Ausnutzung von Ivanti EPMM-Schwachstellen: Bedrohungsakteure auf der Jagd
Als Reaktion auf die anhaltenden Cyber-Bedrohungen haben die Cybersecurity and Infrastructure Security Agency (CISA) und das norwegische National Cyber Security Centre (NCSC-NO) gemeinsam eine wichtige Cybersecurity Advisory (CSA) herausgegeben. Sie befassen sich mit der Ausnutzung zweier Schwachstellen , nämlich CVE-2023-35078 und CVE-2023-35081. Diese Schwachstellen wurden von APT-Akteuren (Advanced Persistent Threat) angegriffen, die von April 2023 bis Juli 2023 CVE-2023-35078 als Zero-Day ausnutzten. Die APT-Akteure nutzten diese Schwachstelle, um vertrauliche Informationen von verschiedenen norwegischen Organisationen und Organisationen zu sammeln hat das Netzwerk einer norwegischen Regierungsbehörde erfolgreich kompromittiert. Um den Sicherheitsrisiken zu begegnen, hat der Softwareanbieter Ivanti am 23. Juli 2023 bzw. 28. Juli 2023 Patches für beide Schwachstellen veröffentlicht. Das NCSC-NO hat außerdem eine mögliche Verkettung der Schwachstellen CVE-2023-35081 und CVE-2023-35078 beobachtet, was auf eine komplexe und potenziell schädliche Cyber-Bedrohung hinweist.
Inhaltsverzeichnis
Was steckt hinter CVE-2023-35078 und CVE-2023-35081?
CVE-2023-35078 stellt ein kritisches Risiko für Ivanti Endpoint Manager Mobile (EPMM), früher bekannt als MobileIron Core, dar, da es Bedrohungsakteuren ermöglicht, auf personenbezogene Daten (PII) zuzugreifen und Konfigurationsänderungen auf gefährdeten Systemen vorzunehmen. Unterdessen gewährt CVE-2023-35081 Akteuren mit EPMM-Administratorrechten die Möglichkeit, beliebige Dateien mit den Betriebssystemrechten des EPMM-Webanwendungsservers zu schreiben. Bedrohungsakteure können sich ersten, privilegierten Zugriff auf EPMM-Systeme verschaffen und hochgeladene Dateien wie Web-Shells ausführen, indem sie diese Schwachstellen miteinander verketten. Da Mobile Device Management (MDM)-Systeme wie EPMM einen erhöhten Zugriff auf zahlreiche Mobilgeräte ermöglichen, sind sie zu attraktiven Zielen für Bedrohungsakteure geworden, insbesondere angesichts früherer Exploits von MobileIron-Schwachstellen. Angesichts des Potenzials einer weitreichenden Ausbeutung in Netzwerken der Regierung und des Privatsektors äußern CISA und NCSC-NO ihre große Besorgnis über diese Sicherheitsbedrohungen.
In diesem Cybersecurity Advisory (CSA) teilt NCSC-NO Kompromittierungsindikatoren (IOCs), Taktiken, Techniken und Verfahren (TTPs) mit, die während ihrer Untersuchungen entdeckt wurden. Die CSA enthält eine Nuclei-Vorlage, die bei der Identifizierung nicht gepatchter Geräte hilft und Organisationen eine Erkennungsanleitung bietet, damit sie proaktiv nach Anzeichen einer Kompromittierung suchen können. CISA und NCSC-NO empfehlen Organisationen nachdrücklich, Erkennungsrichtlinien zu verwenden, um böswillige Aktivitäten zu erkennen. Sollte eine potenzielle Kompromittierung festgestellt werden, sollten Unternehmen die im CSA dargelegten Empfehlungen zur Reaktion auf Vorfälle befolgen. Auch ohne Kompromisse müssen Unternehmen die von Ivanti herausgegebenen Patches anwenden, um die Sicherheit umgehend zu gewährleisten.
Exploits aktiv seit April 2023
CVE-2023-35078 wird seit April 2023 häufig von APT-Akteuren ausgenutzt. Sie nutzten kompromittierte SOHO-Router, einschließlich ASUS-Router, als Proxys für die Zielinfrastruktur. NCSC-NO beobachtete, wie die Akteure diese Schwachstelle ausnutzten, um ersten Zugriff auf EPMM-Geräte zu erhalten. Sobald die Akteure drinnen waren, führten sie verschiedene Aktivitäten aus, wie etwa das Durchführen beliebiger LDAP-Abfragen an Active Directory, das Abrufen von LDAP-Endpunkten, das Auflisten von Benutzern und Administratoren mithilfe von API-Pfaden und das Vornehmen von Konfigurationsänderungen auf dem EPMM-Gerät. Die von den Akteuren vorgenommenen spezifischen Konfigurationsänderungen bleiben unbekannt.
Die APT-Akteure überprüften regelmäßig die Audit-Protokolle des EPMM-Kerns, um ihre Spuren zu verwischen, und löschten einige ihrer Einträge in den Apache-httpd-Protokollen mithilfe der bösartigen Tomcat-Anwendung „mi.war“ basierend auf keywords.txt. Protokolleinträge mit „Firefox/107.0“ wurden gelöscht.
Für die Kommunikation mit EPMM verwendeten die Akteure Linux- und Windows-Benutzeragenten, hauptsächlich Firefox/107.0. Obwohl andere Agenten ins Spiel kamen, hinterließen sie keine Spuren in den Geräteprotokollen. Die genaue Methode, mit der die Bedrohungsakteure Shell-Befehle auf dem EPMM-Gerät ausgeführt haben, ist weiterhin unbestätigt. NCSC-NO vermutet, dass sie CVE-2023-35081 ausgenutzt haben, um Web-Shells hochzuladen und Befehle auszuführen.
Um den Datenverkehr aus dem Internet zu mindestens einem nicht erreichbaren Exchange-Server zu tunneln, setzten die APT-Akteure Ivanti Sentry ein, eine Application Gateway Appliance, die EPMM unterstützt. Die genaue Technik, die für diesen Tunnelbau verwendet wird, ist jedoch noch unbekannt.
Ausnutzung von Ivanti EPMM-Schwachstellen: Bedrohungsakteure auf der Jagd Screenshots
