Ivanti EPMM பாதிப்புகளை சுரண்டுதல்: அச்சுறுத்தும் நடிகர்கள்
தற்போதைய இணைய அச்சுறுத்தல்களுக்கு பதிலளிக்கும் விதமாக, சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் செக்யூரிட்டி ஏஜென்சி (சிஐஎஸ்ஏ) மற்றும் நோர்வே நேஷனல் சைபர் செக்யூரிட்டி சென்டர் (என்சிஎஸ்சி-என்ஓ) ஆகியவை இணைந்து குறிப்பிடத்தக்க சைபர் பாதுகாப்பு ஆலோசனையை (சிஎஸ்ஏ) வெளியிட்டுள்ளன. CVE-2023-35078 மற்றும் CVE-2023-35081 ஆகிய இரண்டு பாதிப்புகளின் சுரண்டலை அவர்கள் நிவர்த்தி செய்கிறார்கள். ஏப்ரல் 2023 முதல் ஜூலை 2023 வரை CVE-2023-35078 ஐ பூஜ்ஜிய நாளாகப் பயன்படுத்திய மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) நடிகர்களால் இந்த பாதிப்புகள் தாக்குதலுக்கு உள்ளாகியுள்ளன. APT நடிகர்கள் பல்வேறு நார்வேஜியன் நிறுவனங்களிடமிருந்து முக்கியமான தகவல்களை சேகரிக்க இந்த பாதிப்பைப் பயன்படுத்தினர். ஒரு நோர்வே அரசாங்க ஏஜென்சியின் நெட்வொர்க்கை வெற்றிகரமாக சமரசம் செய்தது. பாதுகாப்பு அபாயங்களை நிவர்த்தி செய்ய, மென்பொருள் விற்பனையாளரான Ivanti, முறையே ஜூலை 23, 2023 மற்றும் ஜூலை 28, 2023 ஆகிய இரு பாதிப்புகளுக்கான இணைப்புகளை வெளியிட்டார். NCSC-NO ஆனது CVE-2023-35081 மற்றும் CVE-2023-35078 ஆகியவற்றின் சாத்தியமான பாதிப்பு சங்கிலியைக் கண்டறிந்துள்ளது, இது ஒரு சிக்கலான மற்றும் தீங்கு விளைவிக்கும் இணைய அச்சுறுத்தலைக் குறிக்கிறது.
பொருளடக்கம்
CVE-2023-35078 மற்றும் CVE-2023-35081 க்கு பின்னால் என்ன இருக்கிறது?
CVE-2023-35078 ஆனது Ivanti எண்ட்பாயிண்ட் மேலாளர் மொபைலுக்கு (EPMM) ஒரு முக்கியமான ஆபத்தை ஏற்படுத்துகிறது, இது முன்னர் MobileIron Core என அறியப்பட்டது, ஏனெனில் இது அச்சுறுத்தல் நடிகர்களை தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவலை (PII) அணுகவும் மற்றும் சமரசம் செய்யப்பட்ட கணினிகளில் உள்ளமைவு மாற்றங்களைச் செய்யவும் அனுமதிக்கிறது. இதற்கிடையில், CVE-2023-35081 ஆனது EPMM நிர்வாகி சலுகைகளுடன் நடிகர்களுக்கு EPMM வலை பயன்பாட்டு சேவையகத்தின் இயக்க முறைமை சலுகைகளுடன் தன்னிச்சையான கோப்புகளை எழுதும் திறனை வழங்குகிறது. அச்சுறுத்தல் நடிகர்கள் EPMM அமைப்புகளுக்கான ஆரம்ப, சிறப்புரிமை அணுகலைப் பெறலாம் மற்றும் இந்த பாதிப்புகளை ஒன்றாக இணைத்து வலை ஷெல்கள் போன்ற பதிவேற்றப்பட்ட கோப்புகளை இயக்கலாம். EPMM போன்ற மொபைல் சாதன மேலாண்மை (MDM) அமைப்புகள் பல மொபைல் சாதனங்களுக்கு உயர்ந்த அணுகலை வழங்குவதால், அவை நடிகர்களை அச்சுறுத்துவதற்கான கவர்ச்சிகரமான இலக்குகளாக மாறியுள்ளன, குறிப்பாக MobileIron பாதிப்புகளின் முந்தைய சுரண்டல்களைக் கருத்தில் கொண்டு. அரசு மற்றும் தனியார் துறை நெட்வொர்க்குகளில் பரவலான சுரண்டலுக்கான சாத்தியக்கூறுகள் இருப்பதால், CISA மற்றும் NCSC-NO ஆகியவை இந்த பாதுகாப்பு அச்சுறுத்தல்கள் குறித்து தீவிர கவலையை வெளிப்படுத்துகின்றன.
இந்த சைபர் செக்யூரிட்டி அட்வைசரியில் (CSA), NCSC-NO சமரசம் (IOCகள்), தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள் (TTPs) தங்கள் விசாரணைகளின் போது கண்டுபிடிக்கப்பட்ட குறிகாட்டிகளைப் பகிர்ந்து கொள்கிறது. சிஎஸ்ஏ ஒரு கரு டெம்ப்ளேட்டை இணைத்து, இணைக்கப்படாத சாதனங்களை அடையாளம் காண உதவுகிறது, மேலும் சமரசத்தின் அறிகுறிகளை முன்கூட்டியே தேட நிறுவனங்களுக்கு கண்டறிதல் வழிகாட்டுதலை வழங்குகிறது. CISA மற்றும் NCSC-NO ஆகியவை தீங்கிழைக்கும் செயல்பாட்டைக் கண்டறிய கண்டறிதல் வழிகாட்டுதலைப் பயன்படுத்த நிறுவனங்களை வலுவாக ஊக்குவிக்கின்றன. சாத்தியமான சமரசம் கண்டறியப்பட்டால், நிறுவனங்கள் CSA இல் விவரிக்கப்பட்டுள்ள சம்பவ பதில் பரிந்துரைகளை பின்பற்ற வேண்டும். சமரசம் இல்லாவிட்டாலும், பாதுகாப்பை உடனடியாக உறுதி செய்வதற்காக நிறுவனங்கள் Ivanti வழங்கிய இணைப்புகளைப் பயன்படுத்த வேண்டும்.
சுரண்டல்கள் ஏப்ரல் 2023 முதல் செயல்படுகின்றன
ஏப்ரல் 2023 முதல் CVE-2023-35078 ஆனது APT நடிகர்களால் அடிக்கடி சுரண்டப்படும் பொருளாக உள்ளது. அவர்கள் ASUS ரவுட்டர்கள் உட்பட சமரசம் செய்யப்பட்ட SOHO ரவுட்டர்களை உள்கட்டமைப்பை குறிவைக்க ப்ராக்ஸிகளாகப் பயன்படுத்தினர். EPMM சாதனங்களுக்கான ஆரம்ப அணுகலைப் பெற நடிகர்கள் இந்த பாதிப்பை மேம்படுத்துவதை NCSC-NO கவனித்தது. உள்ளே நுழைந்ததும், நடிகர்கள் ஆக்டிவ் டைரக்டரிக்கு எதிராக தன்னிச்சையான எல்டிஏபி வினவல்களைச் செய்தல், எல்டிஏபி இறுதிப்புள்ளிகளை மீட்டெடுத்தல், ஏபிஐ பாதைகளைப் பயன்படுத்தி பயனர்கள் மற்றும் நிர்வாகிகளை பட்டியலிடுதல் மற்றும் ஈபிஎம்எம் சாதனத்தில் உள்ளமைவு மாற்றங்களைச் செய்தல் போன்ற பல்வேறு செயல்பாடுகளைச் செய்தனர். நடிகர்கள் செய்த குறிப்பிட்ட கட்டமைப்பு மாற்றங்கள் தெரியவில்லை.
APT நடிகர்கள் EPMM கோர் தணிக்கை பதிவுகளை தவறாமல் சரிபார்த்து, அவர்களின் தடங்களை மறைப்பதற்கு மற்றும் அவர்களின் சில உள்ளீடுகளை Keywords.txt அடிப்படையில் தீங்கிழைக்கும் Tomcat பயன்பாடு "mi.war" ஐப் பயன்படுத்தி Apache httpd பதிவுகளில் நீக்கினர். "Firefox/107.0" கொண்ட பதிவு உள்ளீடுகள் நீக்கப்பட்டன.
EPMM உடன் தொடர்பு கொள்ள, நடிகர்கள் Linux மற்றும் Windows பயனர் முகவர்களைப் பயன்படுத்தினர், முதன்மையாக Firefox/107.0. பிற முகவர்கள் செயல்பாட்டிற்கு வந்தாலும், அவர்கள் சாதனப் பதிவுகளில் தடயங்களை விடவில்லை. EPMM சாதனத்தில் ஷெல் கட்டளைகளை இயக்க அச்சுறுத்தல் நடிகர்கள் பயன்படுத்தும் சரியான முறை உறுதிப்படுத்தப்படவில்லை. NCSC-NO அவர்கள் CVE-2023-35081 ஐ வலை ஷெல்களைப் பதிவேற்றவும் கட்டளைகளை இயக்கவும் பயன்படுத்தியதாக சந்தேகிக்கிறார்கள்.
இணையத்திலிருந்து சுரங்கப் போக்குவரத்தை குறைந்தபட்சம் ஒரு அணுக முடியாத எக்ஸ்சேஞ்ச் சேவையகத்திற்கு மாற்ற, APT நடிகர்கள் EPMM ஐ ஆதரிக்கும் பயன்பாட்டு நுழைவாயில் சாதனமான Ivanti Sentry ஐப் பயன்படுத்தினர். இருப்பினும், இந்த சுரங்கப்பாதைக்கு பயன்படுத்தப்பட்ட சரியான நுட்பம் தெரியவில்லை.
Ivanti EPMM பாதிப்புகளை சுரண்டுதல்: அச்சுறுத்தும் நடிகர்கள் ஸ்கிரீன்ஷாட்கள்
