USA. Cybersecurity and Infrastructure Security Agency (CISA) har markeret en kritisk fejl i Ivanti Endpoint Manager Mobile (EPMM) og MobileIron Core, tilføjer det til Katalog med kendte udnyttede sårbarheder.
CVE-2023-35081: Offentliggørelse og overblik
Sårbarheden, identificeret som CVE-2023-35082 med en CVSS-score på 9.8, tillader en omgåelse af godkendelse, potentielt giver uautoriseret fjernadgang til brugere’ personligt identificerbare oplysninger og begrænsede serverændringer. Ivanti udsendte en advarsel i august 2023, siger, at alle versioner af Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9, og 11.8, samt MobileIron Core 11.7 og nedenunder blev berørt.
Opdaget og rapporteret af cybersikkerhedsfirmaet Rapid7, fejlen kan kædes sammen med CVE-2023-35081 for at lette skrivningen af ondsindede web shell-filer til apparatet. De nøjagtige detaljer om angreb fra den virkelige verden, der udnytter denne sårbarhed, er i øjeblikket ukendte. Føderale agenturer opfordres til at implementere leverandørleverede rettelser inden februar 8, 2024.
Denne afsløring falder sammen med udnyttelsen af to nul-dages fejl i Ivanti Connect Secure (ICS) VPN-enheder (CVE-2023-46805 og CVE-2024-21887), fører til udrulning af web-shells og passive bagdøre. Ivanti udgiver opdateringer i næste uge for at løse disse problemer. Især, trusselsaktører rettet mod ICS VPN-enheder har fokuseret på at kompromittere konfigurationer og køre caches, der indeholder vitale driftshemmeligheder. Ivanti anbefaler at rotere disse hemmeligheder efter systemgenopbygning.
Volexity rapporterede beviser på kompromis i over 1,700 enheder globalt, oprindeligt knyttet til den formodede kinesiske trusselskuespiller UTA0178. Men, flere trusselsaktører har siden tilsluttet sig udnyttelsesindsatsen. Assetnotes reverse engineering-indsats afslørede et andet endepunkt (“/api/v1/totp/bruger-backup-kode”) for misbrug af autentificeringsomgåelsesfejlen (CVE-2023-46805) på ældre ICS-versioner, potentielt opnå en omvendt skal.
Sikkerhedsforskerne Shubham Shah og Dylan Pindur understregede hændelsen som “endnu et eksempel på en sikker VPN-enhed, der udsætter sig selv for omfattende udnyttelse på grund af relativt simple sikkerhedsfejl.”
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: