Искоришћавање рањивости Иванти ЕПММ-а: Актери претњи на проласку
Као одговор на текуће сајбер претње, Агенција за сајбер безбедност и инфраструктурну безбедност (ЦИСА) и Норвешки национални центар за сајбер безбедност (НЦСЦ-НО) заједнички су издали значајан савет за сајбер безбедност (ЦСА). Они се баве искоришћавањем две рањивости , наиме ЦВЕ-2023-35078 и ЦВЕ-2023-35081. Ове рањивости су биле подложне нападима актера напредне персистентне претње (АПТ), који су искористили ЦВЕ-2023-35078 као нулти дан од априла 2023. до јула 2023. Актери АПТ-а су користили ову рањивост да прикупе осетљиве информације од различитих норвешких организација и успешно компромитовао мрежу једне норвешке владине агенције. Да би решио безбедносне ризике, Иванти, продавац софтвера, објавио је закрпе за обе рањивости 23. јула 2023. и 28. јула 2023. године. НЦСЦ-НО је такође приметио могуће уланчавање рањивости ЦВЕ-2023-35081 и ЦВЕ-2023-35078, што указује на сложену и потенцијално штетну сајбер претњу.
Преглед садржаја
Шта се крије иза ЦВЕ-2023-35078 и ЦВЕ-2023-35081?
ЦВЕ-2023-35078 представља критичан ризик за Иванти Ендпоинт Манагер Мобиле (ЕПММ), раније познат као МобилеИрон Цоре, јер омогућава актерима претњи да приступе информацијама које могу лично да идентификују (ПИИ) и изврше промене конфигурације на компромитованим системима. У међувремену, ЦВЕ-2023-35081 даје актерима са ЕПММ администраторским привилегијама могућност писања произвољних датотека са привилегијама оперативног система ЕПММ сервера веб апликација. Актери претњи могу да добију почетни, привилеговани приступ ЕПММ системима и изврше отпремљене датотеке као што су веб љуске повезујући ове рањивости заједно. Како системи за управљање мобилним уређајима (МДМ) попут ЕПММ-а пружају побољшан приступ бројним мобилним уређајима, постали су привлачне мете за претње актера, посебно имајући у виду претходне експлоатације рањивости МобилеИрон-а. С обзиром на потенцијал за широко распрострањену експлоатацију у мрежама владе и приватног сектора, ЦИСА и НЦСЦ-НО изражавају озбиљну забринутост због ових безбедносних претњи.
У овом саветнику о сајбер безбедности (ЦСА), НЦСЦ-НО дели индикаторе компромиса (ИОЦ), тактике, технике и процедуре (ТТП) откривене током њихових истрага. ЦСА укључује шаблон за језгра, који помаже у идентификацији незакрпљених уређаја и пружа смернице за откривање организацијама да проактивно траже знаке компромиса. ЦИСА и НЦСЦ-НО снажно подстичу организације да користе упутства за откривање за откривање злонамерне активности. У случају да се открије било какав потенцијални компромис, организације треба да прате препоруке за реаговање на инциденте наведене у ЦСА. Чак и у одсуству компромиса, организације морају применити закрпе које је Иванти издао да би се обезбедила безбедност одмах.
Експлоати активни од априла 2023
ЦВЕ-2023-35078 је чест предмет експлоатације од стране АПТ актера од априла 2023. Они су користили компромитоване СОХО рутере, укључујући АСУС рутере, као проксије за циљну инфраструктуру. НЦСЦ-НО је приметио актере који користе ову рањивост да би добили почетни приступ ЕПММ уређајима. Када су ушли, актери су обављали различите активности, као што је извођење произвољних ЛДАП упита према активном директоријуму, преузимање ЛДАП крајњих тачака, листање корисника и администратора који користе АПИ путање и уношење промена у конфигурацију на ЕПММ уређају. Конкретне промене конфигурације које су извршили актери остају непознате.
Актери АПТ-а су редовно проверавали евиденције ревизије ЕПММ Цоре-а како би покрили своје трагове и избрисали неке од својих уноса у Апацхе хттпд евиденцијама користећи злонамерну Томцат апликацију „ми.вар“ засновану на кеивордс.ткт. Уноси у дневник који садрже „Фирефок/107.0“ су избрисани.
За комуникацију са ЕПММ-ом, актери су користили Линук и Виндовс корисничке агенте, првенствено Фирефок/107.0. Иако су други агенти ушли у игру, нису оставили трагове у евиденцији уређаја. Тачан метод који су актери претњи користили за покретање команди љуске на ЕПММ уређају остаје непотврђен. НЦСЦ-НО сумња да су искористили ЦВЕ-2023-35081 за отпремање веб шкољки и извршавање команди.
Да би тунелирали саобраћај са интернета на најмање један неприступачан Екцханге сервер, АПТ актери су користили Иванти Сентри, уређај за мрежни пролаз за апликације који подржава ЕПММ. Међутим, тачна техника која се користи за ово тунелирање остаје непозната.
Искоришћавање рањивости Иванти ЕПММ-а: Актери претњи на проласку снимака екрана
