A Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) alertou hoje sobre hackers estatais explorando duas falhas no Endpoint Manager Mobile (EPMM) da Ivanti, anteriormente MobileIron Core, desde abril.
"Atores de ameaças persistentes avançadas (APT) exploraram o
CVE-2023-35078
como um zero day pelo menos de abril de 2023 a julho de 2023 para coletar informações de várias organizações norueguesas, bem como para obter acesso e comprometer a rede de uma agência governamental norueguesa," disse a CISA na terça-feira.
"Sistemas de gerenciamento de dispositivos móveis (MDM) são alvos atraentes para atores de ameaças porque fornecem acesso elevado a milhares de dispositivos móveis, e atores APT exploraram uma vulnerabilidade anterior do MobileIron.
"Consequentemente, a CISA e a NCSC-NO estão preocupadas com a possibilidade de exploração generalizada em redes governamentais e do setor privado."
Uma das falhas (
CVE-2023-35078
), uma vulnerabilidade crítica de autenticação bypass explorada como um zero-day em ataques direcionados a entidades governamentais norueguesas, pode ser encadeada com uma segunda falha de travessia de diretório (
CVE-2023-35081
) que permite que atores de ameaças com privilégios de administrador implantem shells da web.
A falha
CVE-2023-35078
permite que os atacantes criem as contas administrativas EPMM necessárias para encadear os dois erros de segurança.
Após a exploração bem-sucedida, os atores de ameaças podem acessar caminhos de API específicos, potencialmente levando ao roubo de informações pessoalmente identificáveis (PII), com os dados comprometidos contendo nomes, números de telefone e outros detalhes de dispositivos móveis.
A Autoridade de Proteção de Dados da Noruega (DPA) também foi alertada após os ataques às redes das agências norueguesas, provavelmente por causa das preocupações de que os hackers possam ter acessado e/ou roubado dados sensíveis dos sistemas governamentais comprometidos.
Segundo Shodan, atualmente existem mais de 2.300 portais de usuários do MobileIron acessíveis na internet, incluindo mais de uma dúzia vinculados a agências governamentais locais e estaduais dos EUA.
O alerta de hoje é um aviso conjunto emitido em colaboração com o Centro Nacional de Segurança Cibernética da Noruega (NCSC-NO), e segue uma ordem pedindo que as agências federais dos EUA corrijam uma dessas duas falhas ativamente exploradas até 15 de agosto.
A CISA também ordenou que as agências federais na segunda-feira corrigam seus sistemas contra a exploração do
CVE-2023-35081
até 21 de agosto.
"Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal", alertou a agência de segurança cibernética dos EUA uma semana atrás.
Dado isso, as equipes de segurança e administradores são aconselhados a fazer o upgrade imediatamente do Ivanti EPMM (MobileIron) para a versão mais recente para proteger seus sistemas de ataques contínuos.
Eles também devem considerar os sistemas MDM como ativos de alto valor (HVAs) que requerem restrições extras e monitoramento, pois podem conceder acesso elevado a redes de milhares de dispositivos gerenciados.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...