Využitie slabých miest Ivantiho EPMM: Threat Actors on the Prowl
V reakcii na pretrvávajúce kybernetické hrozby vydala agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) a Nórske národné centrum kybernetickej bezpečnosti (NCSC-NO) spoločne významné odporúčanie pre kybernetickú bezpečnosť (CSA). Riešia zneužitie dvoch zraniteľností , konkrétne CVE-2023-35078 a CVE-2023-35081. Tieto zraniteľnosti boli predmetom útokov aktérov pokročilých perzistentných hrozieb (APT), ktorí zneužili CVE-2023-35078 ako nultý deň od apríla 2023 do júla 2023. Herci APT využili túto zraniteľnosť na zhromažďovanie citlivých informácií od rôznych nórskych organizácií a úspešne kompromitoval sieť nórskej vládnej agentúry. Na riešenie bezpečnostných rizík Ivanti, dodávateľ softvéru, vydal záplaty pre obe zraniteľnosti 23. júla 2023 a 28. júla 2023. NCSC-NO tiež zaznamenalo možné reťazenie zraniteľnosti CVE-2023-35081 a CVE-2023-35078, čo naznačuje komplexnú a potenciálne škodlivú kybernetickú hrozbu.
Obsah
Čo sa skrýva za CVE-2023-35078 a CVE-2023-35081?
CVE-2023-35078 predstavuje kritické riziko pre Ivanti Endpoint Manager Mobile (EPMM), predtým známy ako MobileIron Core, pretože umožňuje aktérom hrozieb pristupovať k osobným identifikačným informáciám (PII) a vykonávať zmeny v konfigurácii napadnutých systémov. Medzitým CVE-2023-35081 udeľuje aktérom s oprávneniami správcu EPMM možnosť zapisovať ľubovoľné súbory s oprávneniami operačného systému webového aplikačného servera EPMM. Aktéri hrozieb môžu získať počiatočný privilegovaný prístup k systémom EPMM a spúšťať nahrané súbory, ako sú webové shelly, spojením týchto zraniteľností dohromady. Keďže systémy Mobile Device Management (MDM), ako je EPMM, poskytujú zvýšený prístup k mnohým mobilným zariadeniam, stali sa atraktívnymi cieľmi pre ohrozujúcich aktérov, najmä ak vezmeme do úvahy predchádzajúce zneužitie zraniteľností MobileIron. Vzhľadom na potenciál rozsiahleho využívania v sieťach vládneho a súkromného sektora, CISA a NCSC-NO vyjadrujú vážne znepokojenie nad týmito bezpečnostnými hrozbami.
V tomto poradenstve o kybernetickej bezpečnosti (CSA) NCSC-NO zdieľa indikátory kompromisu (IOC), taktiky, techniky a postupy (TTP) objavené počas ich vyšetrovania. CSA obsahuje šablónu jadier, ktorá pomáha pri identifikácii zariadení bez záplaty a poskytuje organizáciám návod na detekciu, aby proaktívne hľadali známky kompromisu. CISA a NCSC-NO dôrazne odporúčajú organizáciám, aby na detekciu škodlivej činnosti používali pokyny na detekciu. Ak sa zistí akýkoľvek potenciálny kompromis, organizácie by sa mali riadiť odporúčaniami pre reakciu na incidenty uvedenými v CSA. Dokonca aj v prípade neexistencie kompromisu musia organizácie použiť záplaty vydané Ivanti, aby zabezpečili bezpečnosť okamžite.
Využíva aktívne od apríla 2023
CVE-2023-35078 je od apríla 2023 častým predmetom zneužívania aktérmi APT. Využili kompromitované SOHO smerovače, vrátane smerovačov ASUS, ako proxy na zacielenie infraštruktúry. NCSC-NO pozorovalo, ako aktéri využívajú túto zraniteľnosť na získanie počiatočného prístupu k zariadeniam EPMM. Keď boli aktéri vo vnútri, vykonávali rôzne činnosti, ako napríklad vykonávanie ľubovoľných dotazov LDAP na Active Directory, získavanie koncových bodov LDAP, uvádzanie používateľov a správcov pomocou ciest API a vykonávanie zmien konfigurácie na zariadení EPMM. Konkrétne zmeny konfigurácie, ktoré vykonali herci, zostávajú neznáme.
Herci APT pravidelne kontrolovali protokoly auditu EPMM Core, aby zakryli svoje stopy a odstránili niektoré zo svojich záznamov v protokoloch Apache httpd pomocou zákernej aplikácie Tomcat "mi.war" založenej na keywords.txt. Záznamy denníka obsahujúce „Firefox/107.0“ boli vymazané.
Na komunikáciu s EPMM herci využívali užívateľských agentov Linuxu a Windowsu, predovšetkým Firefox/107.0. Hoci do hry vstúpili iní agenti, v protokoloch zariadení nezanechali stopy. Presná metóda, ktorú aktéri hrozby použili na spúšťanie príkazov shellu na zariadení EPMM, zostáva nepotvrdená. NCSC-NO má podozrenie, že zneužili CVE-2023-35081 na nahrávanie webových shellov a vykonávanie príkazov.
Na tunelovanie prevádzky z internetu na aspoň jeden neprístupný server Exchange použili aktéri APT Ivanti Sentry, zariadenie aplikačnej brány podporujúce EPMM. Presná technika použitá na toto tunelovanie však zostáva neznáma.