Использование уязвимостей Ivanti EPMM: злоумышленники в поисках
В ответ на продолжающиеся киберугрозы Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Норвежский национальный центр кибербезопасности (NCSC-NO) совместно выпустили важные рекомендации по кибербезопасности (CSA). Они решают проблему эксплуатации двух уязвимостей , а именно CVE-2023-35078 и CVE-2023-35081. Эти уязвимости подвергались атакам со стороны продвинутых постоянных угроз (APT), которые использовали CVE-2023-35078 в качестве уязвимости нулевого дня с апреля 2023 года по июль 2023 года. Субъекты APT использовали эту уязвимость для сбора конфиденциальной информации от различных норвежских организаций и успешно взломал сеть норвежского государственного агентства. Чтобы устранить риски безопасности, Ivanti, поставщик программного обеспечения, выпустил исправления для обеих уязвимостей 23 июля 2023 г. и 28 июля 2023 г. соответственно. NCSC-NO также обнаружил возможную цепочку уязвимостей CVE-2023-35081 и CVE-2023-35078, что указывает на сложную и потенциально опасную киберугрозу.
Оглавление
Что стоит за CVE-2023-35078 и CVE-2023-35081?
CVE-2023-35078 представляет собой серьезную угрозу для Ivanti Endpoint Manager Mobile (EPMM), ранее известного как MobileIron Core, поскольку позволяет злоумышленникам получать доступ к информации, позволяющей установить личность (PII), и вносить изменения в конфигурацию скомпрометированных систем. Между тем, CVE-2023-35081 предоставляет субъектам с правами администратора EPMM возможность записывать произвольные файлы с правами операционной системы сервера веб-приложений EPMM. Злоумышленники могут получить первоначальный привилегированный доступ к системам EPMM и выполнять загруженные файлы, такие как веб-оболочки, путем объединения этих уязвимостей. Поскольку системы управления мобильными устройствами (MDM), такие как EPMM, предоставляют повышенный доступ к многочисленным мобильным устройствам, они стали привлекательными целями для злоумышленников, особенно с учетом предыдущих эксплойтов уязвимостей MobileIron. Учитывая возможность широкого использования в сетях государственного и частного секторов, CISA и NCSC-NO выражают серьезную обеспокоенность по поводу этих угроз безопасности.
В этом информационном бюллетене по кибербезопасности (CSA) NCSC-NO делится индикаторами компрометации (IOC), тактиками, методами и процедурами (TTP), обнаруженными в ходе их расследований. CSA включает в себя шаблон ядер, помогающий идентифицировать неисправленные устройства, и предоставляет организациям руководство по обнаружению для упреждающего поиска признаков компрометации. CISA и NCSC-NO настоятельно рекомендуют организациям использовать руководство по обнаружению вредоносных действий. В случае обнаружения любого потенциального компрометации организации должны следовать рекомендациям по реагированию на инциденты, изложенным в CSA. Даже при отсутствии компрометации организации должны оперативно применять исправления, выпущенные Ivanti, для обеспечения безопасности.
Эксплойты активны с апреля 2023 года
CVE-2023-35078 часто использовалась злоумышленниками APT с апреля 2023 года. Они использовали скомпрометированные маршрутизаторы SOHO, включая маршрутизаторы ASUS, в качестве прокси для целевой инфраструктуры. NCSC-NO наблюдал, как субъекты использовали эту уязвимость для получения первоначального доступа к устройствам EPMM. Оказавшись внутри, участники выполняли различные действия, такие как выполнение произвольных запросов LDAP к Active Directory, получение конечных точек LDAP, составление списка пользователей и администраторов с использованием путей API и внесение изменений в конфигурацию устройства EPMM. Конкретные изменения конфигурации, внесенные актерами, остаются неизвестными.
Злоумышленники APT регулярно проверяли журналы аудита EPMM Core, чтобы замести следы, и удаляли некоторые из своих записей в журналах Apache httpd с помощью вредоносного приложения Tomcat «mi.war», основанного на keywords.txt. Записи журнала, содержащие «Firefox/107.0», были удалены.
Для связи с EPMM участники использовали пользовательские агенты Linux и Windows, в первую очередь Firefox/107.0. Хотя в игру вступали другие агенты, они не оставляли следов в логах устройств. Точный метод, который злоумышленники использовали для запуска команд оболочки на устройстве EPMM, остается неподтвержденным. NCSC-NO подозревает, что они использовали CVE-2023-35081 для загрузки веб-оболочек и выполнения команд.
Чтобы туннелировать трафик из Интернета как минимум на один недоступный сервер Exchange, участники APT использовали Ivanti Sentry, устройство шлюза приложений, поддерживающее EPMM. Однако точная техника, используемая для этого туннелирования, остается неизвестной.
Использование уязвимостей Ivanti EPMM: злоумышленники в поисках Скриншотов
