Izkoriščanje ranljivosti Ivanti EPMM: akterji groženj na preži

Kot odgovor na nenehne kibernetske grožnje sta Agencija za kibernetsko varnost in varnost infrastrukture (CISA) in Norveški nacionalni center za kibernetsko varnost (NCSC-NO) skupaj izdala pomemben nasvet o kibernetski varnosti (CSA). Obravnavajo izkoriščanje dveh ranljivosti , in sicer CVE-2023-35078 in CVE-2023-35081. Te ranljivosti so bile izpostavljene napadom naprednih akterjev trajne grožnje (APT), ki so izkoriščali CVE-2023-35078 kot ničelni dan od aprila 2023 do julija 2023. Akterji APT so to ranljivost uporabili za zbiranje občutljivih informacij od različnih norveških organizacij in uspešno ogrozil omrežje norveške vladne agencije. Za odpravo varnostnih tveganj je Ivanti, prodajalec programske opreme, izdal popravka za obe ranljivosti 23. julija 2023 oziroma 28. julija 2023. NCSC-NO je opazil tudi možno veriženje ranljivosti CVE-2023-35081 in CVE-2023-35078, kar kaže na kompleksno in potencialno škodljivo kibernetsko grožnjo.

Kaj se skriva za CVE-2023-35078 in CVE-2023-35081?

CVE-2023-35078 predstavlja kritično tveganje za Ivanti Endpoint Manager Mobile (EPMM), prej znan kot MobileIron Core, saj akterjem groženj omogoča dostop do osebno določljivih podatkov (PII) in spreminjanje konfiguracije ogroženih sistemov. Medtem CVE-2023-35081 podeljuje igralcem s skrbniškimi pravicami EPMM možnost pisanja poljubnih datotek s pravicami operacijskega sistema strežnika spletnih aplikacij EPMM. Akterji groženj lahko pridobijo začetni, privilegiran dostop do sistemov EPMM in izvedejo naložene datoteke, kot so spletne lupine, tako da te ranljivosti povežejo skupaj. Ker sistemi za upravljanje mobilnih naprav (MDM), kot je EPMM, zagotavljajo višji dostop do številnih mobilnih naprav, so postali privlačne tarče za grozeče akterje, zlasti glede na prejšnje izkoriščanje ranljivosti MobileIron. Glede na možnost razširjenega izkoriščanja v omrežjih vlade in zasebnega sektorja CISA in NCSC-NO izražata resno zaskrbljenost zaradi teh varnostnih groženj.

V tem svetovanju o kibernetski varnosti (CSA) NCSC-NO deli kazalnike ogroženosti (IOC), taktike, tehnike in postopke (TTP), odkrite med njihovimi preiskavami. CSA vključuje predlogo jeder, ki pomaga pri prepoznavanju nepopravljenih naprav, in zagotavlja navodila za odkrivanje za organizacije, da proaktivno iščejo znake ogroženosti. CISA in NCSC-NO močno spodbujata organizacije, da za odkrivanje zlonamerne dejavnosti uporabljajo navodila za odkrivanje. Če se odkrije morebitna ogroženost, morajo organizacije upoštevati priporočila za odzivanje na incidente, opisana v CSA. Tudi v odsotnosti kompromisa morajo organizacije takoj uporabiti popravke, ki jih je izdal Ivanti, da zagotovijo varnost.

Izkoriščanja Aktivna od aprila 2023

CVE-2023-35078 je bil pogosto predmet izkoriščanja s strani akterjev APT od aprila 2023. Uporabili so ogrožene usmerjevalnike SOHO, vključno z usmerjevalniki ASUS, kot posrednike za ciljno infrastrukturo. NCSC-NO je opazoval, kako akterji izkoriščajo to ranljivost za pridobitev začetnega dostopa do naprav EPMM. Ko so bili notri, so igralci izvajali različne dejavnosti, kot je izvajanje poljubnih poizvedb LDAP proti imeniku Active Directory, pridobivanje končnih točk LDAP, seznam uporabnikov in skrbnikov, ki uporabljajo poti API, in spreminjanje konfiguracije naprave EPMM. Posebne spremembe konfiguracije, ki so jih naredili akterji, ostajajo neznane.

Akterji APT so redno pregledovali revizijske dnevnike EPMM Core, da bi prikrili svoje sledi, in izbrisali nekatere svoje vnose v dnevnikih httpd Apache z zlonamerno aplikacijo Tomcat "mi.war", ki temelji na keywords.txt. Dnevniški vnosi, ki vsebujejo "Firefox/107.0", so bili izbrisani.

Za komunikacijo z EPMM so akterji uporabljali uporabniške agente Linux in Windows, predvsem Firefox/107.0. Čeprav so v igro vstopili drugi agenti, niso pustili sledi v dnevnikih naprav. Natančna metoda, ki so jo akterji groženj uporabili za izvajanje ukazov lupine na napravi EPMM, ostaja nepotrjena. NCSC-NO sumi, da so izkoristili CVE-2023-35081 za nalaganje spletnih lupin in izvajanje ukazov.

Za tuneliranje prometa iz interneta na vsaj en nedostopen strežnik Exchange so akterji APT uporabili Ivanti Sentry, napravo za prehod aplikacij, ki podpira EPMM. Vendar natančna tehnika, uporabljena za to predorovanje, ostaja neznana.

Izkoriščanje ranljivosti Ivanti EPMM: akterji groženj na preži posnetkov zaslona