Khai thác các lỗ hổng EPMM của Ivanti: Các tác nhân đe dọa đang rình mò
Để đối phó với các mối đe dọa mạng đang diễn ra, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Trung tâm An ninh mạng Quốc gia Na Uy (NCSC-NO) đã cùng nhau ban hành Tư vấn An ninh mạng (CSA) quan trọng. Họ đang giải quyết việc khai thác hai lỗ hổng , đó là CVE-2023-35078 và CVE-2023-35081. Các lỗ hổng này đã bị tấn công bởi các tác nhân đe dọa liên tục nâng cao (APT), những kẻ đã khai thác CVE-2023-35078 dưới dạng zero-day từ tháng 4 năm 2023 cho đến tháng 7 năm 2023. Các tác nhân APT đã sử dụng lỗ hổng này để thu thập thông tin nhạy cảm từ nhiều tổ chức Na Uy và xâm nhập thành công mạng của một cơ quan chính phủ Na Uy. Để giải quyết các rủi ro bảo mật, nhà cung cấp phần mềm Ivanti đã phát hành các bản vá cho cả hai lỗ hổng lần lượt vào ngày 23 tháng 7 năm 2023 và ngày 28 tháng 7 năm 2023. NCSC-NO cũng đã quan sát thấy chuỗi lỗ hổng có thể xảy ra của CVE-2023-35081 và CVE-2023-35078, cho thấy một mối đe dọa mạng phức tạp và có khả năng gây hại.
Mục lục
Điều gì nằm sau CVE-2023-35078 và CVE-2023-35081?
CVE-2023-35078 đặt ra rủi ro nghiêm trọng đối với Ivanti Endpoint Manager Mobile (EPMM), trước đây được gọi là MobileIron Core, vì nó cho phép các tác nhân đe dọa truy cập thông tin nhận dạng cá nhân (PII) và thực hiện thay đổi cấu hình trên các hệ thống bị xâm nhập. Trong khi đó, CVE-2023-35081 cấp cho các tác nhân có đặc quyền quản trị viên EPMM khả năng ghi các tệp tùy ý với các đặc quyền hệ điều hành của máy chủ ứng dụng web EPMM. Các tác nhân đe dọa có thể có quyền truy cập ban đầu, đặc quyền vào các hệ thống EPMM và thực thi các tệp đã tải lên như Web shell bằng cách xâu chuỗi các lỗ hổng này lại với nhau. Vì các hệ thống Quản lý thiết bị di động (MDM) như EPMM cung cấp quyền truy cập nâng cao vào nhiều thiết bị di động, chúng đã trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa, đặc biệt là xem xét các lần khai thác lỗ hổng MobileIron trước đây. Với tiềm năng khai thác rộng rãi trong các mạng của chính phủ và khu vực tư nhân, CISA và NCSC-NO bày tỏ mối lo ngại nghiêm trọng về các mối đe dọa bảo mật này.
Trong Tư vấn An ninh mạng (CSA) này, NCSC-NO chia sẻ các chỉ số về sự xâm phạm (IOC), chiến thuật, kỹ thuật và quy trình (TTP) được phát hiện trong quá trình điều tra của họ. CSA kết hợp một mẫu hạt nhân, hỗ trợ xác định các thiết bị chưa được vá lỗi và cung cấp hướng dẫn phát hiện cho các tổ chức để chủ động tìm kiếm các dấu hiệu xâm phạm. CISA và NCSC-NO khuyến khích mạnh mẽ các tổ chức sử dụng hướng dẫn phát hiện để phát hiện hoạt động độc hại. Nếu phát hiện bất kỳ sự xâm phạm tiềm ẩn nào, các tổ chức nên tuân theo các khuyến nghị ứng phó sự cố được nêu trong CSA. Ngay cả khi không có sự thỏa hiệp, các tổ chức phải áp dụng các bản vá mà Ivanti đã phát hành để đảm bảo an ninh kịp thời.
Khai thác hoạt động kể từ tháng 4 năm 2023
CVE-2023-35078 là đối tượng khai thác thường xuyên của những kẻ tấn công APT kể từ tháng 4 năm 2023. Chúng sử dụng các bộ định tuyến SOHO bị xâm phạm, bao gồm cả bộ định tuyến ASUS, làm proxy để nhắm mục tiêu vào cơ sở hạ tầng. NCSC-NO đã quan sát thấy các tác nhân tận dụng lỗ hổng này để có quyền truy cập ban đầu vào các thiết bị EPMM. Sau khi vào bên trong, các tác nhân đã thực hiện nhiều hoạt động khác nhau, chẳng hạn như thực hiện các truy vấn LDAP tùy ý đối với Active Directory, truy xuất các điểm cuối LDAP, liệt kê người dùng và quản trị viên bằng đường dẫn API và thực hiện thay đổi cấu hình trên thiết bị EPMM. Các thay đổi cấu hình cụ thể do các diễn viên thực hiện vẫn chưa được biết.
Những kẻ tấn công APT thường xuyên kiểm tra nhật ký kiểm tra EPMM Core để che dấu vết của chúng và xóa một số mục nhập của chúng trong nhật ký httpd của Apache bằng cách sử dụng ứng dụng Tomcat độc hại "mi.war" dựa trên từ khóa.txt. Các mục nhật ký chứa "Firefox/107.0" đã bị xóa.
Để liên lạc với EPMM, các tác nhân đã sử dụng tác nhân người dùng Linux và Windows, chủ yếu là Firefox/107.0. Mặc dù các tác nhân khác đã tham gia nhưng chúng không để lại dấu vết trong nhật ký thiết bị. Phương pháp chính xác mà các tác nhân đe dọa sử dụng để chạy các lệnh shell trên thiết bị EPMM vẫn chưa được xác nhận. NCSC-NO nghi ngờ rằng họ đã khai thác CVE-2023-35081 để tải Web shell lên và thực thi các lệnh.
Để tạo đường hầm lưu lượng truy cập từ internet đến ít nhất một máy chủ Exchange không thể truy cập, những kẻ tấn công APT đã sử dụng Ivanti Sentry, một thiết bị cổng ứng dụng hỗ trợ EPMM. Tuy nhiên, kỹ thuật chính xác được sử dụng cho đường hầm này vẫn chưa được biết.
Khai thác các lỗ hổng EPMM của Ivanti: Các tác nhân đe dọa đang rình mò ảnh chụp màn hình
