L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a annoncé jeudi ajoutée une faille critique désormais corrigée affectant Ivanti Endpoint Manager Mobile (EPMM) et MobileIron Core en raison de ses vulnérabilités exploitées connues (KEV), indiquant qu’il est activement exploité dans la nature.
La vulnérabilité en question est CVE-2023-35082 (score CVSS : 9,8), un contournement d’authentification qui est un contournement de correctif pour une autre faille de la même solution suivie comme CVE-2023-35078 (score CVSS : 10,0).
« Si elle est exploitée, cette vulnérabilité permet à un acteur distant non autorisé (face à Internet) d’accéder potentiellement aux informations personnelles identifiables des utilisateurs et d’apporter des modifications limitées au serveur », a noté Ivanti en août 2023.
Toutes les versions d’Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 et 11.8, ainsi que MobileIron Core 11.7 et versions antérieures sont concernées par la vulnérabilité.
La société de cybersécurité Rapid7, qui a découvert et signalé la faille, a déclaré qu’elle pouvait être enchaînée avec CVE-2023-35081 pour permettre à un attaquant d’écrire des fichiers shell Web malveillants sur l’appliance.
Il n’existe actuellement aucun détail sur la façon dont la vulnérabilité est exploitée dans des attaques réelles. Il est recommandé aux agences fédérales d’appliquer les correctifs fournis par le fournisseur d’ici le 8 février 2024.
Cette divulgation intervient alors que deux autres failles zero-day dans les appareils de réseau privé virtuel (VPN) Ivanti Connect Secure (ICS) (CVE-2023-46805 et CVE-2024-21887) ont également été exploitées en masse pour supprimer des shells Web et des portes dérobées passives. , la société devant publier des mises à jour la semaine prochaine.
« Nous avons observé que l’acteur malveillant cible la configuration et le cache en cours d’exécution du système, qui contient des secrets importants pour le fonctionnement du VPN », Ivanti dit dans un avis.
« Bien que nous n’ayons pas observé cela dans tous les cas, par prudence, Ivanti vous recommande d’effectuer une rotation de ces secrets après la reconstruction. »
Volexity, plus tôt cette semaine, a révélé avoir été en mesure de trouver des preuves de compromission de plus de 1 700 appareils dans le monde. Alors que l’exploitation initiale était liée à un acteur malveillant chinois présumé nommé UTA0178, d’autres acteurs malveillants ont depuis rejoint le train de l’exploitation.
Une ingénierie inverse plus poussée des failles jumelles par Assetnote a découvert un point de terminaison supplémentaire (« /api/v1/totp/user-backup-code ») par lequel la faille de contournement d’authentification (CVE-2023-46805) pourrait être utilisée de manière abusive sur les anciennes versions de ICS et obtenez un shell inversé.
Chercheurs en sécurité Shubham Shah et Dylan Pindur décrit il s’agit « d’un autre exemple d’un dispositif VPN sécurisé s’exposant à une exploitation à grande échelle en raison d’erreurs de sécurité relativement simples ».