الجرافيكرويالتي – stock.adobe.com
تم تحذير مستخدمي منصة إدارة الأجهزة المحمولة في Ivanti للتحرك الآن لإصلاح ثغرتين تم تقييدهما من قبل أحد الفاعلين في سلسلة من الهجمات الإلكترونية على الحكومة النرويجية
مستخدمو إيفانتي تم تحذير النظام الأساسي لإدارة الأجهزة المحمولة (MDM) من Endpoint Manager Mobile (EPMM) للعمل الآن لإصلاح ثغرتين – أحدهما في يوم الصفر – تم تقييدهما من قبل ممثل تهديد في سلسلة من الهجمات الإلكترونية على الحكومة النرويجية .
وقع الهجوم على الهيئات الحكومية في النرويج على مدى عدة أشهر ، ولكن تم اكتشافه لأول مرة في 12 يوليو 2023 وتم الكشف عنه في 24 يوليو. تأثر إجمالي 12 وكالة ، وترك الموظفون غير قادرين على الوصول إلى عدد من الخدمات المشتركة عبر أجهزتهم المحمولة ، مثل البريد الإلكتروني.
وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ونظيرتها النرويجية ، NCSC-NO ، ثغرة يوم الصفر ، CVE-2023-35078، بين أبريل ويوليو لجمع المعلومات من العديد من المنظمات في النرويج ، قبل أن يتم تصحيحه من قبل إيفانتي في 23 يوليو.
ومع ذلك ، قالوا ، بعد ذلك ، كان إيفانتي قادرًا على تحديد أن الفاعل المهدد يمكنه استخدام يوم الصفر هذا جنبًا إلى جنب مع ثغرة أخرى ، CVE-2023-35081لتحقيق تأثير أعمق.
CVE-2023-35078 عبارة عن ثغرة أمنية لتجاوز المصادقة تمكن الفاعل من الوصول إلى معلومات التعريف الشخصية (PII) وإجراء تغييرات التكوين على الأنظمة المخترقة عبر Ivanti EPMM – والذي كان يُعرف سابقًا باسم MobileIron Core).
عند إضافة CVE-2023-35081 ، ثغرة أمنية لاجتياز الدليل ، إلى المزيج ، يكتسب ممثل التهديد الذي يتمتع بامتيازات إدارة EPMM القدرة على كتابة ملفات عشوائية – أي لنشر قذائف الويب.
“تعد أنظمة MDM أهدافًا جذابة للجهات الفاعلة في التهديد لأنها توفر وصولاً مرتفعًا إلى آلاف الأجهزة المحمولة ، وقد استغل ممثلو APT ثغرة سابقة في MobileIron. وبالتالي ، فإن CISA و NCSC-NO قلقان بشأن إمكانية الاستغلال على نطاق واسع في شبكات الحكومة والقطاع الخاص ، ” في إشعار استشاري مشترك.
قالت CISA و NCSC-NO أنه يجب معاملة أنظمة MDM على أي حال على أنها أصول عالية القيمة وبالتالي تخضع لقيود ومراقبة إضافية ، نظرًا لأنها توفر الوصول إلى الآلاف من المضيفين المحتملين.
تمت إضافة كلتا الثغرات الأمنية إلى كتالوج الثغرات الأمنية المعروف باسم CISA ، والذي يُلزم الهيئات الفيدرالية الأمريكية بتصحيحها في غضون الأسابيع القليلة المقبلة.
قالت Ivanti إنها تدرك حاليًا عددًا محدودًا فقط من العملاء الذين شاهدوا استغلال نقطتي الضعف المعنيين ، لكنها قالت إن تسلسل الاثنين يمثل بوضوح أكبر خطر.
يتفهم موقع Computer Weekly أن تحقيقه لم يجد أي دليل على أنه قد تم اختراقه بنفسه ، أو أن الثغرات الأمنية قد تم إدخالها في التعليمات البرمجية بشكل ضار.
وفقًا لوحدة Palo Alto Networks 42، هناك ما يقرب من 5500 من خوادم Ivanti EPMM معروضة للإنترنت العام ، وتعتبر ألمانيا والولايات المتحدة أكثر الدول تعرضاً للخطر ، مع أكثر من 1000 حالة تمت ملاحظتها. ما يقرب من 6.5 ٪ من الإجمالي ، حوالي 358 خادمًا ، يبدو أنها موجودة في المملكة المتحدة.
قال فريق Uni 42 إنه على الرغم من أن الحكومة النرويجية هي الضحية الوحيدة المعروفة حاليًا لسلسلة الاستغلال ، فمن المحتمل أن يتأثر آخرون.
لم يتم الكشف عن أي تفاصيل عن مجموعة التهديد التي تمت ملاحظتها وهي تستغل نقطتي الضعف – أو أي انتماء محتمل لدولة قومية.
اقرأ المزيد عن المتسللين والوقاية من الجرائم الإلكترونية
تفاصيل CISA البرمجيات الخبيثة المستتر المستخدمة في هجمات Barracuda ESG
بواسطة: الكسندر كولافي
استغلال ثغرة يوم الصفر في Ivanti EPMM في البرية
بواسطة: الكسندر كولافي
طلب مستخدمو Citrix NetScaler تصحيح الصفر الجديد على وجه السرعة
بواسطة: أليكس سكروكستون
CISA: شبكات Truebot الضارة التي تصيب البرامج الضارة في الولايات المتحدة وكندا
بواسطة: الكسندر كولافي