Exploitation des vulnérabilités d'Ivanti EPMM : les acteurs de la menace à l'affût
En réponse aux cybermenaces en cours, l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et le Centre national norvégien de cybersécurité (NCSC-NO) ont publié conjointement un important avis de cybersécurité (CSA). Ils s'attaquent à l'exploitation de deux vulnérabilités , à savoir CVE-2023-35078 et CVE-2023-35081. Ces vulnérabilités ont fait l'objet d'attaques par des acteurs de menace persistante avancée (APT), qui ont exploité CVE-2023-35078 comme un jour zéro d'avril 2023 à juillet 2023. Les acteurs APT ont utilisé cette vulnérabilité pour recueillir des informations sensibles auprès de diverses organisations norvégiennes et réussi à compromettre le réseau d'une agence gouvernementale norvégienne. Pour faire face aux risques de sécurité, Ivanti, le fournisseur de logiciels, a publié des correctifs pour les deux vulnérabilités le 23 juillet 2023 et le 28 juillet 2023, respectivement. Le NCSC-NO a également observé un possible chaînage de vulnérabilités de CVE-2023-35081 et CVE-2023-35078, indiquant une cybermenace complexe et potentiellement dangereuse.
Table des matières
Que cache CVE-2023-35078 et CVE-2023-35081 ?
CVE-2023-35078 présente un risque critique pour Ivanti Endpoint Manager Mobile (EPMM), anciennement connu sous le nom de MobileIron Core, car il permet aux pirates d'accéder aux informations personnelles identifiables (PII) et d'apporter des modifications de configuration sur les systèmes compromis. Pendant ce temps, CVE-2023-35081 accorde aux acteurs disposant des privilèges d'administrateur EPMM la possibilité d'écrire des fichiers arbitraires avec les privilèges du système d'exploitation du serveur d'applications Web EPMM. Les auteurs de menaces peuvent obtenir un accès initial privilégié aux systèmes EPMM et exécuter des fichiers téléchargés comme des shells Web en enchaînant ces vulnérabilités. Comme les systèmes de gestion des appareils mobiles (MDM) comme EPMM offrent un accès élevé à de nombreux appareils mobiles, ils sont devenus des cibles attrayantes pour les acteurs menaçants, en particulier compte tenu des exploits précédents des vulnérabilités de MobileIron. Compte tenu du potentiel d'exploitation généralisée dans les réseaux gouvernementaux et du secteur privé, la CISA et le NCSC-NO expriment leur grave préoccupation face à ces menaces à la sécurité.
Dans cet avis de cybersécurité (CSA), le NCSC-NO partage les indicateurs de compromission (IOC), les tactiques, les techniques et les procédures (TTP) découverts au cours de leurs enquêtes. Le CSA intègre un modèle de noyau, aidant à identifier les appareils non corrigés, et fournit des conseils de détection aux organisations pour rechercher de manière proactive des signes de compromission. CISA et NCSC-NO encouragent fortement les organisations à utiliser des conseils de détection pour détecter les activités malveillantes. Si une compromission potentielle est détectée, les organisations doivent suivre les recommandations de réponse aux incidents décrites dans la CSA. Même en l'absence de compromis, les entreprises doivent appliquer les correctifs émis par Ivanti pour garantir rapidement la sécurité.
Exploits actifs depuis avril 2023
CVE-2023-35078 a été un sujet fréquent d'exploitation par les acteurs APT depuis avril 2023. Ils ont utilisé des routeurs SOHO compromis, y compris des routeurs ASUS, comme proxys pour cibler l'infrastructure. Le NCSC-NO a observé les acteurs tirant parti de cette vulnérabilité pour obtenir un accès initial aux appareils EPMM. Une fois à l'intérieur, les acteurs ont effectué diverses activités, telles que l'exécution de requêtes LDAP arbitraires sur Active Directory, la récupération de points de terminaison LDAP, la liste des utilisateurs et des administrateurs à l'aide de chemins d'API et la modification de la configuration sur l'appareil EPMM. Les modifications de configuration spécifiques apportées par les acteurs restent inconnues.
Les acteurs APT vérifiaient régulièrement les journaux d'audit EPMM Core pour brouiller les pistes et supprimaient certaines de leurs entrées dans les journaux Apache httpd à l'aide de l'application malveillante Tomcat "mi.war" basée sur keywords.txt. Les entrées de journal contenant le "Firefox/107.0" ont été supprimées.
Pour communiquer avec l'EPMM, les acteurs ont utilisé des agents utilisateurs Linux et Windows, principalement Firefox/107.0. Bien que d'autres agents soient entrés en jeu, ils n'ont pas laissé de traces dans les journaux des appareils. La méthode exacte utilisée par les pirates pour exécuter des commandes shell sur l'appareil EPMM reste à confirmer. NCSC-NO soupçonne qu'ils ont exploité CVE-2023-35081 pour télécharger des shells Web et exécuter des commandes.
Pour tunneliser le trafic d'Internet vers au moins un serveur Exchange inaccessible, les acteurs APT ont utilisé Ivanti Sentry, une appliance de passerelle d'application prenant en charge EPMM. Cependant, la technique exacte utilisée pour ce tunnelage reste inconnue.
Exploitation des vulnérabilités d'Ivanti EPMM : les acteurs de la menace à l'affût captures d'écran
