利用 Ivanti EPMM 漏洞：潜伏的威胁参与者

为了应对持续的网络威胁，网络安全和基础设施安全局（CISA）和挪威国家网络安全中心（NCSC-NO）联合发布了重要的网络安全咨询（CSA）。他们正在解决两个漏洞的利用问题，即 CVE-2023-35078 和 CVE-2023-35081。这些漏洞受到高级持续威胁 (APT) 攻击者的攻击，他们从 2023 年 4 月到 2023 年 7 月利用 CVE-2023-35078 作为零日漏洞。APT 攻击者利用此漏洞从多个挪威组织收集敏感信息，并成功破坏了挪威政府机构的网络。为了解决安全风险，软件供应商Ivanti分别于2023年7月23日和2023年7月28日发布了针对这两个漏洞的补丁。 NCSC-NO 还观察到了 CVE-2023-35081 和 CVE-2023-35078 可能存在的漏洞链，表明存在复杂且潜在有害的网络威胁。

CVE-2023-35078 和 CVE-2023-35081 背后隐藏着什么？

CVE-2023-35078 对 Ivanti Endpoint Manager Mobile (EPMM)（以前称为 MobileIron Core）构成严重风险，因为它允许威胁参与者访问个人身份信息 (PII) 并在受感染的系统上进行配置更改。同时，CVE-2023-35081 向具有 EPMM 管理员权限的参与者授予使用 EPMM Web 应用程序服务器的操作系统权限写入任意文件的能力。威胁参与者可以获得对 EPMM 系统的初始特权访问权限，并通过将这些漏洞链接在一起来执行 Web shell 等上传的文件。由于 EPMM 等移动设备管理 (MDM) 系统提供了对众多移动设备的更高访问权限，因此它们已成为威胁参与者的有吸引力的目标，特别是考虑到以前对 MobileIron 漏洞的利用。鉴于政府和私营部门网络中广泛利用的可能性，CISA 和 NCSC-NO 对这些安全威胁表示严重关切。

在此网络安全咨询(CSA) 中，NCSC-NO 分享了在调查过程中发现的妥协指标 (IOC)、策略、技术和程序 (TTP)。 CSA 包含一个核心模板，有助于识别未打补丁的设备，并为组织提供检测指导，以主动搜索受损迹象。 CISA 和 NCSC-NO 强烈鼓励组织使用检测指南来检测恶意活动。如果检测到任何潜在的危害，组织应遵循 CSA 中概述的事件响应建议。即使没有受到损害，组织也必须应用 Ivanti 发布的补丁来及时确保安全。

自 2023 年 4 月以来活跃的漏洞利用

自 2023 年 4 月以来，CVE-2023-35078 一直是 APT 攻击者经常利用的目标。他们利用受感染的 SOHO 路由器（包括华硕路由器）作为目标基础设施的代理。 NCSC-NO 观察到攻击者利用此漏洞获得对 EPMM 设备的初始访问权限。一旦进入内部，攻击者就会执行各种活动，例如针对 Active Directory 执行任意 LDAP 查询、检索 LDAP 端点、使用 API 路径列出用户和管理员以及在 EPMM 设备上进行配置更改。参与者所做的具体配置更改仍然未知。

APT 攻击者定期检查 EPMM Core 审核日志以掩盖他们的踪迹，并使用基于 keywords.txt 的恶意 Tomcat 应用程序“mi.war”删除了 Apache httpd 日志中的一些条目。包含“Firefox/107.0”的日志条目已被删除。

为了与 EPMM 进行通信，攻击者使用 Linux 和 Windows 用户代理，主要是 Firefox/107.0。尽管其他代理也发挥了作用，但它们并没有在设备日志中留下痕迹。威胁行为者在 EPMM 设备上运行 shell 命令的确切方法仍未得到证实。 NCSC-NO 怀疑他们利用 CVE-2023-35081 上传 Web shell 并执行命令。

为了将流量从互联网传输到至少一台无法访问的 Exchange 服务器，APT 攻击者采用了 Ivanti Sentry，这是一种支持 EPMM 的应用程序网关设备。然而，用于这种隧道的确切技术仍然未知。

利用 Ivanti EPMM 漏洞：潜伏的威胁参与者 截图