Exploatarea vulnerabilităților Ivanti EPMM: actori de amenințare în căutare
Ca răspuns la amenințările cibernetice în curs de desfășurare, Agenția de Securitate Cibernetică și Infrastructură (CISA) și Centrul Național de Securitate Cibernetică Norvegiană (NCSC-NO) au emis în comun un aviz important de securitate cibernetică (CSA). Acestea abordează exploatarea a două vulnerabilități , și anume CVE-2023-35078 și CVE-2023-35081. Aceste vulnerabilități au fost supuse atacurilor de către actori de amenințări persistente avansate (APT), care au exploatat CVE-2023-35078 ca zi zero din aprilie 2023 până în iulie 2023. Actorii APT au folosit această vulnerabilitate pentru a aduna informații sensibile de la diferite organizații norvegiene și a compromis cu succes rețeaua unei agenții guvernamentale norvegiene. Pentru a aborda riscurile de securitate, Ivanti, furnizorul de software, a lansat patch-uri pentru ambele vulnerabilități pe 23 iulie 2023 și, respectiv, pe 28 iulie 2023. NCSC-NO a observat, de asemenea, o posibilă înlănțuire a vulnerabilităților CVE-2023-35081 și CVE-2023-35078, indicând o amenințare cibernetică complexă și potențial dăunătoare.
Cuprins
Ce se ascunde în spatele CVE-2023-35078 și CVE-2023-35081?
CVE-2023-35078 prezintă un risc critic pentru Ivanti Endpoint Manager Mobile (EPMM), cunoscut anterior ca MobileIron Core, deoarece permite actorilor amenințărilor să acceseze informații de identificare personală (PII) și să facă modificări de configurare pe sistemele compromise. Între timp, CVE-2023-35081 oferă actorilor cu privilegii de administrator EPMM posibilitatea de a scrie fișiere arbitrare cu privilegiile sistemului de operare ale serverului de aplicații web EPMM. Actorii amenințărilor pot obține acces inițial, privilegiat la sistemele EPMM și pot executa fișiere încărcate, cum ar fi shell-uri web, înlănțuind aceste vulnerabilități împreună. Deoarece sistemele de management al dispozitivelor mobile (MDM) precum EPMM oferă acces crescut la numeroase dispozitive mobile, acestea au devenit ținte atractive pentru actorii care amenință, mai ales având în vedere exploatările anterioare ale vulnerabilităților MobileIron. Având în vedere potențialul de exploatare pe scară largă în rețelele guvernamentale și din sectorul privat, CISA și NCSC-NO își exprimă îngrijorarea gravă cu privire la aceste amenințări de securitate.
În acest Aviz de securitate cibernetică (CSA), NCSC-NO împărtășește indicatori de compromis (IOC), tactici, tehnici și proceduri (TTP) descoperiți în timpul investigațiilor lor. CSA încorporează un șablon de nuclee, care ajută la identificarea dispozitivelor nepatchizate și oferă îndrumări de detectare organizațiilor pentru a căuta semne de compromis în mod proactiv. CISA și NCSC-NO încurajează ferm organizațiile să folosească îndrumările de detectare pentru a detecta activitățile rău intenționate. În cazul în care este detectat orice compromis potențial, organizațiile ar trebui să urmeze recomandările de răspuns la incident prezentate în CSA. Chiar și în absența unui compromis, organizațiile trebuie să aplice patch-urile emise de Ivanti pentru a asigura securitatea cu promptitudine.
Exploit active din aprilie 2023
CVE-2023-35078 a fost un subiect frecvent de exploatare de către actorii APT din aprilie 2023. Aceștia au folosit routere SOHO compromise, inclusiv routere ASUS, ca proxy pentru infrastructura țintă. NCSC-NO a observat că actorii folosesc această vulnerabilitate pentru a obține acces inițial la dispozitivele EPMM. Odată înăuntru, actorii au efectuat diverse activități, cum ar fi efectuarea de interogări LDAP arbitrare împotriva Active Directory, preluarea punctelor finale LDAP, listarea utilizatorilor și administratorilor folosind căile API și efectuarea de modificări de configurare pe dispozitivul EPMM. Modificările specifice de configurare făcute de actori rămân necunoscute.
Actorii APT au verificat în mod regulat jurnalele de audit EPMM Core pentru a-și acoperi urmele și și-au șters unele dintre intrările din jurnalele Apache httpd folosind aplicația rău intenționată Tomcat „mi.war” bazată pe keywords.txt. Intrările din jurnal care conțineau „Firefox/107.0” au fost șterse.
Pentru comunicarea cu EPMM, actorii au folosit agenți de utilizator Linux și Windows, în primul rând Firefox/107.0. Deși au intrat în joc alți agenți, aceștia nu au lăsat urme în jurnalele dispozitivului. Metoda exactă pe care actorii amenințări au folosit-o pentru a rula comenzi shell pe dispozitivul EPMM rămâne neconfirmată. NCSC-NO suspectează că au exploatat CVE-2023-35081 pentru a încărca shell-uri web și a executa comenzi.
Pentru a tunel traficul de pe internet către cel puțin un server Exchange inaccesibil, actorii APT au folosit Ivanti Sentry, un dispozitiv gateway de aplicații care suportă EPMM. Cu toate acestea, tehnica exactă folosită pentru acest tunel rămâne necunoscută.
Exploatarea vulnerabilităților Ivanti EPMM: actori de amenințare în căutare de capturi de ecran
