استغل الجهات الفاعلة المتقدمة في التهديد المستمر (APT) عيبًا حاسمًا تم الكشف عنه مؤخرًا يؤثر على مدير نقطة نهاية Ivanti Mobile (EPMM) على أنه يوم صفر منذ ما لا يقل عن أبريل 2023 في هجمات موجهة ضد الكيانات النرويجية ، بما في ذلك شبكة حكومية.
يأتي هذا الإفصاح كجزء من استشارية مشتركة جديدة أصدرتها وكالة الأمن السيبراني والبنية التحتية (CISA) والمركز النرويجي للأمن السيبراني (NCSC-NO) يوم الثلاثاء. لا تزال الهوية الدقيقة أو أصل ممثل التهديد غير واضحة.
“لقد استغل الممثلون المناسبون CVE-2013-35078 منذ ما لا يقل عن أبريل 2023” ، السلطات قال. “تعرض الجهات الفاعلة للاستفادة من أجهزة التوجيه المكتبية/مكتب المنازل الصغيرة (SOHO) ، بما في ذلك أجهزة التوجيه ASUS ، إلى الوكيل لاستهداف البنية التحتية.”
يشير CVE-2023-35078 إلى عيب شديد يسمح للجهات الفاعلة بالتهديد بالوصول إلى معلومات التعريف الشخصية (PII) واكتساب القدرة على إجراء تغييرات في التكوين على الأنظمة المعرضة للخطر. يمكن ربطه بتعرض ثاني عشر ، CVE-2023-35081 ، للتسبب في عواقب غير مقصودة على الأجهزة المستهدفة.
الاستغلال الناجح لنقاط الضعف المزدوجة يجعل من الممكن للخصوم مع امتيازات مسؤول EPMM كتابة ملفات تعسفية ، مثل قذائف الويب ، مع امتيازات نظام التشغيل لخادم تطبيق الويب EPMM.
كما لوحظ المهاجمون حركة مرور النفق من الإنترنت عبر Ivanti Sentry ، وهو جهاز بوابة التطبيق الذي يدعم EPMM ، إلى خادم تبادل واحد على الأقل لا يمكن الوصول إليه من الإنترنت ، على الرغم من أنه من غير المعروف حاليًا كيف تم إنجاز ذلك.
كشف مزيد من التحليل عن وجود ملف حرب يسمى “mi.war” على ivanti sentry ، والذي تم وصفه بأنه تطبيق tomcat ضار يحذف إدخالات السجل بناءً على سلسلة محددة – “Firefox/107.0” – موجود في ملف نصي .
وقالت الوكالات: “استخدم الممثلون المنتظمون وكلاء مستخدمي Linux و Windows مع Firefox/107.0 للتواصل مع EPMM”. “تعد أنظمة إدارة الأجهزة المحمولة (MDM) أهدافًا جذابة للجهات الفاعلة للتهديدات لأنها توفر وصولًا مرتفعًا إلى الآلاف من الأجهزة المحمولة.”
تقع غالبية خوادم EPMM 5500 على الإنترنت في ألمانيا ، تليها الولايات المتحدة والمملكة المتحدة وفرنسا وسويسرا وهولندا وهونج كونج والنمسا والصين والسويد ، وفقًا ل وحدة شبكات بالو ألتو 42.
للتخفيف ضد تهديد مستمر، يوصى بتطبيق المؤسسات على أحدث التصحيحات في أقرب وقت ممكن ، وتنص على مصادقة متعددة العوامل المقاومة للتصيد (MFA) لجميع الموظفين والخدمات ، والتحقق من ضوابط الأمان لاختبار فعاليتها.
