0
0
O primeiro dia zero detectado
Na semana passada, relatamos uma vulnerabilidade de acesso remoto não autenticado à API (CVE-2023-35078) afetando o Ivanti EPMM, tendo sido explorada para atingir os ministérios noruegueses .
A empresa afirmou que a vulnerabilidade afetou um número limitado de clientes e lançou um patch, mas não compartilhou nenhum outro detalhe ou indicador de comprometimento com o público.
Mas a comunidade de infosec rapidamente descobriu o ponto final da API vulnerável , a natureza da vulnerabilidade, como ela pode ser explorada e como as organizações podem verificar se a vulnerabilidade foi explorada em seus sistemas.
Sobre CVE-2023-35081
O CVE-2023-35081, descoberto com a ajuda de pesquisadores da Mnemonic , é uma vulnerabilidade arbitrária remota de gravação de arquivo que pode permitir que um agente de ameaça crie, modifique ou exclua remotamente arquivos no servidor Ivanti EPMM.
“Essa vulnerabilidade pode ser usada em conjunto com o CVE-2023-35078, ignorando a autenticação do administrador e as restrições de ACLs (se aplicável)”, explicou a empresa .
“A exploração bem-sucedida pode ser usada para gravar arquivos maliciosos no dispositivo, permitindo que um agente mal-intencionado execute comandos do sistema operacional no dispositivo como o usuário tomcat.”
O CVE-2023-35081 também afeta todas as versões de EPMM com suporte (11.10, 11.9 e 11.8) e versões mais antigas. Um patch foi disponibilizado e os clientes são instados a atualizar o mais rápido possível, alertando que “o encadeamento dessas duas vulnerabilidades é o que representa o maior risco”.
O impacto
CVE-2023-35078 e CVE-2023-35081 foram usados juntos nos ataques.
CVE-2023-35078 – uma falha de desvio de autenticação – reduz a complexidade da execução do CVE-2023-35081 – que permite que invasores (agora atuando como um administrador autenticado) executem gravações arbitrárias de arquivos no servidor EPMM.
“No momento, estamos cientes apenas do mesmo número limitado de clientes afetados pelo CVE-2023-35078 como sendo afetados pelo CVE-2023-35081”, observou Ivanti.
A empresa ainda não partilhou publicamente indicadores de compromisso porque “a situação ainda está a evoluir”. Eles estão dizendo aos clientes para entrar em contato com o Suporte Ivanti para obter orientação se suspeitarem que podem ter sido violados.
Ivanti também enfatizou que, tanto quanto eles podem dizer, esta vulnerabilidade não foi introduzida em seu processo de desenvolvimento de código de forma maliciosa. Além disso, o próprio Ivanti não foi violado por meio dessas vulnerabilidades.
ATUALIZAÇÃO (1º de agosto de 2023, 12h50 ET):
A CISA adicionou o CVE-2023-35081 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas e, juntamente com o Centro Nacional de Segurança Cibernética da Noruega (NCSC-NO), lançou um comunicado detalhando TTPs conhecidos empregados pelos invasores, IoCs de ataque e conselhos para respondentes de incidentes .
“Os atores do APT exploraram o CVE-2023-35078 desde pelo menos abril de 2023. Os atores aproveitaram roteadores comprometidos de pequenos escritórios/escritórios domésticos (SOHO), incluindo roteadores ASUS, para fazer proxy para a infraestrutura de destino, e o NCSC-NO observou os atores explorando o CVE -2023-35078 para obter acesso inicial aos dispositivos EPMM”, compartilharam as agências .
Os invasores executam consultas LDAP no Active Directory para recuperar terminais LDAP, listar usuários e administradores no dispositivo EPMM, fazer alterações de configuração nele, verificar e excluir vários logs e provavelmente instalar webshells.
FONTE: HELP NET SECURITY