Využitie slabých miest Ivantiho EPMM: Threat Actors on the Prowl
V reakcii na pretrvávajúce kybernetické hrozby vydala agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) a Nórske národné centrum kybernetickej bezpečnosti (NCSC-NO) spoločne významné odporúčanie pre kybernetickú bezpečnosť (CSA). Riešia zneužitie dvoch zraniteľností , konkrétne CVE-2023-35078 a CVE-2023-35081. Tieto zraniteľnosti boli predmetom útokov aktérov pokročilých perzistentných hrozieb (APT), ktorí zneužili CVE-2023-35078 ako nultý deň od apríla 2023 do júla 2023. Herci APT využili túto zraniteľnosť na zhromažďovanie citlivých informácií od rôznych nórskych organizácií a úspešne kompromitoval sieť nórskej vládnej agentúry. Na riešenie bezpečnostných rizík Ivanti, dodávateľ softvéru, vydal záplaty pre obe zraniteľnosti 23. júla 2023 a 28. júla 2023. NCSC-NO tiež zaznamenalo možné reťazenie zraniteľnosti CVE-2023-35081 a CVE-2023-35078, čo naznačuje komplexnú a potenciálne škodlivú kybernetickú hrozbu.
Obsah
Čo sa skrýva za CVE-2023-35078 a CVE-2023-35081?
CVE-2023-35078 predstavuje kritické riziko pre Ivanti Endpoint Manager Mobile (EPMM), predtým známy ako MobileIron Core, pretože umožňuje aktérom hrozieb pristupovať k osobným identifikačným informáciám (PII) a vykonávať zmeny v konfigurácii napadnutých systémov. Medzitým CVE-2023-35081 udeľuje aktérom s oprávneniami správcu EPMM možnosť zapisovať ľubovoľné súbory s oprávneniami operačného systému webového aplikačného servera EPMM. Aktéri hrozieb môžu získať počiatočný privilegovaný prístup k systémom EPMM a spúšťať nahrané súbory, ako sú webové shelly, spojením týchto zraniteľností dohromady. Keďže systémy Mobile Device Management (MDM), ako je EPMM, poskytujú zvýšený prístup k mnohým mobilným zariadeniam, stali sa atraktívnymi cieľmi pre ohrozujúcich aktérov, najmä ak vezmeme do úvahy predchádzajúce zneužitie zraniteľností MobileIron. Vzhľadom na potenciál rozsiahleho využívania v sieťach vládneho a súkromného sektora, CISA a NCSC-NO vyjadrujú vážne znepokojenie nad týmito bezpečnostnými hrozbami.
V tomto poradenstve o kybernetickej bezpečnosti (CSA) NCSC-NO zdieľa indikátory kompromisu (IOC), taktiky, techniky a postupy (TTP) objavené počas ich vyšetrovania. CSA obsahuje šablónu jadier, ktorá pomáha pri identifikácii zariadení bez záplaty a poskytuje organizáciám návod na detekciu, aby proaktívne hľadali známky kompromisu. CISA a NCSC-NO dôrazne odporúčajú organizáciám, aby na detekciu škodlivej činnosti používali pokyny na detekciu. Ak sa zistí akýkoľvek potenciálny kompromis, organizácie by sa mali riadiť odporúčaniami pre reakciu na incidenty uvedenými v CSA. Dokonca aj v prípade neexistencie kompromisu musia organizácie použiť záplaty vydané Ivanti, aby zabezpečili bezpečnosť okamžite.
Využíva aktívne od apríla 2023
CVE-2023-35078 je od apríla 2023 častým predmetom zneužívania aktérmi APT. Využili kompromitované SOHO smerovače, vrátane smerovačov ASUS, ako proxy na zacielenie infraštruktúry. NCSC-NO pozorovalo, ako aktéri využívajú túto zraniteľnosť na získanie počiatočného prístupu k zariadeniam EPMM. Keď boli aktéri vo vnútri, vykonávali rôzne činnosti, ako napríklad vykonávanie ľubovoľných dotazov LDAP na Active Directory, získavanie koncových bodov LDAP, uvádzanie používateľov a správcov pomocou ciest API a vykonávanie zmien konfigurácie na zariadení EPMM. Konkrétne zmeny konfigurácie, ktoré vykonali herci, zostávajú neznáme.
Herci APT pravidelne kontrolovali protokoly auditu EPMM Core, aby zakryli svoje stopy a odstránili niektoré zo svojich záznamov v protokoloch Apache httpd pomocou zákernej aplikácie Tomcat "mi.war" založenej na keywords.txt. Záznamy denníka obsahujúce „Firefox/107.0“ boli vymazané.
Na komunikáciu s EPMM herci využívali užívateľských agentov Linuxu a Windowsu, predovšetkým Firefox/107.0. Hoci do hry vstúpili iní agenti, v protokoloch zariadení nezanechali stopy. Presná metóda, ktorú aktéri hrozby použili na spúšťanie príkazov shellu na zariadení EPMM, zostáva nepotvrdená. NCSC-NO má podozrenie, že zneužili CVE-2023-35081 na nahrávanie webových shellov a vykonávanie príkazov.
Na tunelovanie prevádzky z internetu na aspoň jeden neprístupný server Exchange použili aktéri APT Ivanti Sentry, zariadenie aplikačnej brány podporujúce EPMM. Presná technika použitá na toto tunelovanie však zostáva neznáma.
Využitie slabých miest Ivantiho EPMM: Threat Actors on the Prowl snímok obrazovky
