Entitas Norwegia Menjadi Target dalam Serangan Berkelanjutan yang Memanfaatkan Kerentanan Ivanti EPMM
02 Agustus 2023Ruang BeritaKerentanan / Serangan Cyber
Pelaku ancaman persisten tingkat lanjut (APT) mengeksploitasi kelemahan kritis yang baru-baru ini diungkapkan yang berdampak pada Ivanti Endpoint Manager Mobile (EPMM) sebagai zero-day setidaknya sejak April 2023 dalam serangan yang ditujukan terhadap entitas Norwegia, termasuk jaringan pemerintah.
Pengungkapan ini dilakukan sebagai bagian dari nasihat bersama baru yang dikeluarkan oleh Badan Keamanan Siber dan Infrastruktur (CISA) dan Pusat Keamanan Siber Nasional Norwegia (NCSC-NO) pada hari Selasa. Identitas pasti atau asal usul pelaku ancaman masih belum jelas.
“Pelaku APT telah mengeksploitasi CVE-2023-35078 setidaknya sejak April 2023,” kata pihak berwenang. “Para pelaku memanfaatkan router small office/home office (SOHO) yang telah dikompromikan, termasuk router ASUS, untuk melakukan proxy ke infrastruktur target.’
CVE-2023-35078 mengacu pada kelemahan parah yang memungkinkan pelaku ancaman mengakses informasi pengenal pribadi (PII) dan mendapatkan kemampuan untuk membuat perubahan konfigurasi pada sistem yang disusupi. Hal ini dapat dikaitkan dengan kerentanan kedua, CVE-2023-35081, yang menyebabkan konsekuensi yang tidak diinginkan pada perangkat yang ditargetkan.
Eksploitasi kerentanan kembar yang berhasil memungkinkan musuh dengan hak administrator EPMM untuk menulis file arbitrer, seperti shell web, dengan hak istimewa sistem operasi server aplikasi web EPMM.
Para penyerang juga telah mengamati terowongan lalu lintas dari internet melalui Ivanti Sentry, sebuah alat gateway aplikasi yang mendukung EPMM, ke setidaknya satu server Exchange yang tidak dapat diakses dari internet, meskipun saat ini tidak diketahui bagaimana hal ini dapat dilakukan.
Analisis lebih lanjut telah mengungkapkan keberadaan file WAR bernama “mi.war” di Ivanti Sentry, yang digambarkan sebagai aplikasi Tomcat berbahaya yang menghapus entri log berdasarkan string tertentu – “Firefox/107.0” – yang terkandung dalam file teks .
“Pelaku APT menggunakan agen pengguna Linux dan Windows dengan Firefox/107.0 untuk berkomunikasi dengan EPMM,” kata agensi tersebut. “Sistem manajemen perangkat seluler (MDM) adalah target yang menarik bagi pelaku ancaman karena memberikan akses yang lebih baik ke ribuan perangkat seluler.”
Mayoritas dari 5.500 server EPMM di internet berlokasi di Jerman, diikuti oleh AS, Inggris, Prancis, Swiss, Belanda, Hong Kong, Austria, Tiongkok, dan Swedia, menurut Palo Alto Networks Unit 42.
Untuk memitigasi ancaman yang sedang berlangsung, disarankan agar organisasi menerapkan patch terbaru sesegera mungkin, mewajibkan autentikasi multi-faktor (MFA) yang tahan terhadap phishing untuk semua staf dan layanan, dan memvalidasi kontrol keamanan untuk menguji efektivitasnya.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
