Pagsasamantala sa Ivanti EPMM Vulnerabilities: Threat Actor on the Prowl
Bilang tugon sa patuloy na mga banta sa cyber, ang Cybersecurity and Infrastructure Security Agency (CISA) at ang Norwegian National Cyber Security Center (NCSC-NO) ay magkasamang naglabas ng isang makabuluhang Cybersecurity Advisory (CSA). Tinutugunan nila ang pagsasamantala ng dalawang kahinaan , katulad ng CVE-2023-35078 at CVE-2023-35081. Ang mga kahinaang ito ay napapailalim sa mga pag-atake ng mga aktor ng advanced persistent threat (APT), na pinagsamantalahan ang CVE-2023-35078 bilang zero-day mula Abril 2023 hanggang Hulyo 2023. Ginamit ng mga aktor ng APT ang kahinaang ito upang mangalap ng sensitibong impormasyon mula sa iba't ibang organisasyong Norwegian at matagumpay na nakompromiso ang network ng ahensya ng gobyerno ng Norway. Upang matugunan ang mga panganib sa seguridad, si Ivanti, ang vendor ng software, ay naglabas ng mga patch para sa parehong mga kahinaan noong Hulyo 23, 2023, at Hulyo 28, 2023, ayon sa pagkakabanggit. Naobserbahan din ng NCSC-NO ang posibleng vulnerability chaining ng CVE-2023-35081 at CVE-2023-35078, na nagpapahiwatig ng isang kumplikado at potensyal na nakakapinsalang banta sa cyber.
Talaan ng mga Nilalaman
Ano ang Nasa Likod ng CVE-2023-35078 at CVE-2023-35081?
Ang CVE-2023-35078 ay nagdudulot ng kritikal na panganib sa Ivanti Endpoint Manager Mobile (EPMM), na dating kilala bilang MobileIron Core, dahil pinapayagan nito ang mga threat actor na ma-access ang personally identifiable information (PII) at gumawa ng mga pagbabago sa configuration sa mga nakompromisong system. Samantala, binibigyan ng CVE-2023-35081 ang mga aktor na may mga pribilehiyo ng administrator ng EPMM ng kakayahang magsulat ng mga arbitrary na file na may mga pribilehiyo sa operating system ng EPMM web application server. Ang mga aktor ng pagbabanta ay maaaring makakuha ng paunang, may pribilehiyong pag-access sa mga EPMM system at magsagawa ng mga na-upload na file tulad ng mga Web shell sa pamamagitan ng pagsasama-sama ng mga kahinaang ito. Dahil ang mga sistema ng Mobile Device Management (MDM) tulad ng EPMM ay nagbibigay ng mataas na access sa maraming mobile device, naging mga kaakit-akit na target ang mga ito para sa mga nagbabantang aktor, lalo na kung isasaalang-alang ang mga nakaraang pagsasamantala ng mga kahinaan ng MobileIron. Dahil sa potensyal para sa malawakang pagsasamantala sa mga network ng gobyerno at pribadong sektor, ang CISA at NCSC-NO ay nagpahayag ng matinding pagkabahala sa mga banta sa seguridad na ito.
Sa Cybersecurity Advisory (CSA) na ito, ang NCSC-NO ay nagbabahagi ng mga indicator of compromise (IOCs), mga taktika, diskarte, at pamamaraan (TTPs) na natuklasan sa kanilang mga pagsisiyasat. Ang CSA ay nagsasama ng isang nuclei template, na tumutulong sa pagtukoy ng mga hindi naka-patch na device, at nagbibigay ng gabay sa pag-detect para sa mga organisasyon na maghanap ng mga palatandaan ng kompromiso nang maagap. Lubos na hinihikayat ng CISA at NCSC-NO ang mga organisasyon na gumamit ng patnubay sa pagtuklas upang matukoy ang malisyosong aktibidad. Kung may matukoy na potensyal na kompromiso, dapat sundin ng mga organisasyon ang mga rekomendasyon sa pagtugon sa insidente na nakabalangkas sa CSA. Kahit na walang kompromiso, dapat ilapat ng mga organisasyon ang mga patch na ibinigay ni Ivanti upang matiyak kaagad ang seguridad.
Exploits Active Simula Abril 2023
Ang CVE-2023-35078 ay naging madalas na paksa ng pagsasamantala ng mga aktor ng APT mula noong Abril 2023. Ginamit nila ang mga nakompromisong SOHO router, kabilang ang mga ASUS router, bilang mga proxy upang i-target ang imprastraktura. Naobserbahan ng NCSC-NO ang mga aktor na ginagamit ang kahinaang ito upang makakuha ng paunang access sa mga EPMM device. Pagdating sa loob, nagsagawa ang mga aktor ng iba't ibang aktibidad, tulad ng pagsasagawa ng mga arbitrary na query sa LDAP laban sa Active Directory, pagkuha ng mga endpoint ng LDAP, paglilista ng mga user at administrator gamit ang mga API path, at paggawa ng mga pagbabago sa configuration sa EPMM device. Ang mga partikular na pagbabago sa pagsasaayos na ginawa ng mga aktor ay nananatiling hindi alam.
Regular na sinusuri ng mga aktor ng APT ang mga audit log ng EPMM Core upang masakop ang kanilang mga track at tinanggal ang ilan sa kanilang mga entry sa Apache httpd logs gamit ang nakakahamak na Tomcat application na "mi.war" batay sa keywords.txt. Ang mga log entry na naglalaman ng "Firefox/107.0" ay tinanggal.
Para sa komunikasyon sa EPMM, ginamit ng mga aktor ang mga ahente ng gumagamit ng Linux at Windows, pangunahin ang Firefox/107.0. Bagama't naglaro ang ibang mga ahente, hindi sila nag-iwan ng mga bakas sa mga log ng device. Ang eksaktong paraan na ginagamit ng mga banta ng aktor para magpatakbo ng mga shell command sa EPMM device ay nananatiling hindi kumpirmado. Hinala ng NCSC-NO na pinagsamantalahan nila ang CVE-2023-35081 para mag-upload ng mga Web shell at magsagawa ng mga command.
Upang i-tunnel ang trapiko mula sa internet patungo sa hindi bababa sa isang hindi naa-access na Exchange server, ginamit ng mga aktor ng APT ang Ivanti Sentry, isang application gateway appliance na sumusuporta sa EPMM. Gayunpaman, ang eksaktong pamamaraan na ginamit para sa tunneling na ito ay nananatiling hindi alam.
Pagsasamantala sa Ivanti EPMM Vulnerabilities: Threat Actor on the Prowl Mga screenshot
