CVE-2023-35081 concede aos atores com privilégios de administrador EPMM a capacidade de gravar arquivos arbitrários com os privilégios do sistema operacional do servidor de aplicativos da web EPMM. Atores de ameaças podem obter acesso inicial privilegiado a sistemas EPMM e executar arquivos carregados como shells da Web ao encadear essas vulnerabilidades. Como os sistemas de gerenciamento de dispositivos móveis (MDM) como o EPMM fornecem acesso elevado a vários dispositivos móveis, eles se tornaram alvos atraentes para atores ameaçadores, especialmente considerando as explorações anteriores das vulnerabilidades do MobileIron. Dado o potencial de exploração generalizada em redes governamentais e do setor privado, a CISA e a NCSC-NO expressam grande preocupação com essas ameaças à segurança.
Neste Cybersecurity Advisory (CSA), o NCSC-NO compartilha indicadores de comprometimento (IOCs), táticas, técnicas e procedimentos (TTPs) descobertos durante suas investigações. O CSA incorpora um modelo de núcleos, auxiliando na identificação de dispositivos não corrigidos e fornece orientação de detecção para que as organizações procurem sinais de comprometimento de forma proativa. A CISA e a NCSC-NO encorajam fortemente as organizações a usar a orientação de detecção para detectar atividades maliciosas. Caso algum comprometimento potencial seja detectado, as organizações devem seguir as recomendações de resposta a incidentes descritas no CSA. Mesmo na ausência de comprometimento, as organizações devem aplicar os patches emitidos pela Ivanti para garantir a segurança imediatamente.
Exploits Ativos Desde Abril de 2023
CVE-2023-35078 tem sido um assunto frequente de exploração por atores APT desde abril de 2023. Eles utilizaram roteadores SOHO comprometidos, incluindo roteadores ASUS, como proxies para a infraestrutura de destino. O NCSC-NO observou os atores aproveitando essa vulnerabilidade para obter acesso inicial aos dispositivos EPMM. Uma vez lá dentro, os agentes realizaram várias atividades, como realizar consultas arbitrárias do LDAP no Active Directory, recuperar pontos de extremidade do LDAP, listar usuários e administradores usando caminhos de API e fazer alterações de configuração no dispositivo EPMM. As alterações de configuração específicas feitas pelos atores permanecem desconhecidas.
Os agentes do APT verificaram regularmente os logs de auditoria do EPMM Core para cobrir seus rastros e excluíram algumas de suas entradas nos logs Apache httpd usando o aplicativo malicioso Tomcat "mi.war" baseado em keywords.txt. As entradas de log contendo o "Firefox/107.0" foram excluídas.
Para a comunicação com o EPMM, os atores usaram agentes de usuário Linux e Windows, principalmente Firefox/107.0. Embora outros agentes tenham entrado em ação, eles não deixaram rastros nos logs do dispositivo. O método exato que os agentes de ameaças empregaram para executar comandos shell no dispositivo EPMM permanece não confirmado. O NCSC-NO suspeita que eles exploraram o CVE-2023-35081 para fazer upload de shells da Web e executar comandos.
Para encapsular o tráfego da Internet para pelo menos um servidor Exchange inacessível, os atores do APT empregaram o Ivanti Sentry, um dispositivo de gateway de aplicativo compatível com EPMM. No entanto, a técnica exata usada para este tunelamento permanece desconhecida.
Explorando as Vulnerabilidades do Ivanti EPMM: Agentes de Ameaças à Espreita capturas de tela
