利用 Ivanti EPMM 漏洞：潛伏的威脅參與者

為了應對持續的網絡威脅，網絡安全和基礎設施安全局（CISA）和挪威國家網絡安全中心（NCSC-NO）聯合發布了重要的網絡安全諮詢（CSA）。他們正在解決兩個漏洞的利用問題，即 CVE-2023-35078 和 CVE-2023-35081。這些漏洞受到高級持續威脅 (APT) 攻擊者的攻擊，他們從 2023 年 4 月到 2023 年 7 月利用 CVE-2023-35078 作為零日漏洞。APT 攻擊者利用此漏洞從多個挪威組織收集敏感信息，並成功破壞了挪威政府機構的網絡。為了解決安全風險，軟件供應商Ivanti分別於2023年7月23日和2023年7月28日發布了針對這兩個漏洞的補丁。 NCSC-NO 還觀察到了 CVE-2023-35081 和 CVE-2023-35078 可能存在的漏洞鏈，表明存在復雜且潛在有害的網絡威脅。

CVE-2023-35078 和 CVE-2023-35081 背後隱藏著什麼？

CVE-2023-35078 對 Ivanti Endpoint Manager Mobile (EPMM)（以前稱為 MobileIron Core）構成嚴重風險，因為它允許威脅參與者訪問個人身份信息 (PII) 並在受感染的系統上進行配置更改。同時，CVE-2023-35081 向具有 EPMM 管理員權限的參與者授予使用 EPMM Web 應用程序服務器的操作系統權限寫入任意文件的能力。威脅參與者可以獲得對 EPMM 系統的初始特權訪問權限，並通過將這些漏洞鏈接在一起來執行 Web shell 等上傳的文件。由於 EPMM 等移動設備管理 (MDM) 系統提供了對眾多移動設備的更高訪問權限，因此它們已成為威脅參與者的有吸引力的目標，特別是考慮到以前對 MobileIron 漏洞的利用。鑑於政府和私營部門網絡中廣泛利用的可能性，CISA 和 NCSC-NO 對這些安全威脅表示嚴重關切。

在此網絡安全諮詢(CSA) 中，NCSC-NO 分享了在調查過程中發現的妥協指標 (IOC)、策略、技術和程序 (TTP)。 CSA 包含一個核心模板，有助於識別未打補丁的設備，並為組織提供檢測指導，以主動搜索受損跡象。 CISA 和 NCSC-NO 強烈鼓勵組織使用檢測指南來檢測惡意活動。如果檢測到任何潛在的危害，組織應遵循 CSA 中概述的事件響應建議。即使沒有受到損害，組織也必須應用 Ivanti 發布的補丁來及時確保安全。

自 2023 年 4 月以來活躍的漏洞利用

自 2023 年 4 月以來，CVE-2023-35078 一直是 APT 攻擊者經常利用的目標。他們利用受感染的 SOHO 路由器（包括華碩路由器）作為目標基礎設施的代理。 NCSC-NO 觀察到攻擊者利用此漏洞獲得對 EPMM 設備的初始訪問權限。一旦進入內部，攻擊者就會執行各種活動，例如針對 Active Directory 執行任意 LDAP 查詢、檢索 LDAP 端點、使用 API 路徑列出用戶和管理員以及在 EPMM 設備上進行配置更改。參與者所做的具體配置更改仍然未知。

APT 攻擊者定期檢查 EPMM Core 審核日誌以掩蓋他們的踪跡，並使用基於 keywords.txt 的惡意 Tomcat 應用程序“mi.war”刪除了 Apache httpd 日誌中的一些條目。包含“Firefox/107.0”的日誌條目已被刪除。

為了與 EPMM 進行通信，攻擊者使用 Linux 和 Windows 用戶代理，主要是 Firefox/107.0。儘管其他代理也發揮了作用，但它們並沒有在設備日誌中留下痕跡。威脅行為者在 EPMM 設備上運行 shell 命令的確切方法仍未得到證實。 NCSC-NO 懷疑他們利用 CVE-2023-35081 上傳 Web shell 並執行命令。

為了將流量從互聯網傳輸到至少一台無法訪問的 Exchange 服務器，APT 攻擊者採用了 Ivanti Sentry，這是一種支持 EPMM 的應用程序網關設備。然而，用於這種隧道的確切技術仍然未知。

利用 Ivanti EPMM 漏洞：潛伏的威脅參與者 截图