Los Estados Unidos. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha señalado una falla crítica en Ivanti Endpoint Manager Mobile (EPMM) y núcleo MobileIron, añadiéndolo a la Catálogo de vulnerabilidades explotadas conocidas.
CVE-2023-35081: Divulgación y descripción general
La vulnerabilidad, identificado como CVE-2023-35082 con una puntuación CVSS de 9.8, permite un bypass de autenticación, potencialmente otorgar acceso remoto no autorizado a los usuarios’ información de identificación personal y modificaciones limitadas del servidor. Ivanti emitió una advertencia en agosto 2023, diciendo que todas las versiones de Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9, y 11.8, así como MobileIron Core 11.7 y abajo fueron afectados.
Descubierto y reportado por la firma de ciberseguridad Rapid7, la falla se puede encadenar con CVE-2023-35081 para facilitar la escritura de archivos web shell maliciosos en el dispositivo. Actualmente se desconocen los detalles exactos de los ataques del mundo real que aprovechan esta vulnerabilidad.. Se insta a las agencias federales a implementar correcciones proporcionadas por los proveedores antes de febrero 8, 2024.
Esta divulgación coincide con la explotación de dos fallas de día cero en Ivanti Connect Secure (ICS) Dispositivos VPN (CVE-2023-46805 y CVE-2024-21887), lo que lleva al despliegue de web shells y puertas traseras pasivas. Ivanti lanzará actualizaciones la próxima semana para abordar estos problemas. Notablemente, Los actores de amenazas que apuntan a dispositivos ICS VPN se han centrado en comprometer configuraciones y ejecutar cachés que contienen secretos operativos vitales.. Ivanti recomienda rotar estos secretos después de la reconstrucción del sistema.
Volexity informó evidencia de compromiso en más de 1,700 dispositivos a nivel mundial, inicialmente vinculado al presunto actor de amenazas chino UTA0178. Sin embargo, Desde entonces, más actores de amenazas se han unido a los esfuerzos de explotación.. Los esfuerzos de ingeniería inversa de Assetnote descubrieron otro punto final (“/api/v1/totp/código-de-respaldo-de-usuario”) por abusar de la falla de omisión de autenticación (CVE-2023-46805) en versiones anteriores de ICS, potencialmente obteniendo un caparazón inverso.
Los investigadores de seguridad Shubham Shah y Dylan Pindur enfatizaron el incidente como “Otro ejemplo de un dispositivo VPN seguro que se expone a una explotación a gran escala debido a errores de seguridad relativamente simples.”