ఇవంతి EPMM దుర్బలత్వాలను ఉపయోగించుకోవడం: బెదిరింపు నటులు

కొనసాగుతున్న సైబర్ బెదిరింపులకు ప్రతిస్పందనగా, సైబర్‌ సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) మరియు నార్వేజియన్ నేషనల్ సైబర్ సెక్యూరిటీ సెంటర్ (NCSC-NO) సంయుక్తంగా ఒక ముఖ్యమైన సైబర్‌ సెక్యూరిటీ అడ్వైజరీ (CSA)ని జారీ చేశాయి. వారు CVE-2023-35078 మరియు CVE-2023-35081 అనే రెండు దుర్బలత్వాల దోపిడీని పరిష్కరిస్తున్నారు. ఏప్రిల్ 2023 నుండి జూలై 2023 వరకు CVE-2023-35078ని జీరో-డేగా ఉపయోగించుకున్న అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) నటీనటుల ద్వారా ఈ దుర్బలత్వాలు దాడులకు గురయ్యాయి. APT నటులు వివిధ నార్వేజియన్ సంస్థల నుండి సున్నితమైన సమాచారాన్ని సేకరించేందుకు ఈ దుర్బలత్వాన్ని ఉపయోగించారు. నార్వేజియన్ ప్రభుత్వ ఏజెన్సీ నెట్‌వర్క్‌తో విజయవంతంగా రాజీపడింది. భద్రతా ప్రమాదాలను పరిష్కరించడానికి, సాఫ్ట్‌వేర్ విక్రేత అయిన ఇవంతి, రెండు దుర్బలత్వాల కోసం వరుసగా జూలై 23, 2023 మరియు జూలై 28, 2023న ప్యాచ్‌లను విడుదల చేశారు. NCSC-NO CVE-2023-35081 మరియు CVE-2023-35078 యొక్క సాధ్యమైన దుర్బలత్వ చైనింగ్‌ను కూడా గమనించింది, ఇది సంక్లిష్టమైన మరియు హానికరమైన సైబర్ ముప్పును సూచిస్తుంది.

CVE-2023-35078 మరియు CVE-2023-35081 వెనుక ఏమి ఉంది?

CVE-2023-35078 Ivanti Endpoint Manager Mobile (EPMM)కి క్లిష్టమైన ప్రమాదాన్ని కలిగిస్తుంది, ఇది మునుపు MobileIron కోర్ అని పిలుస్తారు, ఇది ముప్పు నటులు వ్యక్తిగతంగా గుర్తించదగిన సమాచారాన్ని (PII) యాక్సెస్ చేయడానికి మరియు రాజీపడిన సిస్టమ్‌లపై కాన్ఫిగరేషన్ మార్పులను చేయడానికి అనుమతిస్తుంది. ఇంతలో, CVE-2023-35081 EPMM వెబ్ అప్లికేషన్ సర్వర్ యొక్క ఆపరేటింగ్ సిస్టమ్ అధికారాలతో ఏకపక్ష ఫైల్‌లను వ్రాయగల సామర్థ్యాన్ని EPMM అడ్మినిస్ట్రేటర్ అధికారాలను కలిగి ఉన్న నటులకు మంజూరు చేస్తుంది. బెదిరింపు నటులు EPMM సిస్టమ్‌లకు ప్రారంభ, విశేష ప్రాప్యతను పొందవచ్చు మరియు ఈ దుర్బలత్వాలను ఒకదానితో ఒకటి బంధించడం ద్వారా వెబ్ షెల్‌ల వంటి అప్‌లోడ్ చేసిన ఫైల్‌లను అమలు చేయవచ్చు. EPMM వంటి మొబైల్ డివైస్ మేనేజ్‌మెంట్ (MDM) సిస్టమ్‌లు అనేక మొబైల్ పరికరాలకు ఎలివేటెడ్ యాక్సెస్‌ను అందిస్తున్నందున, అవి నటీనటులను బెదిరించడం కోసం ఆకర్షణీయమైన లక్ష్యాలుగా మారాయి, ప్రత్యేకించి MobileIron దుర్బలత్వాల యొక్క మునుపటి దోపిడీలను పరిగణనలోకి తీసుకుంటాయి. ప్రభుత్వ మరియు ప్రైవేట్ రంగ నెట్‌వర్క్‌లలో విస్తృతంగా దోపిడీకి అవకాశం ఉన్నందున, CISA మరియు NCSC-NO ఈ భద్రతా బెదిరింపులపై తీవ్ర ఆందోళన వ్యక్తం చేస్తున్నాయి.

ఈ సైబర్‌ సెక్యూరిటీ అడ్వైజరీ (CSA)లో, NCSC-NO వారి పరిశోధనల సమయంలో కనుగొనబడిన రాజీ (IOCలు), వ్యూహాలు, పద్ధతులు మరియు విధానాల (TTPలు) సూచికలను పంచుకుంటుంది. CSA ఒక న్యూక్లియై టెంప్లేట్‌ను కలిగి ఉంది, అన్‌ప్యాచ్ చేయని పరికరాలను గుర్తించడంలో సహాయపడుతుంది మరియు సంస్థలకు రాజీ సంకేతాలను చురుగ్గా శోధించడానికి గుర్తింపు మార్గదర్శకాన్ని అందిస్తుంది. CISA మరియు NCSC-NO హానికరమైన కార్యకలాపాన్ని గుర్తించడానికి గుర్తింపు మార్గదర్శకాలను ఉపయోగించమని సంస్థలను గట్టిగా ప్రోత్సహిస్తాయి. ఏదైనా సంభావ్య రాజీని గుర్తించినట్లయితే, సంస్థలు CSAలో వివరించిన సంఘటన ప్రతిస్పందన సిఫార్సులను అనుసరించాలి. రాజీ లేనప్పటికీ, సంస్థలు తక్షణమే భద్రతను నిర్ధారించడానికి Ivanti జారీ చేసిన ప్యాచ్‌లను తప్పనిసరిగా వర్తింపజేయాలి.

దోపిడీలు ఏప్రిల్ 2023 నుండి యాక్టివ్‌గా ఉన్నాయి

CVE-2023-35078 ఏప్రిల్ 2023 నుండి APT నటులచే తరచుగా దోపిడీకి గురవుతోంది. వారు మౌలిక సదుపాయాలను లక్ష్యంగా చేసుకోవడానికి ప్రాక్సీలుగా ASUS రౌటర్‌లతో సహా రాజీపడిన SOHO రౌటర్‌లను ఉపయోగించారు. EPMM పరికరాలకు ప్రారంభ ప్రాప్యతను పొందడానికి నటులు ఈ దుర్బలత్వాన్ని ప్రభావితం చేయడాన్ని NCSC-NO గమనించింది. లోపలికి వచ్చాక, యాక్టివ్ డైరెక్టరీకి వ్యతిరేకంగా ఏకపక్ష LDAP ప్రశ్నలను ప్రదర్శించడం, LDAP ముగింపు పాయింట్‌లను తిరిగి పొందడం, API పాత్‌లను ఉపయోగించి వినియోగదారులు మరియు నిర్వాహకులను జాబితా చేయడం మరియు EPMM పరికరంలో కాన్ఫిగరేషన్ మార్పులు చేయడం వంటి వివిధ కార్యకలాపాలను నటులు ప్రదర్శించారు. నటీనటులు చేసిన నిర్దిష్ట కాన్ఫిగరేషన్ మార్పులు తెలియవు.

APT నటులు వారి ట్రాక్‌లను కవర్ చేయడానికి EPMM కోర్ ఆడిట్ లాగ్‌లను క్రమం తప్పకుండా తనిఖీ చేస్తారు మరియు Keywords.txt ఆధారంగా హానికరమైన Tomcat అప్లికేషన్ "mi.war"ని ఉపయోగించి Apache httpd లాగ్‌లలోని వారి కొన్ని ఎంట్రీలను తొలగించారు. "Firefox/107.0"ని కలిగి ఉన్న లాగ్ ఎంట్రీలు తొలగించబడ్డాయి.

EPMMతో కమ్యూనికేషన్ కోసం, నటీనటులు Linux మరియు Windows యూజర్ ఏజెంట్లను ఉపయోగించారు, ప్రధానంగా Firefox/107.0. ఇతర ఏజెంట్లు అమలులోకి వచ్చినప్పటికీ, వారు పరికర లాగ్‌లలో జాడలను వదిలిపెట్టలేదు. EPMM పరికరంలో షెల్ కమాండ్‌లను అమలు చేయడానికి ముప్పు నటులు ఉపయోగించే ఖచ్చితమైన పద్ధతి ధృవీకరించబడలేదు. వెబ్ షెల్‌లను అప్‌లోడ్ చేయడానికి మరియు ఆదేశాలను అమలు చేయడానికి వారు CVE-2023-35081ని ఉపయోగించుకున్నారని NCSC-NO అనుమానిస్తోంది.

ఇంటర్నెట్ నుండి ట్రాఫిక్‌ను కనీసం ఒక యాక్సెస్ చేయలేని ఎక్స్‌ఛేంజ్ సర్వర్‌కి సొరంగం చేయడానికి, APT నటులు EPMMకి మద్దతు ఇచ్చే అప్లికేషన్ గేట్‌వే ఉపకరణం అయిన ఇవంతి సెంట్రీని ఉపయోగించారు. అయితే, ఈ టన్నెలింగ్ కోసం ఉపయోగించిన ఖచ్చితమైన సాంకేతికత ఇంకా తెలియదు.

ఇవంతి EPMM దుర్బలత్వాలను ఉపయోగించుకోవడం: బెదిరింపు నటులు స్క్రీన్‌షాట్‌లు