Gli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA) ha segnalato un difetto critico in Ivanti Endpoint Manager Mobile (EPMM) e MobileIron Core, aggiungendolo al Catalogo delle vulnerabilità sfruttate note.
CVE-2023-35081: Divulgazione e panoramica
La vulnerabilità, identificato come CVE-2023-35082 con un punteggio CVSS pari a 9.8, consente un bypass dell'autenticazione, potenzialmente concedere accesso remoto non autorizzato agli utenti’ informazioni di identificazione personale e modifiche limitate del server. Ivanti ha lanciato un avvertimento in agosto 2023, dicendo che tutte le versioni di Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9, e 11.8, così come MobileIron Core 11.7 e sotto sono stati colpiti.
Scoperto e segnalato dalla società di sicurezza informatica Rapid7, il difetto può essere concatenato con CVE-2023-35081 per facilitare la scrittura di file web shell dannosi sull'appliance. I dettagli esatti degli attacchi nel mondo reale che sfruttano questa vulnerabilità sono attualmente sconosciuti. Le agenzie federali sono invitate a implementare le soluzioni fornite dai fornitori entro febbraio 8, 2024.
Questa divulgazione coincide con lo sfruttamento di due falle zero-day in Ivanti Connect Secure (ICS) Dispositivi VPN (CVE-2023-46805 e CVE-2024-21887), portando all'implementazione di web shell e backdoor passive. Ivanti rilascerà aggiornamenti la prossima settimana per risolvere questi problemi. In particolare, Gli autori delle minacce che prendono di mira i dispositivi VPN ICS si sono concentrati sulla compromissione delle configurazioni e sull'esecuzione di cache contenenti segreti operativi vitali. Ivanti consiglia di ruotare questi segreti dopo la ricostruzione del sistema.
Volexity ha riportato prove di compromesso in over 1,700 dispositivi a livello globale, inizialmente collegato al presunto attore cinese UTA0178. Tuttavia, da allora altri autori di minacce si sono uniti agli sforzi di sfruttamento. Gli sforzi di reverse engineering di Assetnote hanno scoperto un altro endpoint (“/api/v1/totp/user-backup-code”) per aver abusato del difetto di bypass dell'autenticazione (CVE-2023-46805) sulle versioni ICS precedenti, potenzialmente ottenendo una shell inversa.
I ricercatori sulla sicurezza Shubham Shah e Dylan Pindur hanno sottolineato l'incidente come “un altro esempio di un dispositivo VPN sicuro che si espone a sfruttamento su larga scala a causa di errori di sicurezza relativamente semplici.”
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: