Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) sinalizou uma falha crítica no Ivanti Endpoint Manager Mobile (EPMM) e MobileIron Core, adicionando-o ao Catálogo de vulnerabilidades exploradas conhecidas.
CVE-2023-35081: Divulgação e Visão Geral
a vulnerabilidade, identificado como CVE-2023-35082 com uma pontuação CVSS de 9.8, permite um bypass de autenticação, potencialmente concedendo acesso remoto não autorizado aos usuários’ informação pessoalmente identificável e modificações limitadas no servidor. Ivanti emitiu um alerta em agosto 2023, dizendo que todas as versões do Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9, e 11.8, bem como MobileIron Core 11.7 e abaixo foram afetados.
Descoberto e relatado pela empresa de segurança cibernética Rapid7, a falha pode ser encadeada com CVE-2023-35081 para facilitar a gravação de arquivos web shell maliciosos no dispositivo. Os detalhes exatos dos ataques do mundo real que aproveitam esta vulnerabilidade são atualmente desconhecidos. As agências federais são instadas a implementar correções fornecidas pelo fornecedor até fevereiro 8, 2024.
Esta divulgação coincide com a exploração de duas falhas de dia zero no Ivanti Connect Secure (ICS) Dispositivos VPN (CVE-2023-46805 e CVE-2024-21887), levando à implantação de web shells e backdoors passivos. A Ivanti deve lançar atualizações na próxima semana para resolver esses problemas. Notavelmente, agentes de ameaças direcionados a dispositivos VPN ICS se concentraram em comprometer configurações e executar caches contendo segredos operacionais vitais. Ivanti recomenda alternar esses segredos após a reconstrução do sistema.
Volexity relatou evidências de comprometimento em mais de 1,700 dispositivos globalmente, inicialmente ligado ao suposto ator de ameaça chinês UTA0178. Contudo, desde então, mais atores de ameaças se juntaram aos esforços de exploração. Os esforços de engenharia reversa da Assetnote revelaram outro endpoint (“/api/v1/totp/código de backup do usuário”) por abusar da falha de desvio de autenticação (CVE-2023-46805) em versões mais antigas do ICS, potencialmente obtendo um shell reverso.
Os pesquisadores de segurança Shubham Shah e Dylan Pindur enfatizaram o incidente como “outro exemplo de dispositivo VPN seguro que se expõe à exploração em larga escala devido a erros de segurança relativamente simples.”