Explotación de las vulnerabilidades de Ivanti EPMM: Actores de amenazas al acecho
En respuesta a las amenazas cibernéticas en curso, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro Nacional de Seguridad Cibernética de Noruega (NCSC-NO) han emitido conjuntamente un importante Aviso de Seguridad Cibernética (CSA). Están abordando la explotación de dos vulnerabilidades , a saber, CVE-2023-35078 y CVE-2023-35081. Estas vulnerabilidades han sido objeto de ataques por parte de actores de amenazas persistentes avanzadas (APT), que explotaron CVE-2023-35078 como un día cero desde abril de 2023 hasta julio de 2023. Los actores de APT utilizaron esta vulnerabilidad para recopilar información confidencial de varias organizaciones noruegas y comprometió con éxito la red de una agencia del gobierno noruego. Para abordar los riesgos de seguridad, Ivanti, el proveedor de software, lanzó parches para ambas vulnerabilidades el 23 y el 28 de julio de 2023, respectivamente. El NCSC-NO también ha observado un posible encadenamiento de vulnerabilidades de CVE-2023-35081 y CVE-2023-35078, lo que indica una amenaza cibernética compleja y potencialmente dañina.
Tabla de contenido
¿Qué hay detrás de CVE-2023-35078 y CVE-2023-35081?
CVE-2023-35078 representa un riesgo crítico para Ivanti Endpoint Manager Mobile (EPMM), anteriormente conocido como MobileIron Core, ya que permite a los actores de amenazas acceder a información de identificación personal (PII) y realizar cambios de configuración en sistemas comprometidos. Mientras tanto, CVE-2023-35081 otorga a los actores con privilegios de administrador de EPMM la capacidad de escribir archivos arbitrarios con los privilegios del sistema operativo del servidor de aplicaciones web de EPMM. Los actores de amenazas pueden obtener acceso privilegiado inicial a los sistemas EPMM y ejecutar archivos cargados como shells web al encadenar estas vulnerabilidades. Dado que los sistemas de administración de dispositivos móviles (MDM) como EPMM brindan un acceso elevado a numerosos dispositivos móviles, se han convertido en objetivos atractivos para los actores amenazantes, especialmente considerando las vulnerabilidades anteriores de MobileIron. Dado el potencial de explotación generalizada en las redes gubernamentales y del sector privado, CISA y NCSC-NO expresan una gran preocupación por estas amenazas a la seguridad.
En este Aviso de ciberseguridad (CSA), NCSC-NO comparte indicadores de compromiso (IOC), tácticas, técnicas y procedimientos (TTP) descubiertos durante sus investigaciones. El CSA incorpora una plantilla de núcleos, que ayuda a identificar dispositivos sin parches y proporciona orientación de detección para que las organizaciones busquen signos de compromiso de manera proactiva. CISA y NCSC-NO recomiendan encarecidamente a las organizaciones que utilicen la guía de detección para detectar actividades maliciosas. Si se detecta algún compromiso potencial, las organizaciones deben seguir las recomendaciones de respuesta a incidentes descritas en el CSA. Incluso en ausencia de compromiso, las organizaciones deben aplicar los parches emitidos por Ivanti para garantizar la seguridad con prontitud.
Explotaciones activas desde abril de 2023
CVE-2023-35078 ha sido un tema frecuente de explotación por parte de los actores de APT desde abril de 2023. Utilizaron enrutadores SOHO comprometidos, incluidos los enrutadores ASUS, como servidores proxy para la infraestructura de destino. NCSC-NO observó que los actores aprovecharon esta vulnerabilidad para obtener acceso inicial a los dispositivos EPMM. Una vez dentro, los actores realizaron diversas actividades, como realizar consultas LDAP arbitrarias en Active Directory, recuperar puntos finales LDAP, enumerar usuarios y administradores que utilizan rutas API y realizar cambios de configuración en el dispositivo EPMM. Los cambios de configuración específicos realizados por los actores siguen siendo desconocidos.
Los actores de APT revisaron regularmente los registros de auditoría de EPMM Core para cubrir sus huellas y eliminaron algunas de sus entradas en los registros httpd de Apache usando la aplicación maliciosa de Tomcat "mi.war" basada en keywords.txt. Se eliminaron las entradas de registro que contenían "Firefox/107.0".
Para la comunicación con EPMM, los actores utilizaron agentes de usuario de Linux y Windows, principalmente Firefox/107.0. Aunque entraron en juego otros agentes, no dejaron rastros en los registros del dispositivo. El método exacto que emplearon los actores de amenazas para ejecutar comandos de shell en el dispositivo EPMM sigue sin confirmarse. NCSC-NO sospecha que explotaron CVE-2023-35081 para cargar shells web y ejecutar comandos.
Para canalizar el tráfico de Internet a al menos un servidor de Exchange inaccesible, los actores de APT emplearon Ivanti Sentry, un dispositivo de puerta de enlace de aplicaciones compatible con EPMM. Sin embargo, la técnica exacta utilizada para este túnel sigue siendo desconocida.
Explotación de las vulnerabilidades de Ivanti EPMM: Actores de amenazas al acecho capturas de pantalla
