Η CISA προειδοποιεί ότι μια ευπάθεια παράκαμψης κρίσιμου ελέγχου ταυτότητας στο λογισμικό διαχείρισης συσκευών Endpoint Manager Mobile (EPMM) και MobileIron Core της Ivanti (που επιδιορθώθηκε τον Αύγουστο
του
2023) βρίσκεται τώρα υπό ενεργή εκμετάλλευση.
Παρακολούθηση ως
CVE-2023-35082
το ελάττωμα είναι μια απομακρυσμένη ευπάθεια πρόσβασης API χωρίς έλεγχο ταυτότητας που επηρεάζει όλες τις εκδόσεις του EPMM 11.10, 11.9 και 11.8 και MobileIron Core 11.7 και νεότερες εκδόσεις,.
Η επιτυχής εκμετάλλευση παρέχει στους εισβολείς πρόσβαση σε προσωπικά αναγνωρίσιμες πληροφορίες (PII) χρηστών κινητών συσκευών και μπορεί να τους αφήσει να παραβιάσουν διακομιστές κερκόπορτας όταν συνδέουν το σφάλμα με άλλα ελαττώματα.
“Η Ivanti διαθέτει ένα σενάριο RPM διαθέσιμο τώρα. Συνιστούμε στους πελάτες να αναβαθμίσουν πρώτα σε μια υποστηριζόμενη έκδοση και μετά να εφαρμόσουν το σενάριο RPM”, δήλωσε η εταιρεία τον Αύγουστο. «Περισσότερες πληροφορίες μπορείτε να βρείτε σε αυτό
Άρθρο της Γνωσιακής Βάσης
στην πύλη της Κοινότητας Ivanti.”
Η εταιρεία κυβερνοασφάλειας Rapid7, η οποία ανακάλυψε και ανέφερε την ευπάθεια,
παρέχει δείκτες συμβιβασμού
(IOC) για να βοηθήσουν τους διαχειριστές να εντοπίσουν σημάδια επίθεσης CVE-2023-35082.
Σύμφωνα με τον Shodan,
6.300 πύλες χρηστών Ivanti EPMM
επί του παρόντος εκτίθενται στο διαδίκτυο, ενώ η πλατφόρμα παρακολούθησης απειλών Shadowserver παρακολουθεί
3.420 συσκευές EPMM που εκτίθενται στο Διαδίκτυο
.
Τα στοιχεία του Shodan αποκαλύπτουν επίσης ότι το
περισσότερες από 150 περιπτώσεις
που συνδέονται με κυβερνητικές
υπηρεσίες
σε όλο τον κόσμο μπορούν να έχουν άμεση πρόσβαση μέσω του Διαδικτύου.
Πύλες χρηστών Ivanti EPMM που εκτίθενται στο
Διαδίκτυο
(Shodan)
Ενώ δεν έχει δώσει ακόμη περισσότερες λεπτομέρειες για την ενεργό εκμετάλλευση CVE-2023-35082, η CISA
προστέθηκε
την ευπάθεια σε αυτήν
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
βασίζεται σε στοιχεία ενεργητικής εκμετάλλευσης και λέει ότι δεν υπάρχουν στοιχεία κατάχρησης σε επιθέσεις ransomware.
Η υπηρεσία κυβερνοασφάλειας διέταξε επίσης τις ομοσπονδιακές υπηρεσίες των
ΗΠΑ
να το διορθώσουν έως τις 2 Φεβρουαρίου, όπως απαιτείται από μια δεσμευτική επιχειρησιακή οδηγία (
ΔΣ 22-01
) που εκδόθηκε πριν από τρία χρόνια.
Το Ivanti δεν έχει ακόμη ενημερώσει
Αύγουστος
συμβουλευτικές υπηρεσίες
ή εκδώστε μια άλλη ειδοποίηση προειδοποιώντας ότι οι εισβολείς χρησιμοποιούν αυτήν την ευπάθεια ασφαλείας στη φύση.
Δύο άλλες μηδενικές ημέρες του Ivanti Connect Secure (ICS), μια παράκαμψη ελέγχου ταυτότητας (CVE-2023-46805) και μια έγχυση εντολών (CVE-2024-21887) είναι τώρα επίσης υπό μαζική εκμετάλλευση από πολλαπλές ομάδες απειλών, από τις 11 Ιανουαρίου.
Τα θύματα που έχουν παραβιαστεί μέχρι στιγμής κυμαίνονται από μικρές επιχειρήσεις έως πολλές εταιρείες του Fortune 500 από διάφορους κλάδους της βιομηχανίας, με τους επιτιθέμενους να έχουν ήδη παραθέσει πάνω από 1.700 συσκευές ICS VPN χρησιμοποιώντας μια παραλλαγή webshell GIFTEDVISITOR.
Πολλές άλλες μηδενικές ημέρες Ivanti (δηλαδή, CVE-2021-22893, CVE-2023-35078, CVE-2023-35081, CVE-2023-38035) έχουν εκμεταλλευτεί τα τελευταία χρόνια για παραβίαση δεκάδων κυβερνητικών, αμυντικών και χρηματοπιστωτικών οργανισμών σε όλες τις Ηνωμένες Πολιτείες και την Ευρώπη, αρκετούς νορβηγικούς κυβερνητικούς οργανισμούς, καθώς και σε στοχευμένες επιθέσεις.
VIA:
bleepingcomputer.com
