A vulnerabilidade de dia zero recentemente corrigida que afeta o produto Endpoint Manager Mobile (EPMM) da Ivanti foi explorada por um grupo de ameaças persistentes avançadas (APT) desde pelo menos abril de 2023.
Na terça-feira, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética da Noruega (NCSC-NO) publicaram um comunicado conjunto descrevendo as vulnerabilidades dos produtos Ivanti e seu uso em ataques direcionados a organizações norueguesas.
Os ataques vieram à tona em 24 de julho, quando as autoridades norueguesas anunciaram que uma dúzia de ministérios do governo havia sido alvo de um ataque cibernético envolvendo a exploração do CVE-2023-35078, um dia zero do Ivanti EPMM que permite que um hacker não autenticado obtenha informações de identificação pessoal e fazer alterações nos sistemas afetados.
Alguns dias depois, Ivanti revelou que o CVE-2023-35078 pode ser explorado em conjunto com uma segunda vulnerabilidade, rastreada como CVE-2023-35081, para contornar as restrições de autenticação e lista de controle de acesso (ACL). A empresa alertou que ambas as vulnerabilidades foram exploradas em ataques.
De acordo com o novo comunicado publicado pela CISA e NCSC-NO, atores anônimos do APT “exploraram o CVE-2023-35078 como um dia zero de pelo menos abril de 2023 a julho de 2023 para coletar informações de várias organizações norueguesas, bem como obter acesso e comprometer a rede de uma agência do governo norueguês.”
O encadeamento das duas vulnerabilidades do EPMM permite que os hackers obtenham acesso privilegiado ao sistema e executem arquivos carregados, incluindo webshells. Embora ainda não tenha sido confirmado, o NCSC-NO acredita que o APT explorou o CVE-2023-35081 para fazer upload de webshells no dispositivo EPMM e executar comandos.
O invasor aproveitou roteadores SOHO comprometidos – roteadores Asus foram nomeados no comunicado – como um proxy.
EPMM, anteriormente conhecido como MobileIron Core, é um mecanismo de software de gerenciamento móvel usado por equipes de TI para definir políticas para dispositivos móveis, aplicativos e conteúdo.
A CISA e a NCSC-NO disseram estar “preocupadas com o potencial de exploração generalizada de ambas as vulnerabilidades nas redes do governo e do setor privado, porque os sistemas MDM fornecem acesso elevado a milhares de dispositivos móveis”.
O consultivo escrito por CISA e NCSC-NO inclui indicadores de comprometimento (IoCs), instruções para determinar se um sistema é vulnerável, etapas de resposta a incidentes e mitigações.
A exploração dos dois dias zero pode aumentar, considerando que existem milhares de sistemas expostos à Internet potencialmente vulneráveis e o código de prova de conceito (PoC) para as falhas está se tornando disponível.
: