Již dlouho nestačí organizacím hlídat úzce definovaný obranný perimetr svých systémů. Snad jen s výjimkou velmi malých organizací platí, že do ICT infrastruktury vstupuje celá řada dodavatelů, kteří mají často své vlastní subdodavatele. V důsledku toho je bezpečnost dané organizace rozprostřena napříč více či méně komplikovaným dodavatelským řetězcem.
Aktéři kybernetických hrozeb zneužívají (dle očekávání) v rostoucí míře slabých míst v dodavatelském řetězci, jehož příkladem může být kompromitace legitimního procesu aktualizace softwaru společnosti SolarWinds, která za sebou nechala úctyhodný (či spíše strach nahánějící) seznam obětí.
Dodavatelský řetězec ovšem nemusí být vůbec složitý. I v případě přímočarého vztahu dodavatel-klient, kdy klient využívá produkty pod svou vlastní správou, není zcela v silách mnoha organizací uhlídat bezpečnost používaného softwaru. Produkty Microsoftu jsou proto velmi oblíbeným prostředníkem k průniku do systémů zamýšlené oběti.
Norsko se o hrozbách spojených se zneužitím externích dodavatelů přesvědčilo naposledy na konci července 2023.
Oznámení norské vlády o útoku
Dne 24. července 2023 norská vláda oznámila kompromitaci jednoho z aktivně používaných systémů, která se dotkla 12 ministerstev. Výjimkou byl jen úřad předsedy vlády, ministerstvo obrany, ministerstvo zahraničních věcí a ministerstvo spravedlnosti.
O den později vyšlo najevo, že za útokem na norské instituce stojí zranitelnost v produktu Endpoint Manager Mobile (EPMM) od společnosti Ivanti. EPMM je software pro správu mobilních zařízení, který administrátorům umožňuje nastavit bezpečnostní zásady pro mobilní zařízení, aplikace a obsah. V důsledku hackerského útoku nemohli zaměstnanci několika norských ministerstev přistupovat na svých mobilních telefonech k některým sdíleným službám, včetně e-mailu, nicméně jiná pracovní zařízení mohli používat bez problémů. Norská vláda o incidentu informovala tamní úřad pro ochranu osobních údajů, protože existuje důvodné podezření, že útočníci mohli potenciálně získat přístup k citlivým údajům. Incident byl podle tvrzení norských úřadů odhalen tak, že si bezpečnostní odborníci všimli neobvyklého provozu na platformě dodavatele. Načasování oznámení bylo zjevně koordinováno společně se zveřejněním bezpečnostní aktualizace společností Ivanti.
K útoku došlo pravděpodobně s pomocí dvou zranitelností nultého dne v produktu EPMM
Společnost Ivanti nejdříve dne 24. července zveřejnila bezpečnostní aktualizaci pro zranitelnost CVE-2023-35078 v nástroji Ivanti EPMM (dříve známý jako MobileIron Core), která útočníkovi umožňuje obejít ověření (Authentication Bypass) a otevírá cestu k rozhraní API. Útočník s přístupem do rozhraní API může:
- získat přístup k důvěrným informacím jako jsou jména, telefonní čísla a další podrobnosti o mobilních zařízeních uživatelů v ohroženém systému,
- provádět další změny konfigurace, včetně vytvoření účtu správce EPMM, který může provádět další změny v napadených systémech.
Následně došlo k odhalení další zranitelnosti nultého dne v EPMM, ke které Ivanti publikovalo aktualizaci dne 31. července. Druhá zranitelnost CVE-2023-35081 umožňuje ověřenému „správci“ provádět škodlivé zápisy souborů na server EPMM. Tuto zranitelnost lze použít ve spojení s CVE-2023-35078, jež umožní ověření falešného správce a obejde případná omezení ACL (Access Control List, seznam oprávnění).
První ze dvou zranitelností dostala od amerického Národního institutu standardů a technologie (NIST), jenž spravuje Národní databázi zranitelností (NVD), CVSS skóre 9.8 z maxima 10. Na CVSS skóre se lze dívat jako na jeden z indikátorů pravděpodobnosti aktivního zneužití zranitelnosti. Kritické zranitelnosti mívají společné některé klíčové charakteristiky:
- nevyžadují interakci na straně oběti,
- nevyžadují existující přístup do systému
- a jejich zneužití je relativně nenáročné.
Bylo by však chybou soudit, že nižší skóre znamená, že zranitelnost nebude zneužitá. Pokročilý útočník nepohrdne žádnou zranitelností, pokud mu pomůže dosáhnout stanovených cílů.
Druhá zranitelnost v EPMM dostala nižší skóre 7.2, mj. i proto, že pro její zneužití potřebuje útočník administrátorská oprávnění. Obě zranitelnosti však působí v tandemu a první z nich útočníkovi umožní získat privilegovaný přístup pro zneužití druhé zranitelnosti.
Dne 2. srpna došlo k odhalení již třetí zranitelnosti s nejvyšším možným CVSS skóre 10 (hodnota se může snížit po přehodnocení ze strany NIST) registrované jako CVE-2023-35082. Podobně jako v případě CVE-2023-35078 se jedná o zranitelnost umožňující obcházení ověření. Zatím neexistují důkazy, že při útoku na norské instituce došlo ke zneužití i této zranitelnosti.
CVSS škála hodnocení závažnosti zranitelnosti (NIST)
Společné varování CISA a NCSC-NO a varování německé BSI
Dne 1. srpna 2023 vydala americká CISA a norské Národní centrum kybernetické bezpečnosti (NCSC-NO) společné upozornění na aktivní zneužívání zranitelností CVE-2023-35078 a CVE-2023-35078. Upozornění uvádí, že zranitelnost CVE-2023-35078 byla zneužita blíže nespecifikovanými APT aktéry jako zero day nejméně od dubna 2023 do července 2023. Cílem útočníků bylo shromažďování informací od několika norských organizací a získání přístupu do sítě norské vládní agentury. NCSC-NO rovněž potvrdilo možné řetězové zneužití obou zranitelností. CISA a NCSC-NO upozorňují na skutečnost, že systémy správy mobilních zařízení (MDM) jsou pro aktéry kybernetických hrozeb atraktivním cílem, protože poskytují zvýšený přístup k tisícům mobilních zařízení. Z tohoto důvodu existuje důvodná obava z rozsáhlého zneužití ve vládních sítích a sítích soukromého sektoru.
Dne 8. srpna 2023 se k těmto varováním přidala i německá BSI se stejnými závěry.
Norsko je geopoliticky významným cílem pro kybernetickou špionáž
Pozice Norska jako aktivního podporovatele Ukrajiny bránící se ruské agresi, členského státu NATO a významného producenta zemního plynu dělá z této skandinávské země atraktivní cíl pro špionážní aktivitu. Norsko je v současnosti největší dodavatel zemního plynu pro Evropskou unii poté, co Rusko drasticky omezilo dodávky do Evropy a EU zároveň podnikla aktivní kroky k nahrazení Moskvy jako dodavatele (v současnosti jsou dodávky ruského zemního plynu na zhruba 40 % ve srovnání s rokem 2022). Pro svou podporu Ukrajiny se Norsko stalo středem zájmu ruských hacktivistických skupin jako např. Killnet.
Norsko je dlouhodobým cílem kyberšpionážní aktivity zejména ze strany Čínské lidové republiky a Ruské federace. Čína stála například za útokem na vládní IT síť a poskytovatele cloudových služeb Visma. Za oběma útoky z roku 2018 stála čínská skupina známá jako APT31, RedBravo či Zirconium/Violet Typhoon. Rusko je podezříváno z napadení norského parlamentu v srpnu 2020. Konkrétně Norsko s útokem spojilo známou ruskou skupinu APT28, která je součástí ruské vojenské rozvědky GRU. Čínské a ruské kyberšpionážní skupiny dlouhodobě prokazují schopnost využívat ke svým cílům slabiny v dodavatelském řetězci softwarových služeb, včetně poskytovatelů cloudových služeb. S největší pravděpodobností za současným útokem stojí buď Čína nebo Rusko, ale pro přiřazení útoku konkrétní skupině neexistují veřejně dostupné informace.
Riziko pro Českou republiku
Ivanti EPMM využívají státní instituce po celém světě, zejména pro synchronizaci elektronické pošty s mobilními zařízeními a Česká republika není výjimkou. Platformu Ivanti EPMM (resp. MobileIron Core) podle registru smluv využívá nebo využívala řada českých státních institucí (Generální ředitelství cel, Řízení letového provozu, Policejní prezidium ČR, podřízené složky Ministerstva vnitra) a z toho důvodu by měly zainteresované subjekty provést potřebné aktualizace dle instrukcí, které byly distribuovány prostřednictvím spolupráce jednotlivých CERT týmů.
Dotaz v nástroji Shodan pro zařízení EPMM (můžete vyzkoušet dotazy: http.favicon.hash:362091310, http.favicon.hash:545827989 a http.title:“MobileIron“) ukazuje v Česku k 24. srpnu celkem 92 instancí EPMM otevřených do internetu. Nástroj Shadowserver dále ukazuje, že jen na osmi IP adresách v ČR se vyskytují zranitelné instance EPMM. Zdá se tedy, že významná část zranitelných zařízení prošla aktualizací. Shodan i Shadowserver registrují jen zařízení připojená k internetu.
Počet do internetu otevřených instancí EPMM ve vyhledávači Shodan
Vyšetřování pokračuje
Dostupné informace jsou omezené, což je dané i probíhajícím vyšetřováním incidentu. Je otázkou, zdali se norská vláda rozhodne zveřejnit jeho výsledky. Prozatím se dá usoudit, že nedošlo ke kompromitaci jiných systémů než mobilních zařízení. Potenciální dopad je i tak významný. Získané údaje mohou sloužit k vytvoření profilů prioritních osob a na jejich základě vytvoření na míru připravených spear-phishingových návnad významně zvyšujících pravděpodobnost kompromitace interních systémů. Dalším faktorem je, že mobilní zařízení jsou v rostoucí míře součástí celkového ICT ekosystému organizací a mohou tak poskytnout přístup k důležitým informacím, aniž by útočník prolomil interní systém zamýšlené oběti.
Existence zranitelností s nízkou komplexitou zneužití v široce využívaném softwaru je dostatečně závažná nezávisle na souvislost s útokem na norské vládní úřady. Proces řízení aktualizací je často pomalý, zejména ve velkých organizacích, a existence aktualizace zároveň umožňuje reverzní vytvoření exploitu. Společnost Palo Alto navíc upozorňuje, že v případě zranitelnosti CVE-2023-35078 je situace horší z toho důvodu, že pro úspěšné zneužití není nutná znalost tzv. Proof of Concept, vzhledem k tomu, že zneužití rozhraní API internetové aplikace je pro útočníka stejně jednoduché jako interakce s rozhraním API systému pomocí příkazů (z nichž jsou mnohé zdokumentované a veřejně dostupné) k provádění různých akcí v prostředí oběti. Kyberšpionážní i kyberkriminální skupiny se tak mohou spolehnout na to, že i přes dostupné aktualizace nebude v následujících měsících nouze o zranitelné cíle.
Poznámka 1: Dne 21. srpna identifikovala společnost Ivanti další zranitelnost nultého dne v produktu Ivanti Sentry pod označením CVE-2023-38035. Zranitelnost by podle prohlášení Ivanti neměla mít dopad na produkt EPMM. Dne 22. srpna zařadila CISA CVE-2023-38035 do katalogu aktivně zneužívaných zranitelností.
Poznámka 2: Cybule děkuje Jakubu Onderkovi za korekci interpretace dat z prohlížeče Shodan. Původní text mylně tvrdil, že vyhledaná data ukazují počet zranitelných zařízení místo všech zařízení připojených k internetu.
Zdroje: The Record, CISA, Government.no, techtarget, BSI