Ο αμερικανικός οργανισμός για την ασφάλεια στον κυβερνοχώρο και τις υποδομές (CISA) προειδοποίησε σήμερα για κρατικούς χάκερ που εκμεταλλεύονται δύο ελαττώματα στο Endpoint Manager Mobile (EPMM) της Ivanti, πρώην MobileIron Core, από τον Απρίλιο.
Δείτε επίσης: CISA: Προειδοποιεί τις κυβερνητικές υπηρεσίες να επιδιορθώσουν το σφάλμα Ivanti
“Οι δράστες προηγμένων διαρκών επιθέσεων (APT) εκμεταλλεύτηκαν το CVE-2023-35078 ως zero day τουλάχιστον από τον Απρίλιο του 2023 έως τον Ιούλιο του 2023 για να συλλέξουν πληροφορίες από διάφορους νορβηγικούς οργανισμούς, καθώς και για να αποκτήσουν πρόσβαση και να θέσουν σε κίνδυνο το δίκτυο μιας νορβηγικής κυβερνητικής υπηρεσίας”, ανέφερε η CISA την Τρίτη.
“Τα συστήματα διαχείρισης κινητών συσκευών (MDM) αποτελούν ελκυστικούς στόχους για τους δράστες επειδή παρέχουν αυξημένη πρόσβαση σε χιλιάδες κινητές συσκευές και οι δράστες APT έχουν εκμεταλλευτεί μια προηγούμενη ευπάθεια του MobileIron.
“Κατά συνέπεια, η CISA και η NCSC-NO ανησυχούν για το ενδεχόμενο ευρείας εκμετάλλευσης στα δίκτυα του κυβερνητικού και του ιδιωτικού τομέα”.
Ένα από τα ελαττώματα (CVE-2023-35078), μια κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας που αξιοποιήθηκε ως zero-day σε επιθέσεις με στόχο νορβηγικές κυβερνητικές οντότητες, μπορεί να συνδεθεί με ένα δεύτερο ελάττωμα διέλευσης καταλόγου (CVE-2023-35081) που επιτρέπει σε δράστες με δικαιώματα διαχειριστή να αναπτύξουν web shells.
Το ελάττωμα CVE-2023-35078 επιτρέπει στους εισβολείς να δημιουργήσουν τους λογαριασμούς διαχείρισης του EPMM που απαιτούνται για την αλυσιδωτή σύνδεση των δύο σφαλμάτων ασφαλείας.
Μετά την επιτυχή εκμετάλλευση, οι δράστες μπορούν να έχουν πρόσβαση σε συγκεκριμένες διαδρομές API, οδηγώντας ενδεχομένως σε κλοπή προσωπικών πληροφοριών (PII), με τα δεδομένα που έχουν παραβιαστεί να περιέχουν ονόματα, αριθμούς τηλεφώνων και άλλα στοιχεία κινητών συσκευών.
Η νορβηγική Αρχή Προστασίας Δεδομένων (DPA) ειδοποιήθηκε επίσης μετά τις επιθέσεις με στόχο τα δίκτυα των νορβηγικών οργανισμών, πιθανότατα λόγω ανησυχιών ότι οι χάκερ ενδέχεται να είχαν πρόσβαση ή/και να είχαν κλέψει ευαίσθητα δεδομένα από τα παραβιασμένα κυβερνητικά συστήματα.
Πρόταση: CISA: Οι ομοσπονδιακές υπηρεσίες πρέπει να ενημερώσουν άμεσα τους Adobe ColdFusion servers
Όπως αναφέρει η Shodan, υπάρχουν σήμερα περισσότερες από 2.300 προσβάσιμες πύλες χρηστών MobileIron που είναι εκτεθειμένες στο διαδίκτυο, συμπεριλαμβανομένων περισσότερων από δώδεκα που συνδέονται με τοπικές και πολιτειακές κυβερνητικές υπηρεσίες των ΗΠΑ.
Η σημερινή προειδοποίηση έρχεται ως κοινή συμβουλή που εκδόθηκε σε συνεργασία με το Εθνικό Κέντρο Κυβερνοασφάλειας της Νορβηγίας (NCSC-NO) και ακολουθεί μια εντολή που ζητά από τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να επιδιορθώσουν ένα από αυτά τα δύο ενεργά εκμεταλλευόμενα ελαττώματα έως τις 15 Αυγούστου.
Ο CISA διέταξε επίσης τη Δευτέρα τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν τα συστήματά τους έναντι της εκμετάλλευσης του CVE-2023-35081 έως τις 21 Αυγούστου.
“Αυτού του είδους οι ευπάθειες αποτελούν συχνό μέσο επίθεσης για κακόβουλους κυβερνοπρακτόρους και εγκυμονούν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”, προειδοποίησε η αμερικανική υπηρεσία κυβερνοασφάλειας πριν από μία εβδομάδα.
Με αυτά τα δεδομένα, οι ομάδες ασφαλείας και οι διαχειριστές καλούνται να αναβαθμίσουν άμεσα το Ivanti EPMM (MobileIron) στην πιο πρόσφατη έκδοση για να διασφαλίσουν τα συστήματά τους από τις συνεχιζόμενες επιθέσεις.
Θα πρέπει επίσης να θεωρούν τα συστήματα MDM ως περιουσιακά στοιχεία υψηλής αξίας (HVA) που απαιτούν επιπλέον περιορισμούς και παρακολούθηση, καθώς μπορούν να παρέχουν αυξημένη πρόσβαση σε δίκτυα χιλιάδων διαχειριζόμενων συσκευών.
Διαβάστε επίσης: CISA: Προειδοποιεί ομοσπονδιακούς οργανισμούς για το πρόσφατο Barracuda zero-day bug
πηγή πληροφοριών:bleepingcomputer.com