CVE-2023-35078 악용 탐지: Ivanti Endpoint Manager Mobile (EPMM)의 중요한 인증 우회 제로 데이

사이버 보안 주의! 시리즈 이후 Pulse Connect Secure SSL VPN 어플라이언스의 보안 취약점 이 2021년에 여러 조직에 영향을 미쳤던 데 이어, 최근에 Ivanti 제품에서 새로운 치명적 제로데이가 공개되었습니다. Ivanti Endpoint Manager Mobile (EPMM)에 영향을 미치는 이 새로운 보안 문제는 특정 경로에 대한 원격 비인증 API 접근을 가능하게 합니다. 이 결함을 악용함으로써, 공격자들은 노출된 장치에 저장된 개인 식별 정보(PII) 및 기타 민감한 데이터를 획득하거나 영향을 받은 시스템에 악성 변경을 도입할 수 있습니다. Ivanti의 권고문은 이 치명적인 제로데이가 이미 제한된 수의 고객을 대상으로 실제 환경에서 악용되었다고 확인하면서, 뉴스 포털들은 나타냅니다 노르웨이 정부를 CVE-20230-35078 공격의 잠재적 피해자로 지목했습니다.

CVE-2023-35078 탐지

CVE-2023-25078 악용과 관련된 의심 활동을 사전에 식별하고 위협 검색 활동을 간소화하기 위해, SOC Prime Platform은 집단 사이버 방어를 위한 전용 시그마 규칙 세트를 집계합니다. 모든 탐지는 28개의 SIEM, EDR, XDR 기술과 호환되며, MITRE ATT&CK 프레임워크 v12에 맞춰 심층적인 위협 분석을 용이하게 합니다. 

큐레이션된 규칙의 전체 목록을 탐색하려면 탐지 탐색 버튼을 아래에서 클릭하세요. 보안 전문가들은 ATT&CK 참조 및 CTI 링크를 동반한 광범위한 사이버 위협 맥락을 얻고 현행 보안 요구에 부합하는 더 관련성 있는 메타데이터를 얻을 수 있으며, 위협 조사를 강화할 수 있습니다.

탐지 탐색

CVE-2023-35078 분석

2023년 7월 24일, Ivanti는 권고문 을 발표하며 치명적 제로데이를 상세히 설명하고 결함에 대한 패치를 제공합니다. 공급업체에 따르면, Ivanti EPMM에서 새로 식별된 버그는 (최고 CVSS 점수 10.0) 적절한 인증 없이 앱의 제한된 기능 및 리소스에 접근할 수 있도록 허용합니다. 

원격 비인증 API 접근 취약점은 현재 지원되는 모든 소프트웨어 버전(v11.10, 11.9, 11.8)에 영향을 미치며 더 이상 지원되지 않는 오래된 버전에도 영향을 줍니다. 사이버 방어 전문가들이 결함을 매우 쉽게 악용할 수 있다고 평가하기 때문에, 모든 사용자는 가능한 빨리 버전 11.10.0.2, 11.9.1.1., 11.8.1.1을 설치하여 패치를 적용해야 합니다. 

그러나 연구자들은 2,900개의 인터넷에 노출된 EPMM 포털이 Shodan에 의해 확인된 대다수의 조직이 여전히 패치되지 않은 상태라고 추정합니다. 이 서버들 대부분은 미국, EU, 영국, 및 홍콩에서 확인되었습니다. 특히, 영국과 미국 정부가 CVE-2023-35078 공격의 피해자가 될 수 있을 것이라 전문가들은 믿습니다. 일요일에, CISA는 보안 경고를 발행하여 사용자들에게 즉시 보안 격차를 해결할 것을 촉구했습니다. 

사이버 보안 방어를 최적화하세요 SOC Prime Platform, 진행 중인 사이버 공격에 사용되는 모든 TTP에 대한 포괄적인 탐지 콘텐츠를 제공합니다. 최신 배포 준비가 된 행동 탐지 알고리즘을 통해 귀사의 조직이 발전하는 위협에 대해 잘 준비되도록 보장하세요. 제로데이, CTI 및 ATT&CK 참조를 포함하여 사이버 공격 및 위협에 대한 풍부한 맥락 정보를 탐색하고, Red Team 도구화에 대한 인사이트를 제공하세요. 자동 읽기 전용 ATT&CK 데이터 감사로 탐지 스택을 손쉽게 검증하며, 블라인드 스팟을 식별하고 이를 사전에 해결하여 귀하의 조직에 특화된 로그 기반의 완전한 위협 가시성을 달성하세요. SOC Prime Platform을 통해 긴급한 위협에 효과적으로 대응하기 위해 팀원들에게 적절한 도구와 지식을 제공합니다.