Les acteurs des menaces persistantes avancées (APT) ont exploité une faille critique récemment révélée affectant Ivanti Endpoint Manager Mobile (EPMM) en tant que zero-day depuis au moins avril 2023 dans des attaques dirigées contre des entités norvégiennes, y compris un réseau gouvernemental.
La divulgation fait partie d’un nouvel avis conjoint publié mardi par la Cybersecurity and Infrastructure Security Agency (CISA) et le Norwegian National Cyber Security Center (NCSC-NO). L’identité exacte ou l’origine de l’auteur de la menace reste floue.
« Les acteurs de l’APT exploitent CVE-2023-35078 depuis au moins avril 2023 », ont indiqué les autorités. « Les acteurs ont exploité des routeurs de petits bureaux/bureaux à domicile (SOHO) compromis, y compris des routeurs ASUS, pour proxy vers l’infrastructure cible. »
CVE-2023-35078 fait référence à une faille grave qui permet aux acteurs de la menace d’accéder à des informations personnellement identifiables (PII) et d’avoir la possibilité d’apporter des modifications de configuration sur des systèmes compromis. Il peut être enchaîné avec une deuxième vulnérabilité, CVE-2023-35081, pour provoquer des conséquences inattendues sur les appareils ciblés.
L’exploitation réussie des vulnérabilités jumelles permet aux adversaires disposant des privilèges d’administrateur EPMM d’écrire des fichiers arbitraires, tels que des shells Web, avec les privilèges du système d’exploitation du serveur d’applications Web EPMM.
Les attaquants ont également été observés tunnellisant le trafic depuis Internet via Ivanti Sentry, une appliance de passerelle d’application qui prend en charge EPMM, vers au moins un serveur Exchange qui n’était pas accessible depuis Internet, bien que l’on ignore actuellement comment cela a été accompli.
Une analyse plus approfondie a révélé la présence d’un fichier WAR appelé « mi.war » sur Ivanti Sentry, qui a été décrit comme une application Tomcat malveillante qui supprime les entrées de journal en fonction d’une chaîne spécifique – « Firefox/107.0 » – contenue dans un fichier texte .
« Les acteurs APT ont utilisé des agents utilisateurs Linux et Windows avec Firefox/107.0 pour communiquer avec EPMM », ont déclaré les agences. « Les systèmes de gestion des appareils mobiles (MDM) sont des cibles attrayantes pour les acteurs de la menace, car ils offrent un accès élevé à des milliers d’appareils mobiles. »
La majorité des 5 500 serveurs EPMM sur Internet sont situés en Allemagne, suivis des États-Unis, du Royaume-Uni, de la France, de la Suisse, des Pays-Bas, de Hong Kong, de l’Autriche, de la Chine et de la Suède, selon l’unité 42 de Palo Alto Networks.
Pour atténuer la menace actuelle, il est recommandé aux organisations d’appliquer les derniers correctifs dès que possible, d’imposer une authentification multifacteur (MFA) résistante au phishing pour tout le personnel et les services, et de valider les contrôles de sécurité pour tester leur efficacité.
