O CISA alerta que uma vulnerabilidade crítica de autenticação em bypass no software de gerenciamento de dispositivos Endpoint Manager Mobile (EPMM) da Ivanti e MobileIron Core (corrigido em agosto de 2023) está agora sob exploração ativa.
Rastreada como
CVE-2023-35082
, a falha é uma vulnerabilidade de acesso à API não autenticada afetando todas as versões do EPMM 11.10, 11.9, 11.8 e MobileIron Core 11.7 e abaixo.
A exploração bem-sucedida oferece aos invasores acesso a informações pessoalmente identificáveis (PII) de usuários de dispositivos móveis e pode permitir que eles comprometam servidores quando encadeiam o erro com outras falhas.
"A Ivanti tem um script RPM disponível agora.
Recomendamos que os clientes primeiro atualizem para uma versão suportada e depois apliquem o script RPM", disse a empresa em agosto.
"Mais informações detalhadas podem ser encontradas neste artigo da Base de Conhecimentos no portal da Comunidade Ivanti."
A empresa de cibersegurança Rapid7, que descobriu e relatou a vulnerabilidade, fornece indicadores de comprometimento (IOCs) para ajudar os administradores a detectar sinais de um ataque
CVE-2023-35082
.
De acordo com o Shodan, 6.300 portais de usuário do Ivanti EPMM estão atualmente expostos online, enquanto a plataforma de monitoramento de ameaças Shadowserver rastreia 3.420 aparelhos EPMM expostos à Internet.
Os dados do Shodan também revelam que as mais de 150 instâncias vinculadas a agências governamentais em todo o mundo podem ser acessadas diretamente via Internet.
Embora ainda não tenha fornecido mais detalhes sobre a exploração ativa do
CVE-2023-35082
, o CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas com base em evidências de exploração ativa e diz que não há evidência de abuso em ataques de ransomware.
A agência de cibersegurança também ordenou que as agências federais dos EUA corrigissem a falha até 2 de fevereiro, conforme exigido por uma diretiva operacional vinculante (BOD 22-01) emitida três anos atrás.
A Ivanti ainda não atualizou seus avisos de agosto ou emitiu outro aviso alertando que os invasores estão usando esta vulnerabilidade de segurança na natureza.
Outros dois zero-days do Ivanti Connect Secure (ICS), um bypass de auth (CVE-2023-46805) e uma injeção de comando (CVE-2024-21887), também estão sob exploração em massa por vários grupos de ameaças, a partir de 11 de janeiro.
As vítimas comprometidas até agora variam de pequenas empresas a várias empresas da Fortune 500 de vários setores da indústria, com os invasores já comprometendo mais de 1.700 aparelhos VPN ICS usando uma variante de webshell GIFTEDVISITOR.
Vários outros zero-days da Ivanti (ou seja,
CVE-2021-22893
,
CVE-2023-35078
,
CVE-2023-35081
,
CVE-2023-38035
) foram explorados nos últimos anos para violar dezenas de organizações governamentais, de defesa e financeiras nos Estados Unidos e na Europa, várias organizações governamentais norueguesas, bem como em ataques direcionados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...