การใช้ประโยชน์จากช่องโหว่ EPMM ของ Ivanti: ภัยคุกคามจากผู้แอบดู
เพื่อตอบสนองต่อภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง Cybersecurity and Infrastructure Security Agency (CISA) และ Norwegian National Cyber Security Center (NCSC-NO) ได้ร่วมกันออก Cybersecurity Advisory (CSA) พวกเขากำลังแก้ไขการใช้ประโยชน์จาก ช่องโหว่ 2 รายการ ได้แก่ CVE-2023-35078 และ CVE-2023-35081 ช่องโหว่เหล่านี้ถูกโจมตีโดยตัวแสดงภัยคุกคามแบบถาวรขั้นสูง (APT) ซึ่งใช้ประโยชน์จาก CVE-2023-35078 แบบ zero-day ตั้งแต่เดือนเมษายน 2566 จนถึงกรกฎาคม 2566 ตัวแสดง APT ใช้ช่องโหว่นี้เพื่อรวบรวมข้อมูลที่ละเอียดอ่อนจากองค์กรต่างๆ ของนอร์เวย์และ บุกรุกเครือข่ายของหน่วยงานรัฐบาลนอร์เวย์ได้สำเร็จ เพื่อจัดการกับความเสี่ยงด้านความปลอดภัย Ivanti ผู้จำหน่ายซอฟต์แวร์ได้ออกแพตช์สำหรับช่องโหว่ทั้งสองในวันที่ 23 กรกฎาคม 2023 และ 28 กรกฎาคม 2023 ตามลำดับ นอกจากนี้ NCSC-NO ยังได้สังเกตการเชื่อมโยงช่องโหว่ที่เป็นไปได้ของ CVE-2023-35081 และ CVE-2023-35078 ซึ่งบ่งชี้ถึงภัยคุกคามทางไซเบอร์ที่ซับซ้อนและอาจเป็นอันตราย
สารบัญ
สิ่งที่อยู่เบื้องหลัง CVE-2023-35078 และ CVE-2023-35081
CVE-2023-35078 ก่อให้เกิดความเสี่ยงร้ายแรงต่อ Ivanti Endpoint Manager Mobile (EPMM) หรือที่รู้จักกันก่อนหน้านี้ในชื่อ MobileIron Core เนื่องจากช่วยให้ผู้คุกคามเข้าถึงข้อมูลที่สามารถระบุตัวตนได้ (PII) และทำการเปลี่ยนแปลงการกำหนดค่าบนระบบที่ถูกบุกรุก ในขณะเดียวกัน CVE-2023-35081 ให้สิทธิ์แก่ผู้ดูแลระบบ EPMM ในการเขียนไฟล์ตามอำเภอใจด้วยสิทธิ์ระบบปฏิบัติการของเซิร์ฟเวอร์แอปพลิเคชันเว็บ EPMM ผู้คุกคามสามารถรับสิทธิ์การเข้าถึงระบบ EPMM เบื้องต้นและเรียกใช้ไฟล์ที่อัปโหลดเช่น Web Shell โดยเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกัน เนื่องจากระบบการจัดการอุปกรณ์พกพา (MDM) เช่น EPMM มอบการเข้าถึงขั้นสูงไปยังอุปกรณ์พกพาจำนวนมาก พวกเขาจึงกลายเป็นเป้าหมายที่น่าสนใจสำหรับตัวการคุกคาม โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากช่องโหว่ของ MobileIron ก่อนหน้านี้ เนื่องจากศักยภาพในการแสวงหาประโยชน์อย่างกว้างขวางในเครือข่ายภาครัฐและเอกชน CISA และ NCSC-NO จึงแสดงความกังวลอย่างมากเกี่ยวกับภัยคุกคามด้านความปลอดภัยเหล่านี้
ใน คำแนะนำด้านความปลอดภัยทางไซเบอร์ (CSA) นี้ NCSC-NO แบ่งปันตัวบ่งชี้การประนีประนอม (IOC) กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ค้นพบในระหว่างการสืบสวน CSA รวมเทมเพลตนิวเคลียส ช่วยในการระบุอุปกรณ์ที่ไม่ได้แพตช์ และให้คำแนะนำในการตรวจจับสำหรับองค์กรเพื่อค้นหาสัญญาณของการประนีประนอมเชิงรุก CISA และ NCSC-NO สนับสนุนให้องค์กรใช้คำแนะนำในการตรวจจับเพื่อตรวจจับกิจกรรมที่เป็นอันตราย หากตรวจพบการประนีประนอมที่อาจเกิดขึ้น องค์กรควรปฏิบัติตามคำแนะนำในการรับมือเหตุการณ์ที่ระบุไว้ใน CSA แม้ในกรณีที่ไม่มีการประนีประนอม องค์กรก็ต้องใช้แพตช์ Ivanti ที่ออกให้เพื่อความปลอดภัยในทันที
ใช้ประโยชน์จากการใช้งานตั้งแต่เดือนเมษายน 2566
CVE-2023-35078 ตกเป็นเป้าของการแสวงประโยชน์จาก APT บ่อยครั้งตั้งแต่เดือนเมษายน 2023 พวกเขาใช้เราเตอร์ SOHO ที่ถูกบุกรุก รวมถึงเราเตอร์ ASUS เป็นผู้รับมอบฉันทะไปยังโครงสร้างพื้นฐานเป้าหมาย NCSC-NO สังเกตว่าผู้ดำเนินการใช้ช่องโหว่นี้เพื่อเข้าถึงอุปกรณ์ EPMM เบื้องต้น เมื่อเข้าไปข้างในแล้ว นักแสดงจะทำกิจกรรมต่างๆ เช่น ดำเนินการค้นหา LDAP ตามอำเภอใจกับ Active Directory, ดึงข้อมูลปลายทาง LDAP, แสดงรายชื่อผู้ใช้และผู้ดูแลระบบโดยใช้เส้นทาง API และทำการเปลี่ยนแปลงการกำหนดค่าบนอุปกรณ์ EPMM การเปลี่ยนแปลงการกำหนดค่าเฉพาะที่ทำโดยนักแสดงยังไม่ทราบ
ผู้ดำเนินการ APT ตรวจสอบบันทึกการตรวจสอบ EPMM Core อย่างสม่ำเสมอเพื่อปกปิดเส้นทางของพวกเขา และลบรายการบางส่วนของพวกเขาในบันทึก Apache httpd โดยใช้แอปพลิเคชัน Tomcat ที่เป็นอันตราย "mi.war" ซึ่งใช้คีย์เวิร์ด.txt รายการบันทึกที่มี "Firefox/107.0" ถูกลบ
สำหรับการสื่อสารกับ EPMM นักแสดงใช้ตัวแทนผู้ใช้ Linux และ Windows โดยหลักคือ Firefox/107.0 แม้ว่าจะมีเอเจนต์รายอื่นเข้ามาเล่น แต่พวกเขาก็ไม่ได้ทิ้งร่องรอยไว้ในบันทึกอุปกรณ์ วิธีการที่แน่นอนที่ผู้คุกคามใช้เพื่อเรียกใช้คำสั่งเชลล์บนอุปกรณ์ EPMM ยังไม่ได้รับการยืนยัน NCSC-NO สงสัยว่าพวกเขาใช้ CVE-2023-35081 เพื่ออัปโหลด Web Shell และดำเนินการคำสั่ง
ในอุโมงค์ทราฟฟิกจากอินเทอร์เน็ตไปยังเซิร์ฟเวอร์ Exchange ที่ไม่สามารถเข้าถึงได้อย่างน้อยหนึ่งเครื่อง เจ้าหน้าที่ APT ได้ใช้ Ivanti Sentry ซึ่งเป็นอุปกรณ์เกตเวย์ของแอปพลิเคชันที่รองรับ EPMM อย่างไรก็ตาม เทคนิคที่ใช้สำหรับการขุดอุโมงค์นี้ยังไม่ทราบแน่ชัด
การใช้ประโยชน์จากช่องโหว่ EPMM ของ Ivanti: ภัยคุกคามจากผู้แอบดู ภาพหน้าจอ
