.
Os invasores que exploraram um bug crítico da Ivanti para comprometer 12 agências governamentais norueguesas passaram pelo menos quatro meses examinando os sistemas das organizações e roubando dados antes que a invasão fosse descoberta e interrompida.
Em um assessoria conjunta divulgado na terça-feira, a Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA e o Centro Nacional de Segurança Cibernética da Noruega detalharam o ataque e alertaram sobre o “potencial de exploração generalizada” do software da Ivanti em redes governamentais e corporativas.
Essencialmente, esses sistemas já foram comprometidos por meio do código de bugs de Ivanti ou serão se a equipe de TI não estiver no controle dos patches.
O bug de segurança explorado estava no Endpoint Manager Mobile ou EPMM da Ivanti, anteriormente conhecido como MobileIron Core. É um produto de gerenciamento de dispositivo móvel (MDM) – uma classe de ferramenta que é um alvo extremamente atraente para bisbilhoteiros porque encontrar uma falha no código de gerenciamento pode potencialmente fornecer acesso a milhares de smartphones, tablets e computadores portáteis.
Hackers patrocinados pelo Estado chinêsanteriormente explorou um bug mais antigo do MobileIron.
Nem Ivanti nem a Noruega disseram quem estava por trás da recente exploração nem especularam sobre suas motivações.
Mas o que se sabe é que em 24 de julho as autoridades de segurança nacional da Noruega revelaram que criminosos exploraram um dia zero para comprometer uma plataforma de software usada por quase todas as agências governamentais do país – com exceção do gabinete do primeiro-ministro, o Ministério da Defesa, o Ministério da Justiça e Preparação para Emergências e o Ministério das Relações Exteriores.
Inicialmente, os noruegueses não nomearam o fornecedor – que agora sabemos ser Ivanti – nem o produto específico: Endpoint Manager Mobile.
Mais tarde naquele dia de julho, Ivanti confirmado os espiões exploraram o CVE-2023-35078 – uma vulnerabilidade de desvio de autenticação remota em seu conjunto de gerenciamento de dispositivos – e disseram que um patch para a vulnerabilidade foi lançado um dia antes.
A falha permite que bisbilhoteiros não autenticados acessem caminhos de API específicos, permitindo que eles extraiam informações pessoais e mexam com os dispositivos das pessoas.
“Atores de ameaças com acesso a esses caminhos de API podem acessar PII, como nomes, números de telefone e outros detalhes de dispositivos móveis de usuários no sistema vulnerável; fazer alterações de configuração em sistemas vulneráveis; enviar novos pacotes para terminais móveis; e acessar o Sistema de Posicionamento Global (GPS) se ativado”, disse a CISA e seus parceiros.
Pouco depois de Ivanti confessar a confusão de segurança em 24 de julho, a Noruega confirmou que sim, bisbilhoteiros desconhecidos haviam usado a falha.
Mas espere, há mais
Quatro dias depois, Ivanti lançou um patch para uma segunda vulnerabilidade EPMM – CVE-2023-35081. Essa é uma falha que pode ser usada por administradores conectados para fazer upload de arquivos arbitrários para um servidor de aplicativos da web EPMM. Alguém poderia usar isso para fazer upload de um webshell para uma implantação vulnerável, executá-lo e controlar remotamente a caixa backdoor.
Ao encadear as duas falhas, os criminosos podem ignorar a autenticação, fazer upload de arquivos como administrador e, em seguida, executar esses arquivos para sequestrar o próprio sistema de gerenciamento, bem como seus dispositivos móveis conectados.
No comunicado conjunto, a CISA disse que os invasores apoiados pelo estado-nação exploraram o CVE-2023-35078 em abril, se não antes.
“Os atores aproveitaram roteadores comprometidos de pequenos escritórios/escritórios domésticos (SOHO), incluindo roteadores ASUS, para fazer proxy para a infraestrutura de destino”, dizia o comunicado, datado de 1º de agosto.
Específico para a violação do governo norueguês: os invasores exploraram o CVE-2023-35078 e, em seguida, realizaram atos nefastos, incluindo acessar recursos LDAP, listar usuários e administradores dos dispositivos, fazer algumas alterações na configuração do EPMM e verificar regularmente os logs de auditoria – provavelmente para ver se essas atividades tivessem sido detectadas.
Eles também enviaram mi[dot]war, um aplicativo malicioso do Tomcat que exclui entradas de log e o usou para excluir aquelas com a string Firefox/107.0.
Embora as agências governamentais não possam confirmar como os criminosos executaram comandos shell na infraestrutura EPMM, o NCSC-NO suspeita que eles exploraram o CVE-2023-35081 para fazer upload de um webshell e o usaram para executar comandos.
Além disso, os criminosos “encaminharam o tráfego da Internet por meio do Ivanti Sentry, um dispositivo de gateway de aplicativo que suporta EPMM, para pelo menos um servidor Exchange que não era acessível pela Internet”, disseram as agências.
Em uma análise separada publicada na sexta-feira, a Unidade 42 da Palo Alto Networks disse ter encontrado 5.500 servidores Ivanti Endpoint Manager Mobile na Internet, espalhados por 85 países.
“Uma dúzia ou mais de países tinham um único servidor presente no momento da nossa varredura, mas muitos países tinham dezenas cada, senão centenas”, os pesquisadores disse, observando que tanto a Alemanha quanto os EUA tinham mais de 1.000 servidores cada. ®
.
