CISA: Falha crítica de autenticação do Ivanti agora explorada ativamente
19 de Janeiro de 2024

O CISA alerta que uma vulnerabilidade crítica de autenticação em bypass no software de gerenciamento de dispositivos Endpoint Manager Mobile (EPMM) da Ivanti e MobileIron Core (corrigido em agosto de 2023) está agora sob exploração ativa.

Rastreada como CVE-2023-35082 , a falha é uma vulnerabilidade de acesso à API não autenticada afetando todas as versões do EPMM 11.10, 11.9, 11.8 e MobileIron Core 11.7 e abaixo.

A exploração bem-sucedida oferece aos invasores acesso a informações pessoalmente identificáveis (PII) de usuários de dispositivos móveis e pode permitir que eles comprometam servidores quando encadeiam o erro com outras falhas.

"A Ivanti tem um script RPM disponível agora.

Recomendamos que os clientes primeiro atualizem para uma versão suportada e depois apliquem o script RPM", disse a empresa em agosto.

"Mais informações detalhadas podem ser encontradas neste artigo da Base de Conhecimentos no portal da Comunidade Ivanti."

A empresa de cibersegurança Rapid7, que descobriu e relatou a vulnerabilidade, fornece indicadores de comprometimento (IOCs) para ajudar os administradores a detectar sinais de um ataque CVE-2023-35082 .

De acordo com o Shodan, 6.300 portais de usuário do Ivanti EPMM estão atualmente expostos online, enquanto a plataforma de monitoramento de ameaças Shadowserver rastreia 3.420 aparelhos EPMM expostos à Internet.

Os dados do Shodan também revelam que as mais de 150 instâncias vinculadas a agências governamentais em todo o mundo podem ser acessadas diretamente via Internet.

Embora ainda não tenha fornecido mais detalhes sobre a exploração ativa do CVE-2023-35082 , o CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas com base em evidências de exploração ativa e diz que não há evidência de abuso em ataques de ransomware.

A agência de cibersegurança também ordenou que as agências federais dos EUA corrigissem a falha até 2 de fevereiro, conforme exigido por uma diretiva operacional vinculante (BOD 22-01) emitida três anos atrás.

A Ivanti ainda não atualizou seus avisos de agosto ou emitiu outro aviso alertando que os invasores estão usando esta vulnerabilidade de segurança na natureza.

Outros dois zero-days do Ivanti Connect Secure (ICS), um bypass de auth (CVE-2023-46805) e uma injeção de comando (CVE-2024-21887), também estão sob exploração em massa por vários grupos de ameaças, a partir de 11 de janeiro.

As vítimas comprometidas até agora variam de pequenas empresas a várias empresas da Fortune 500 de vários setores da indústria, com os invasores já comprometendo mais de 1.700 aparelhos VPN ICS usando uma variante de webshell GIFTEDVISITOR.

Vários outros zero-days da Ivanti (ou seja, CVE-2021-22893 , CVE-2023-35078 , CVE-2023-35081 , CVE-2023-38035 ) foram explorados nos últimos anos para violar dezenas de organizações governamentais, de defesa e financeiras nos Estados Unidos e na Europa, várias organizações governamentais norueguesas, bem como em ataques direcionados.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...