หน่วยงานในนอร์เวย์ตกเป็นเป้าหมายของการโจมตี จากการใช้ประโยชน์จากช่องโหว่ Ivanti EPMM

364/66 (IT) ประจำวันพฤหัสบดีที่ 3 สิงหาคม 2566

กลุ่ม Advanced persistent threat (APT) ได้พยายาม exploit ช่องโหว่ระดับ critical ที่ส่งผลกระทบต่อ Ivanti Endpoint Manager Mobile (EPMM) แบบ Zero-day ตั้งแต่เดือนเมษายน 2023 โดยที่มีการมุ่งเป้าการโจมตีไปที่หน่วยงานของนอร์เวย์รวมถึงเครือข่ายของรัฐบาล และได้มีการเปิดเผยคำแนะนำฉบับใหม่ที่ออกโดย Cybersecurity and Infrastructure Security Agency (CISA) และ Norwegian National Cyber Security Center (NCSC-NO)

โดยที่กลุ่ม APT ได้ใช้ประโยชน์จากช่องโหว่ CVE-2023-35078 ตั้งแต่เดือนเมษายน 2023 เป็นต้นมา ซึ่งได้ Compromise Router จากสำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) ที่ถูกโจมตี รวมถึง Router ASUS เพื่อส่งพร็อกซีไปยังโครงสร้างพื้นฐานเป้าหมาย โดยช่องโหว่ดังกล่าวจะช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลที่จะสามารถระบุตัวตนได้ (PII) และเพิ่มความสามารถในการเปลี่ยนแปลงการกำหนดค่าบนระบบ เพื่อเชื่อมโยงกับช่องโหว่ที่สอง CVE-2023-35081 เพื่อสร้างผลกระทบบนอุปกรณ์เป้าหมาย หากมีการใช้ประโยชน์จากช่องโหว่ทั้งสองได้สำเร็จจะทำให้ผู้โจมตีมีสิทธิ์ผู้ดูแลระบบ EPMM และสามารถเขียน arbitrary file เช่น Web Shell ด้วยสิทธิ์ระบบปฏิบัติการของ EPMM web application server     

ตามรายงานของ Palo Alto Networks Unit 42 มีเซิร์ฟเวอร์ EPMM จำนวนกว่า 5,500 เครื่องบนอินเทอร์เน็ตที่ส่วนใหญ่ตั้งอยู่ในเยอรมนี สหรัฐอเมริกา สหราชอาณาจักร ฝรั่งเศส สวิตเซอร์แลนด์ เนเธอร์แลนด์ ฮ่องกง ออสเตรีย จีน และสวีเดน เพื่อลดภัยคุกคามจึงแนะนำให้องค์กรต่าง ๆ ทำการอัปเดตแพตช์ล่าสุดโดยเร็วที่สุด และการยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) ที่ป้องกันฟิชชิงสำหรับพนักงานและบริการทั้งหมด และตรวจสอบการควบคุมความปลอดภัยเพื่อทดสอบประสิทธิภาพ

แหล่งข่าว ( https://thehackernews.com/2023/08/norwegian-entities-targeted-in-ongoing.html )