Використання вразливостей Ivanti EPMM: загрозливі суб’єкти нишпорять
У відповідь на постійні кіберзагрози Агентство з кібербезпеки та безпеки інфраструктури (CISA) і Норвезький національний центр кібербезпеки (NCSC-NO) спільно випустили важливу консультацію з кібербезпеки (CSA). Вони спрямовані на використання двох уразливостей , а саме CVE-2023-35078 і CVE-2023-35081. Ці вразливості піддавалися атакам з боку розширених постійних загроз (APT), які використовували CVE-2023-35078 як нульовий день з квітня 2023 року до липня 2023 року. Учасники APT використовували цю вразливість для збору конфіденційної інформації від різних норвезьких організацій та успішно скомпрометував мережу норвезького урядового агентства. Щоб усунути ризики безпеці, постачальник програмного забезпечення Ivanti випустив виправлення для обох уразливостей 23 липня 2023 року та 28 липня 2023 року відповідно. NCSC-NO також виявив можливий зв’язок уразливостей CVE-2023-35081 і CVE-2023-35078, що вказує на складну та потенційно шкідливу кіберзагрозу.
Зміст
Що ховається за CVE-2023-35078 і CVE-2023-35081?
CVE-2023-35078 становить критичний ризик для Ivanti Endpoint Manager Mobile (EPMM), раніше відомого як MobileIron Core, оскільки дозволяє суб’єктам загроз отримувати доступ до персональної інформації (PII) та вносити зміни в конфігурацію зламаних систем. Тим часом CVE-2023-35081 надає суб’єктам із правами адміністратора EPMM можливість записувати довільні файли з правами операційної системи сервера веб-додатків EPMM. Зловмисники можуть отримати початковий привілейований доступ до систем EPMM і виконувати завантажені файли, наприклад веб-оболонки, об’єднуючи ці вразливості разом. Оскільки системи керування мобільними пристроями (MDM), такі як EPMM, надають підвищений доступ до багатьох мобільних пристроїв, вони стали привабливими цілями для загрозливих осіб, особливо з огляду на попередні використання вразливостей MobileIron. Враховуючи можливість широкого використання в державних і приватних мережах, CISA та NCSC-NO висловлюють серйозну стурбованість цими загрозами безпеці.
У цій консультації з кібербезпеки (CSA) NCSC-NO ділиться показниками компромісу (IOC), тактиками, техніками та процедурами (TTP), виявленими під час розслідувань. CSA містить шаблон ядра, що допомагає ідентифікувати пристрої без виправлень, і надає організаціям інструкції з виявлення для завчасного пошуку ознак компрометації. CISA та NCSC-NO наполегливо заохочують організації використовувати вказівки щодо виявлення зловмисної діяльності. Якщо буде виявлено будь-який потенційний компромет, організації повинні дотримуватися рекомендацій щодо реагування на інциденти, викладених у CSA. Навіть за відсутності компромісу організації повинні негайно застосувати виправлення, видані Ivanti, щоб забезпечити безпеку.
Експлойти активні з квітня 2023 року
CVE-2023-35078 часто використовувався учасниками APT з квітня 2023 року. Вони використовували скомпрометовані маршрутизатори SOHO, зокрема маршрутизатори ASUS, як проксі-сервери для цільової інфраструктури. NCSC-NO спостерігав, як актори використовують цю вразливість для отримання початкового доступу до пристроїв EPMM. Опинившись усередині, актори виконували різні дії, такі як виконання довільних запитів LDAP до Active Directory, отримання кінцевих точок LDAP, перелік користувачів і адміністраторів за допомогою шляхів API та внесення змін у конфігурацію пристрою EPMM. Конкретні зміни конфігурації, зроблені акторами, залишаються невідомими.
Учасники APT регулярно перевіряли журнали аудиту EPMM Core, щоб приховати сліди, і видалили деякі свої записи в журналах Apache httpd за допомогою шкідливої програми Tomcat «mi.war» на основі keywords.txt. Записи журналу, що містять "Firefox/107.0", були видалені.
Для спілкування з EPMM актори використовували користувальницькі агенти Linux і Windows, насамперед Firefox/107.0. Хоча інші агенти вступили в гру, вони не залишили слідів у журналах пристроїв. Точний метод, який використовували зловмисники для виконання команд оболонки на пристрої EPMM, залишається непідтвердженим. NCSC-NO підозрює, що вони використовували CVE-2023-35081 для завантаження веб-оболонок і виконання команд.
Для тунелювання трафіку з Інтернету до принаймні одного недоступного сервера Exchange учасники APT використовували Ivanti Sentry, шлюз додатків, що підтримує EPMM. Однак точна техніка, використана для цього тунелювання, залишається невідомою.
Використання вразливостей Ivanti EPMM: загрозливі суб’єкти нишпорять скріншотів
