マルチライセンス割引
Computer Security Ivanti EPMM の脆弱性を悪用: 徘徊する脅威アクター

Ivanti EPMM の脆弱性を悪用: 徘徊する脅威アクター

Computer SecurityChanceまで
翻訳内容:
日本語

進行中のサイバー脅威に対応して、サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) とノルウェー国家サイバーセキュリティセンター (NCSC-NO) は共同で重要なサイバーセキュリティ勧告 (CSA) を発行しました。彼らは、CVE-2023-35078 と CVE-2023-35081 という 2 つの脆弱性の悪用に対処しています。これらの脆弱性は、2023 年 4 月から 2023 年 7 月まで CVE-2023-35078 をゼロデイとして悪用した Advanced Persistent Threat (APT) 攻撃者による攻撃の対象となっていました。APT 攻撃者はこの脆弱性を利用して、ノルウェーのさまざまな組織から機密情報を収集し、ノルウェー政府機関のネットワークへの侵入に成功しました。セキュリティ リスクに対処するために、ソフトウェア ベンダーの Ivanti は、両方の脆弱性に対するパッチをそれぞれ 2023 年 7 月 23 日と 2023 年 7 月 28 日にリリースしました。 NCSC-NO は、CVE-2023-35081 と CVE-2023-35078 の脆弱性連鎖の可能性も観察しており、複雑で潜在的に有害なサイバー脅威を示しています。

CVE-2023-35078 および CVE-2023-35081 の背後にあるものは何ですか?

CVE-2023-35078 は、脅威アクターが個人識別情報 (PII) にアクセスし、侵害されたシステムの構成を変更できるため、以前は MobileIron Core として知られていた Ivanti Endpoint Manager Mobile (EPMM) に重大なリスクをもたらします。一方、CVE-2023-35081 では、EPMM 管理者権限を持つアクターに、EPMM Web アプリケーション サーバーのオペレーティング システム権限を使用して任意のファイルを書き込む権限が付与されます。脅威アクターは、これらの脆弱性を連鎖させることで、EPMM システムへの初期特権アクセスを取得し、Web シェルのようにアップロードされたファイルを実行する可能性があります。 EPMM のようなモバイル デバイス管理 (MDM) システムは、多数のモバイル デバイスへの昇格されたアクセスを提供するため、特に MobileIron の脆弱性の以前のエクスプロイトを考慮すると、脅威となる攻撃者にとって魅力的なターゲットとなっています。政府および民間部門のネットワークで広範な悪用が行われる可能性を考慮して、CISA と NCSC-NO はこれらのセキュリティ上の脅威に対して重大な懸念を表明しています。

このサイバーセキュリティ勧告(CSA) では、NCSC-NO は調査中に発見された侵害の兆候 (IOC)、戦術、技術、および手順 (TTP) を共有します。 CSA には、パッチが適用されていないデバイスの特定を支援するニュークリア テンプレートが組み込まれており、組織が侵害の兆候をプロアクティブに検索するための検出ガイダンスを提供します。 CISA と NCSC-NO は、組織が検出ガイダンスを使用して悪意のあるアクティビティを検出することを強く推奨します。潜在的な侵害が検出された場合、組織は CSA に概説されているインシデント対応の推奨事項に従う必要があります。セキュリティが侵害されていない場合でも、組織はセキュリティを確保するために Ivanti が発行したパッチを迅速に適用する必要があります。

2023 年 4 月以降にエクスプロイトが活発化

CVE-2023-35078 は、2023 年 4 月以来、APT 攻撃者による頻繁な悪用の対象となっています。攻撃者は、ASUS ルーターを含む侵害された SOHO ルーターをターゲット インフラストラクチャへのプロキシとして利用しました。 NCSC-NO は、攻撃者がこの脆弱性を利用して EPMM デバイスへの初期アクセスを取得していることを観察しました。攻撃者は侵入すると、Active Directory に対する任意の LDAP クエリの実行、LDAP エンドポイントの取得、API パスを使用したユーザーと管理者の一覧表示、EPMM デバイスの構成変更など、さまざまなアクティビティを実行しました。攻撃者によって行われた具体的な設定変更は不明のままです。

APT 攻撃者は定期的に EPMM Core 監査ログをチェックして痕跡を隠し、keywords.txt に基づいた悪意のある Tomcat アプリケーション「mi.war」を使用して Apache httpd ログ内のエントリの一部を削除しました。 「Firefox/107.0」を含むログエントリは削除されました。

EPMM との通信には、攻撃者は Linux および Windows ユーザー エージェント、主に Firefox/107.0 を使用しました。他のエージェントも介入しましたが、デバイスのログには痕跡を残していませんでした。脅威アクターが EPMM デバイス上でシェル コマンドを実行するために使用した正確な方法は未確認のままです。 NCSC-NOは、CVE-2023-35081を悪用してWebシェルをアップロードし、コマンドを実行したのではないかと疑っている。

インターネットから少なくとも 1 つのアクセスできない Exchange サーバーにトラフィックをトンネリングするために、APT 攻撃者は、EPMM をサポートするアプリケーション ゲートウェイ アプライアンスである Ivanti Sentry を採用しました。ただし、このトンネリングに使用される正確な技術は不明のままです。

Ivanti EPMM の脆弱性を悪用: 徘徊する脅威アクタースクリーンショット

読み込んでいます...