Κρατικές hacking ομάδες και άλλοι εγκληματίες εκμεταλλεύονται ευπάθειες σε MobileIron MDM servers και αποκτούν πρόσβαση σε εταιρικά δίκτυα.
Πριν ένα μήνα περίπου, κυκλοφόρησαν πληροφορίες σχετικά με τρεις σοβαρές ευπάθειες σε έναν server που χρησιμοποιείται για τη διαχείριση κινητών συσκευών. Τώρα, πολλές hacking ομάδες έχουν αρχίσει να εκμεταλλεύονται αυτά τα σφάλματα για να αποκτήσουν πρόσβαση και να πάρουν τον έλεγχο εταιρικών servers, κάτι που θα τους επιτρέψει να αποκτήσουν πρόσβαση και στα δίκτυα των εταιρειών.
Σύμφωνα με τους ερευνητές, οι στόχοι αυτών των επιθέσεων είναι οι MDM servers από τον κατασκευαστή λογισμικού MobileIron.
Τα αρχικά MDM προέρχονται από τις λέξεις “Mobile Device Management” (Διαχείριση κινητών συσκευών). Τα συστήματα MDM χρησιμοποιούνται συχνά σε επιχειρήσεις, καθώς επιτρέπουν τη διαχείριση των κινητών συσκευών των εργαζομένων. Οι διαχειριστές συστημάτων μπορούν να αναπτύξουν πιστοποιητικά, εφαρμογές, λίστες ελέγχου πρόσβασης και να διαγράψουν κλεμμένα τηλέφωνα από έναν κεντρικό server.
Για να είναι δυνατές οι παραπάνω ενέργειες, οι MDM servers πρέπει να είναι συνεχώς συνδεδεμένοι στο Διαδίκτυο. Έτσι, τα τηλέφωνα των υπαλλήλων που εργάζονται απομακρυσμένα, να μπορούν να “δίνουν αναφορά” στην εταιρεία και να λαμβάνουν τις πιο πρόσφατες ενημερώσεις.
MobileIron MDMs: Ανακαλύφθηκαν τρεις μεγάλες ευπάθειες
Το καλοκαίρι, ένας ερευνητής ασφαλείας με το όνομα Orange Tsai ανακάλυψε τρεις σημαντικές ευπάθειες στους MDM servers της MobileIron. Ο ερευνητής ανέφερε τα σφάλματα στην εταιρεία και εκείνη τα διόρθωσε τον Ιούλιο.
Ωστόσο, ο Tsai αποφάσισε να μην δώσει πληροφορίες για τις ευπάθειες, ώστε να έχουν χρόνο οι εταιρείες να προστατεύσουν τα συστήματά τους.
Πολλές εταιρείες φαίνεται ότι δεν το έκαναν. Ο Tsai μίλησε τελικά τον Σεπτέμβριο, σχετικά με τις τρεις ευπάθειες, αφού χρησιμοποίησε μια από αυτές για να εισχωρήσει στον MDM server του Facebook και για να περιπλανηθεί στο εσωτερικό δίκτυο της εταιρείας. Αυτό, φυσικά, έγινε στο πλαίσιο του bug bounty προγράμματος του Facebook.
Κυκλοφόρησε POC στο Github
Κάποιοι ερευνητές ασφαλείας χρησιμοποίησαν τις λεπτομέρειες που έδωσε ο Tsai για να δημιουργήσουν δημόσια proof-of-concept (PoC) exploits για την CVE-2020-15505, την πιο επικίνδυνη από τις τρεις ευπάθειες.
Αυτό το PoC exploit κυκλοφόρησε στο GitHub και διατέθηκε σε άλλους ερευνητές ασφάλειας και penetration testers. Ωστόσο, βρέθηκε και στα χέρια εγκληματιών.
Το πρώτο κύμα επιθέσεων πραγματοποιήθηκε στις αρχές Οκτωβρίου και εντοπίστηκε από τους ερευνητές της RiskIQ.
Η RiskIQ δεν έδωσε πολλές πληροφορίες γι’ αυτές τις επιθέσεις, αλλά μια έκθεση από τη BlackArrow, που δημοσιεύτηκε στις 13 Οκτωβρίου, αναφέρει προσπάθειες ενός hacker να εισβάλει σε MobileIron MDM συστήματα και να εγκαταστήσει το κακόβουλο λογισμικό Kaiten DDoS.
Οι εταιρείες, όμως, δεν κινδυνεύουν μόνο από αυτό το malware. Ο Οργανισμός Εθνικής Ασφάλειας των ΗΠΑ (NSA) καταχώρισε το MobileIron CVE-2020-15505 ως μία από τις κορυφαίες 25 ευπάθειες, που εκμεταλλεύτηκαν κρατικοί hackers της Κίνας τους τελευταίους μήνες.
Η NSA είπε ότι οι Κινέζοι hackers χρησιμοποιούν το σφάλμα MobileIron, μαζί με άλλες ευπάθειες, για την αρχική παραβίαση συστημάτων (συνδεδεμένων στο Διαδίκτυο) και για την απόκτηση πρόσβασης στα εσωτερικά δίκτυα.
Οι εταιρείες πρέπει να ενημερώσουν άμεσα τους MDM servers
Η MobileIron λέει ότι έχει περισσότερους από 20.000 πελάτες που χρησιμοποιούν τις λύσεις MDM, συμπεριλαμβανομένων πολλών εταιρειών Fortune 500. Επομένως, αυτή η ευπάθεια είναι όντως ένα από τα πιο επικίνδυνα σφάλματα των τελευταίων μηνών.
Αν οι εταιρείες δεν ενημερώσουν τους MobileIron MDM servers τους, μπορεί να βρεθούν αντιμέτωπες με δύσκολες καταστάσεις.
Αλλά, σύμφωνα με το ZDNet, το patching είναι μόνο ένα μέρος της δουλειάς που πρέπει να γίνει. Οι εταιρείες πρέπει, επίσης, να κάνουν ελέγχους στους MobileIron MDM servers τους, στις κινητές συσκευές και στα εσωτερικά δίκτυα. Η ευπάθεια CVE-2020-15505 μπορεί να θεωρηθεί “gateway bug”. Μετά την εκμετάλλευση, οι εισβολείς μπορούν να χρησιμοποιήσουν αυτό το σφάλμα για να πάρουν τον έλεγχο ολόκληρου του MDM server και για να αναπτύξουν κακόβουλο λογισμικό σε κινητές συσκευές που είναι συνδεδεμένες σε αυτόν. Επίσης, μπορούν να αποκτήσουν πρόσβαση στο εσωτερικό δίκτυο της εταιρείας, στο οποίο είναι πιθανό να είναι συνδεδεμένος ο MDM server.