Shfrytëzimi i dobësive të Ivanti EPMM: Aktorët e Kërcënimit në Rrugë
Në përgjigje të kërcënimeve të vazhdueshme kibernetike, Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) dhe Qendra Kombëtare e Sigurisë Kibernetike Norvegjeze (NCSC-NO) kanë lëshuar së bashku një Këshillim të rëndësishëm për Sigurinë Kibernetike (CSA). Ata po trajtojnë shfrytëzimin e dy dobësive , përkatësisht CVE-2023-35078 dhe CVE-2023-35081. Këto dobësi i janë nënshtruar sulmeve nga aktorët e avancuar të kërcënimit të vazhdueshëm (APT), të cilët shfrytëzuan CVE-2023-35078 si një ditë zero nga prilli 2023 deri në korrik 2023. Aktorët e APT-së e përdorën këtë dobësi për të mbledhur informacione të ndjeshme nga organizata të ndryshme norvegjeze dhe komprometoi me sukses rrjetin e një agjencie qeveritare norvegjeze. Për të adresuar rreziqet e sigurisë, Ivanti, shitësi i softuerit, lëshoi arnime për të dy dobësitë më 23 korrik 2023 dhe 28 korrik 2023, respektivisht. NCSC-NO ka vëzhguar gjithashtu një zinxhir të mundshëm cenueshmërie të CVE-2023-35081 dhe CVE-2023-35078, duke treguar një kërcënim kibernetik kompleks dhe potencialisht të dëmshëm.
Tabela e Përmbajtjes
Çfarë fshihet pas CVE-2023-35078 dhe CVE-2023-35081?
CVE-2023-35078 paraqet një rrezik kritik për Ivanti Endpoint Manager Mobile (EPMM), i njohur më parë si MobileIron Core, pasi lejon aktorët e kërcënimit të aksesojnë informacionin personalisht të identifikueshëm (PII) dhe të bëjnë ndryshime konfigurimi në sistemet e komprometuara. Ndërkohë, CVE-2023-35081 u jep aktorëve me privilegje administratori EPMM aftësinë për të shkruar skedarë arbitrar me privilegjet e sistemit operativ të serverit të aplikacionit në internet EPMM. Aktorët e kërcënimit mund të fitojnë qasje fillestare, të privilegjuar në sistemet EPMM dhe të ekzekutojnë skedarë të ngarkuar si predhat e uebit duke i lidhur këto dobësi së bashku. Meqenëse sistemet e Menaxhimit të Pajisjeve Mobile (MDM) si EPMM ofrojnë akses të lartë në pajisje të shumta celulare, ato janë bërë objektiva tërheqëse për aktorët kërcënues, veçanërisht duke marrë parasysh shfrytëzimet e mëparshme të dobësive të MobileIron. Duke pasur parasysh potencialin për shfrytëzim të gjerë në rrjetet qeveritare dhe të sektorit privat, CISA dhe NCSC-NO shprehin shqetësim të madh për këto kërcënime të sigurisë.
Në këtë Këshillim për Sigurinë Kibernetike (CSA), NCSC-NO ndan tregues të kompromisit (IOC), taktika, teknika dhe procedura (TTP) të zbuluara gjatë hetimeve të tyre. CSA përfshin një shabllon bërthamash, duke ndihmuar në identifikimin e pajisjeve të papatchuara dhe ofron udhëzime zbulimi për organizatat që të kërkojnë shenja kompromisi në mënyrë proaktive. CISA dhe NCSC-NO inkurajojnë fuqishëm organizatat që të përdorin udhëzimet e zbulimit për të zbuluar aktivitetin keqdashës. Nëse zbulohet ndonjë kompromis i mundshëm, organizatat duhet të ndjekin rekomandimet e reagimit ndaj incidentit të përshkruara në CSA. Edhe në mungesë të kompromisit, organizatat duhet të aplikojnë arnimet e lëshuara nga Ivanti për të garantuar sigurinë menjëherë.
Exploits Aktiv që nga Prilli 2023
CVE-2023-35078 ka qenë një subjekt i shpeshtë i shfrytëzimit nga aktorët APT që nga prilli 2023. Ata përdorën ruterat SOHO të komprometuar, duke përfshirë ruterat ASUS, si përfaqësues për të synuar infrastrukturën. NCSC-NO vëzhgoi aktorët që përdorin këtë dobësi për të fituar akses fillestar në pajisjet EPMM. Pasi brenda, aktorët kryen aktivitete të ndryshme, të tilla si kryerja e pyetjeve arbitrare LDAP kundër Active Directory, marrja e pikave fundore LDAP, renditja e përdoruesve dhe administratorëve duke përdorur shtigjet API dhe bërja e ndryshimeve të konfigurimit në pajisjen EPMM. Ndryshimet specifike të konfigurimit të bëra nga aktorët mbeten të panjohura.
Aktorët e APT kontrollonin rregullisht regjistrat e auditimit të EPMM Core për të mbuluar gjurmët e tyre dhe fshinë disa nga hyrjet e tyre në regjistrat httpd të Apache duke përdorur aplikacionin keqdashës Tomcat "mi.war" bazuar në fjalë kyçe.txt. Regjistrimet e regjistrit që përmbajnë "Firefox/107.0" u fshinë.
Për komunikim me EPMM, aktorët përdorën agjentët e përdoruesve të Linux dhe Windows, kryesisht Firefox/107.0. Edhe pse agjentë të tjerë hynë në lojë, ata nuk lanë gjurmë në regjistrat e pajisjeve. Metoda e saktë që përdorën aktorët e kërcënimit për të ekzekutuar komandat e guaskës në pajisjen EPMM mbetet e pakonfirmuar. NCSC-NO dyshon se ata kanë shfrytëzuar CVE-2023-35081 për të ngarkuar predha në ueb dhe për të ekzekutuar komanda.
Për të tunelizuar trafikun nga interneti në të paktën një server Exchange të paarritshëm, aktorët e APT përdorën Ivanti Sentry, një pajisje portë aplikacioni që mbështet EPMM. Megjithatë, teknika e saktë e përdorur për këtë tunel mbetet e panjohur.
Shfrytëzimi i dobësive të Ivanti EPMM: Aktorët e Kërcënimit në Rrugë pamje nga ekrani
