A Ivanti divulgou mais uma falha de segurança que afeta o Endpoint Manager Mobile (EPMM), anteriormente conhecido como MobileIron Core, que, segundo a empresa, foi transformada em parte de uma cadeia de exploração por atores mal-intencionados.
A nova vulnerabilidade, rastreada como
CVE-2023-35081
(com pontuação CVSS: 7.8), impacta as versões suportadas 11.10, 11.9, e 11.8, bem como aquelas que estão atualmente no fim de vida (EoL).
"O
CVE-2023-35081
permite que um administrador autenticado execute gravações de arquivos arbitrários no servidor EPMM", disse a empresa em um aviso.
"Essa vulnerabilidade pode ser usada em conjunto com
CVE-2023-35078
, contornando a autenticação do administrador e restrições de ACLs (se aplicável)."
Uma exploração bem-sucedida poderia permitir a um ator ameaçador escrever arquivos arbitrários no dispositivo, permitindo que a parte maliciosas execute comandos do sistema operacional no dispositivo como o usuário tomcat.
"Até agora, só temos conhecimento de que o mesmo número limitado de clientes afetados pelo
CVE-2023-35078
está sendo impactado pelo
CVE-2023-35081
", acrescentou a empresa.
Vale ressaltar que o
CVE-2023-35078
é uma vulnerabilidade crítica de acesso à API não autenticada à distância que permite aos atacantes remotos obtenham informações sensíveis, adicionar uma conta administrativa do EPMM e alterar a configuração devido a um bypass de autenticação.
As falhas de segurança têm sido exploradas por atores desconhecidos que estão mirando nas entidades governamentais norueguesas, levando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a emitir um alerta pedindo aos usuários e organizações que apliquem as últimas correções.
A notícia também chega quando a equipe do Projeto Zero do Google disse que 41 vulnerabilidades 0-day foram detectadas e divulgadas no meio virtual em 2022, contra 69 em 2021, observando que 17 delas são variantes de vulnerabilidades previamente divulgadas.
"Semelhante aos números gerais, houve uma queda de 42% no número de 0-days detectadas no ambiente virtual que visavam navegadores de 2021 para 2022, caindo de 26 para 15", disse a pesquisadora do Google TAG, Maddie Stone.
"Acreditamos que isso reflete os esforços dos navegadores para tornar a exploração mais difícil em geral, além de uma mudança no comportamento do agressor se afastando dos navegadores em direção a exploits de zero-clique que visam outros componentes no dispositivo."
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...