de U.S.. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) heeft een kritieke fout in Ivanti Endpoint Manager Mobile opgemerkt (EPMM) en MobileIron Core, het toevoegen aan de Catalogus met bekende uitgebuite kwetsbaarheden.
CVE-2023-35081: Openbaarmaking en overzicht
De kwetsbaarheid, geïdentificeerd als CVE-2023-35082 met een CVSS-score van 9.8, maakt een authenticatie-bypass mogelijk, mogelijk ongeautoriseerde toegang op afstand verlenen aan gebruikers’ persoonlijk identificeerbare informatie en beperkte serveraanpassingen. Ivanti gaf in augustus een waarschuwing 2023, zeggen dat alle versies van Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9, en 11.8, evenals MobileIron Core 11.7 en lager werden getroffen.
Ontdekt en gerapporteerd door cyberbeveiligingsbedrijf Rapid7, de fout kan worden gekoppeld aan CVE-2023-35081 om het schrijven van kwaadaardige webshell-bestanden naar het apparaat te vergemakkelijken. De exacte details van echte aanvallen die gebruik maken van dit beveiligingslek zijn momenteel onbekend. Federale instanties worden aangespoord om vóór februari door de leverancier geleverde oplossingen te implementeren 8, 2024.
Deze openbaarmaking valt samen met de exploitatie van twee zero-day-fouten in Ivanti Connect Secure (ICS) VPN-apparaten (CVE-2023-46805 en CVE-2024-21887), wat leidt tot de inzet van webshells en passieve achterdeurtjes. Ivanti zal volgende week updates uitbrengen om deze problemen aan te pakken. Opmerkelijk, Bedreigingsactoren die zich op ICS VPN-apparaten richten, hebben zich gericht op het compromitteren van configuraties en het uitvoeren van caches met vitale operationele geheimen. Ivanti raadt aan deze geheimen te roteren nadat het systeem opnieuw is opgebouwd.
Volexity rapporteerde bewijs van een compromis in meer dan 1,700 apparaten wereldwijd, aanvankelijk gekoppeld aan de vermoedelijke Chinese dreigingsacteur UTA0178. Echter, Sindsdien hebben steeds meer dreigingsactoren zich aangesloten bij de exploitatie-inspanningen. De reverse engineering-inspanningen van Assetnote brachten een ander eindpunt aan het licht (“/api/v1/totp/user-backup-code”) wegens misbruik van de authenticatie-bypass-fout (CVE-2023-46805) op oudere ICS-versies, mogelijk een omgekeerde schaal verkrijgen.
Beveiligingsonderzoekers Shubham Shah en Dylan Pindur benadrukten het incident als “nog een voorbeeld van een veilig VPN-apparaat dat zichzelf blootstelt aan grootschalige exploitatie als gevolg van relatief eenvoudige beveiligingsfouten.”