Hakeri napredne trajne prijetnje (APT) iskoristili su nedavno otkrivenu kritičnu grešku koja utiče na Ivanti Endpoint Manager Mobile (EPMM) kao nulti dan od najmanje aprila 2023. godine u napadima usmjerenim protiv norveških entiteta, uključujući vladinu mrežu.
Objava dolazi kao dio novog zajedničkog savjeta koji su u utorak objavili Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) i Norveški nacionalni centar za kibernetičku sigurnost (NCSC-NO). Tačan identitet ili porijeklo hakera ostaje nejasan.
“Glumci APT-a su koristili CVE-2023-35078 najmanje od aprila 2023. godine”, kažu vlasti. “Glumci su iskoristili kompromitovane rutere male kancelarije/kućne kancelarije (SOHO), uključujući ASUS rutere, za proxy ciljanu infrastrukturu.’
CVE-2023-35078 se odnosi na ozbiljnu grešku koja omogućava hakerima da pristupe ličnim identifikacionim informacijama (PII) i steknu mogućnost da izvrše promene konfiguracije na kompromitovanim sistemima. Može se povezati sa drugom ranjivošću, CVE-2023-35081, da izazove neželjene posljedice na ciljanim uređajima.
Uspješno iskorištavanje dvostrukih ranjivosti omogućava protivnicima sa EPMM administratorskim privilegijama da pišu proizvoljne datoteke, kao što su web ljuske, sa privilegijama operativnog sistema EPMM servera web aplikacija.
Hakeri su također primijećeni kako tuneliraju saobraćaj sa interneta preko Ivanti Sentry, aplikacionog gateway uređaja koji podržava EPMM, do najmanje jednog Exchange servera kojem nije bilo moguće pristupiti sa interneta, iako je trenutno nepoznato kako je to postignuto.
Daljnja analiza je otkrila prisustvo WAR datoteke pod nazivom “mi.war” na Ivanti Sentry, koja je opisana kao maliciozna Tomcat aplikacija koja briše unose dnevnika na osnovu specifičnog niza – “Firefox/107.0” – sadržanog u tekstualnoj datoteci.
“APT hakeri su koristili Linux i Windows korisničke agente sa Firefox/107.0 za komunikaciju sa EPMM-om”, navode agencije. “Sistemi za upravljanje mobilnim uređajima (MDM) su atraktivne mete za hakere jer pružaju poboljšan pristup hiljadama mobilnih uređaja.”
Većina od 5.500 EPMM servera na internetu nalazi se u Njemačkoj, a zatim slijede SAD, Velika Britanija, Francuska, Švicarska, Nizozemska, Hong Kong, Austrija, Kina i Švedska, prema Palo Alto Networks Unit 42.
Kako bi se ublažila stalna prijetnja, preporučuje se da organizacije primjene najnovije zakrpe što je prije moguće, da nalažu višefaktorsku autentifikaciju otpornu na krađu identiteta (MFA) za svo osoblje i usluge i validiraju sigurnosne kontrole kako bi testirale njihovu učinkovitost.
Izvor: The Hacker News