С апреля 2023 года злоумышленники продолжаютатаковать норвежские организации через уязвимость в Ivanti Endpoint Manager. Так примерно неделю назад пострадали сети сразу 12 министерств страны. Кого винить – пока неясно.
Ivanti Endpoint Manager Mobile (EPMM) – популярное решение для управления мобильными устройствами. О том, что именно его дефект помогает без труда скомпрометировать системы, сообщают американское Агентство кибербезопасности CISA и Норвежский центр кибербезопасности в совместном заявлении.
Анализ показал, что хакеры действовали через скомпрометированные домашние маршрутизаторы, в частности ASUS, для прокси-доступа к инфраструктуре жертв. Также в компонентах EPMM было найдено вредоносное ПО, маскирующее действия взломщиков – оно удаляло записи журнала по определённому алгоритму.
Кроме того, преступники туннелировали трафик в обход сетевой защиты к внутренним системам, таким как Exchange.
Дальнейший анализ обнаружил наличие WAR-файла под названием “mi.war” на шлюзе приложений Ivanti Sentry, поддерживающем EPMM. Этот файл описан как вредоносное приложение Tomcat, также удаляющее записи журнала на основании определенной строки – “Firefox/107.0”.
Было несложно туннелировать трафик по меньшей мере к одному серверу Exchange, недоступному из интернета, хотя неизвестно, как именно это было сделано.
Уязвимость позволяет хакерам заполучить конфиденциальные данные и контроль над настройками атакуемых сервисов. Ее можно объединить с другим дефектом, чтобы увеличить ущерб. Механизмы управления мобильными устройствами особенно удобны для атак из-за доступа к большому количеству целей.
Для защиты рекомендуется установить патчи безопасности, ввести многофакторную аутентификацию и усилить контроль за подозрительной активностью.