Les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a signalé une faille critique dans Ivanti Endpoint Manager Mobile (EPMM) et MobileIron Core, en l'ajoutant au Catalogue des vulnérabilités exploitées connues.
CVE-2023-35081: Divulgation et aperçu
La vulnérabilité, identifié comme CVE-2023-35082 avec un score CVSS de 9.8, permet un contournement d'authentification, accorder potentiellement un accès à distance non autorisé aux utilisateurs’ informations personnellement identifiables et modifications limitées du serveur. Ivanti a émis un avertissement en août 2023, disant que toutes les versions d'Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9, et 11.8, ainsi que MobileIron Core 11.7 et ci-dessous ont été affectés.
Découvert et signalé par la société de cybersécurité Rapid7, la faille peut être chaînée avec CVE-2023-35081 pour faciliter l'écriture de fichiers web shell malveillants sur l'appliance. Les détails exacts des attaques réelles exploitant cette vulnérabilité sont actuellement inconnus.. Les agences fédérales sont invitées à mettre en œuvre les correctifs fournis par les fournisseurs d'ici février. 8, 2024.
Cette divulgation coïncide avec l'exploitation de deux failles Zero Day dans Ivanti Connect Secure. (ICS) Appareils VPN (CVE-2023-46805 et CVE-2024-21887), conduisant au déploiement de web shells et de portes dérobées passives. Ivanti devrait publier des mises à jour la semaine prochaine pour résoudre ces problèmes.. Notamment, les acteurs malveillants ciblant les appareils VPN ICS se sont concentrés sur la compromission des configurations et l'exécution de caches contenant des secrets opérationnels vitaux. Ivanti recommande de permuter ces secrets après la reconstruction du système.
Volexity a signalé des preuves de compromission dans plus de 1,700 appareils dans le monde, initialement lié à l'acteur menaçant chinois présumé UTA0178. Cependant, De plus en plus d'acteurs malveillants ont depuis rejoint les efforts d'exploitation. Les efforts d'ingénierie inverse d'Assetnote ont découvert un autre point final (“/api/v1/totp/user-backup-code”) pour avoir abusé de la faille de contournement d'authentification (CVE-2023-46805) sur les anciennes versions d'ICS, obtenir potentiellement une coque inversée.
Les chercheurs en sécurité Shubham Shah et Dylan Pindur ont souligné l'incident comme “un autre exemple d'un dispositif VPN sécurisé s'exposant à une exploitation à grande échelle en raison d'erreurs de sécurité relativement simples.”