Ivanti EPMM Güvenlik Açıklarından Yararlanma: Tehdit Aktörleri Sinsi Tehdit Altında

Devam eden siber tehditlere yanıt olarak, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Norveç Ulusal Siber Güvenlik Merkezi (NCSC-NO) ortaklaşa önemli bir Siber Güvenlik Danışma Belgesi (CSA) yayınladı. CVE-2023-35078 ve CVE-2023-35081 olmak üzere iki güvenlik açığının istismarını ele alıyorlar. Bu güvenlik açıkları, Nisan 2023'ten Temmuz 2023'e kadar CVE-2023-35078'i sıfır gün olarak kullanan gelişmiş kalıcı tehdit (APT) aktörlerinin saldırılarına maruz kalmıştır. APT aktörleri, bu güvenlik açığını çeşitli Norveçli kuruluşlardan hassas bilgiler toplamak için kullandı ve bir Norveç devlet kurumunun ağını başarıyla ele geçirdi. Yazılım satıcısı Ivanti, güvenlik risklerini ele almak için sırasıyla 23 Temmuz 2023 ve 28 Temmuz 2023 tarihlerinde her iki güvenlik açığı için yamalar yayınladı. NCSC-NO ayrıca karmaşık ve potansiyel olarak zararlı bir siber tehdide işaret eden CVE-2023-35081 ve CVE-2023-35078'in olası güvenlik açığı zincirini gözlemledi.

CVE-2023-35078 ve CVE-2023-35081'in Arkasında Ne Var?

CVE-2023-35078, daha önce MobileIron Core olarak bilinen Ivanti Endpoint Manager Mobile (EPMM) için kritik bir risk teşkil ediyor çünkü tehdit aktörlerinin kişisel olarak tanımlanabilir bilgilere (PII) erişmesine ve güvenliği ihlal edilmiş sistemlerde yapılandırma değişiklikleri yapmasına izin veriyor. Bu arada, CVE-2023-35081, EPMM yönetici ayrıcalıklarına sahip oyunculara, EPMM web uygulama sunucusunun işletim sistemi ayrıcalıklarıyla rastgele dosyalar yazma yeteneği verir. Tehdit aktörleri, bu güvenlik açıklarını birbirine zincirleyerek EPMM sistemlerine ilk, ayrıcalıklı erişim elde edebilir ve Web kabukları gibi karşıya yüklenen dosyaları yürütebilir. EPMM gibi Mobil Cihaz Yönetimi (MDM) sistemleri, çok sayıda mobil cihaza yüksek erişim sağladığından, özellikle MobileIron güvenlik açıklarının daha önceki istismarları göz önüne alındığında, tehdit edici aktörler için çekici hedefler haline geldiler. Devlet ve özel sektör ağlarında yaygın kullanım potansiyeli göz önüne alındığında, CISA ve NCSC-NO, bu güvenlik tehditleri konusunda ciddi endişelerini dile getiriyor.

Bu Siber Güvenlik Danışma Belgesinde (CSA), NCSC-NO, araştırmaları sırasında keşfedilen uzlaşma göstergelerini (IOC'ler), taktikleri, teknikleri ve prosedürleri (TTP'ler) paylaşır. CSA, yama uygulanmamış cihazların belirlenmesine yardımcı olan bir çekirdek şablonu içerir ve kuruluşların proaktif olarak güvenlik ihlali belirtileri araması için algılama kılavuzu sağlar. CISA ve NCSC-NO, kuruluşları kötü niyetli etkinliği tespit etmek için algılama kılavuzunu kullanmaya teşvik eder. Herhangi bir olası tehlikenin tespit edilmesi halinde, kuruluşlar, CSA'da ana hatlarıyla belirtilen olay müdahale önerilerini izlemelidir. Ödün verilmediği durumlarda bile, kuruluşlar, güvenliği sağlamak için Ivanti'nin yayınladığı yamaları derhal uygulamalıdır.

Nisan 2023'ten Beri Etkin Olan İstismarlar

CVE-2023-35078, Nisan 2023'ten bu yana APT aktörleri tarafından sık sık sömürülen bir konu olmuştur. Hedef altyapı için vekil sunucu olarak ASUS yönlendiricileri de dahil olmak üzere gizliliği ihlal edilmiş SOHO yönlendiricilerini kullandılar. NCSC-NO, aktörlerin EPMM cihazlarına ilk erişimi elde etmek için bu güvenlik açığından yararlandığını gözlemledi. İçeri girdikten sonra aktörler, Active Directory'ye karşı rastgele LDAP sorguları gerçekleştirmek, LDAP uç noktalarını almak, API yollarını kullanarak kullanıcıları ve yöneticileri listelemek ve EPMM cihazında yapılandırma değişiklikleri yapmak gibi çeşitli etkinlikler gerçekleştirdi. Aktörler tarafından yapılan belirli yapılandırma değişiklikleri bilinmiyor.

APT aktörleri, izlerini kapatmak için düzenli olarak EPMM Çekirdek denetim günlüklerini kontrol ettiler ve keywords.txt'ye dayalı kötü amaçlı Tomcat uygulaması "mi.war"ı kullanarak Apache httpd günlüklerindeki bazı girişlerini sildi. "Firefox/107.0" içeren günlük girişleri silindi.

Oyuncular, EPMM ile iletişim için başta Firefox/107.0 olmak üzere Linux ve Windows kullanıcı aracılarını kullandılar. Diğer ajanlar devreye girse de cihaz loglarında iz bırakmadılar. Tehdit aktörlerinin EPMM cihazında kabuk komutlarını çalıştırmak için kullandıkları kesin yöntem henüz doğrulanmadı. NCSC-NO, Web kabuklarını yüklemek ve komutları yürütmek için CVE-2023-35081'den yararlandıklarından şüpheleniyor.

APT aktörleri, internetten trafiği erişilemeyen en az bir Exchange sunucusuna tünellemek için EPMM'yi destekleyen bir uygulama ağ geçidi cihazı olan Ivanti Sentry'yi kullandı. Bununla birlikte, bu tünel açma için kullanılan kesin teknik bilinmemektedir.

Ivanti EPMM Güvenlik Açıklarından Yararlanma: Tehdit Aktörleri Sinsi Tehdit Altında Ekran Görüntüsü