Utnyttja Ivanti EPMM Vulnerabilities: Threat Actors on the Prowl
Som svar på pågående cyberhot har Cybersecurity and Infrastructure Security Agency (CISA) och det norska nationella cybersäkerhetscentret (NCSC-NO) tillsammans utfärdat en betydande Cybersecurity Advisory (CSA). De tar itu med utnyttjandet av två sårbarheter , nämligen CVE-2023-35078 och CVE-2023-35081. Dessa sårbarheter har utsatts för attacker av avancerade persistent hot-aktörer (APT), som utnyttjade CVE-2023-35078 som en nolldag från april 2023 till juli 2023. APT-aktörerna använde denna sårbarhet för att samla in känslig information från olika norska organisationer och framgångsrikt äventyrat en norsk statlig myndighets nätverk. För att hantera säkerhetsriskerna släppte Ivanti, programvaruleverantören, patchar för båda sårbarheterna den 23 juli 2023 respektive 28 juli 2023. NCSC-NO har också observerat möjlig sårbarhetskedja av CVE-2023-35081 och CVE-2023-35078, vilket indikerar ett komplext och potentiellt skadligt cyberhot.
Innehållsförteckning
Vad ligger bakom CVE-2023-35078 och CVE-2023-35081?
CVE-2023-35078 utgör en kritisk risk för Ivanti Endpoint Manager Mobile (EPMM), tidigare känd som MobileIron Core, eftersom den tillåter hotaktörer att komma åt personligt identifierbar information (PII) och göra konfigurationsändringar på komprometterade system. Samtidigt ger CVE-2023-35081 skådespelare med EPMM-administratörsbehörighet möjligheten att skriva godtyckliga filer med operativsystembehörigheterna för EPMM-webbapplikationsservern. Hotaktörer kan få initial, privilegierad åtkomst till EPMM-system och exekvera uppladdade filer som webbskal genom att koppla ihop dessa sårbarheter. Eftersom Mobile Device Management (MDM)-system som EPMM ger ökad åtkomst till många mobila enheter, har de blivit attraktiva mål för hotfulla aktörer, särskilt med tanke på tidigare utnyttjande av MobileIron-sårbarheter. Med tanke på potentialen för utbredd exploatering i statliga och privata nätverk uttrycker CISA och NCSC-NO allvarlig oro över dessa säkerhetshot.
I denna Cybersecurity Advisory (CSA) delar NCSC-NO indikatorer på kompromiss (IOC), taktik, tekniker och procedurer (TTP) som upptäckts under deras utredningar. CSA innehåller en kärnmall, som hjälper till att identifiera oparpade enheter, och ger detekteringsvägledning för organisationer att proaktivt söka efter tecken på kompromiss. CISA och NCSC-NO uppmuntrar starkt organisationer att använda detektionsvägledning för att upptäcka skadlig aktivitet. Om någon potentiell kompromiss skulle upptäckas bör organisationer följa rekommendationerna för incidenthantering som beskrivs i CSA. Även i avsaknad av kompromisser måste organisationer tillämpa de patchar Ivanti utfärdade för att säkerställa säkerheten snabbt.
Exploater aktiv sedan april 2023
CVE-2023-35078 har varit ett frekvent föremål för utnyttjande av APT-aktörer sedan april 2023. De använde komprometterade SOHO-routrar, inklusive ASUS-routrar, som proxyservrar till målinfrastruktur. NCSC-NO observerade aktörerna som utnyttjade denna sårbarhet för att få första åtkomst till EPMM-enheter. Väl inne utförde aktörerna olika aktiviteter, som att utföra godtyckliga LDAP-frågor mot Active Directory, hämta LDAP-slutpunkter, lista användare och administratörer med hjälp av API-sökvägar och göra konfigurationsändringar på EPMM-enheten. De specifika konfigurationsändringar som skådespelarna har gjort är fortfarande okända.
APT-aktörerna kontrollerade regelbundet EPMM Core-revisionsloggar för att täcka deras spår och raderade några av sina poster i Apache httpd-loggar med den skadliga Tomcat-applikationen "mi.war" baserad på keywords.txt. Loggposter som innehåller "Firefox/107.0" raderades.
För kommunikation med EPMM använde aktörerna Linux och Windows användaragenter, främst Firefox/107.0. Även om andra agenter kom in, lämnade de inga spår i enhetsloggar. Den exakta metoden som hotaktörerna använde för att köra skalkommandon på EPMM-enheten förblir obekräftad. NCSC-NO misstänker att de utnyttjade CVE-2023-35081 för att ladda upp webbskal och köra kommandon.
För att tunnla trafik från internet till minst en otillgänglig Exchange-server använde APT-aktörerna Ivanti Sentry, en applikationsgateway-enhet som stöder EPMM. Den exakta tekniken som används för denna tunneldrivning är dock fortfarande okänd.
Utnyttja Ivanti EPMM Vulnerabilities: Threat Actors on the Prowl skärmdumpar
