0
0
A Ivanti divulgou uma vulnerabilidade crítica (CVE-2023-35082) que afeta versões antigas e sem suporte do MobileIron Core, uma solução de dispositivo empresarial que foi renomeada para Ivanti Endpoint Manager Mobile (EPMM).
“A vulnerabilidade foi resolvida acidentalmente no MobileIron Core 11.3 como parte do trabalho em um bug do produto. Não havia sido identificado anteriormente como uma vulnerabilidade”, observou Ivanti.
Sobre a vulnerabilidade (CVE-2023-35082)
CVE-2023-35082 é uma vulnerabilidade de acesso remoto não autenticado à API que, se explorada, pode permitir que um agente de ameaça não autorizado acesse informações de identificação pessoal (PII) dos usuários e faça modificações no servidor.
“Como o CVE-2023-35082 surge do mesmo local que o CVE-2023-35078, especificamente a natureza permissiva de certas entradas na cadeia de filtros de segurança do aplicativo da web mifs, o Rapid7 consideraria essa nova vulnerabilidade um desvio de patch para CVE-2023-35078 no que se refere à versão 11.2 e abaixo do produto”, disse Stephen Fewer, principal pesquisador de segurança da Rapid7, que divulgou essa vulnerabilidade para Ivanti.
O MobileIron Core v11.2 não é mais compatível (desde 15 de março de 2022) e Ivanti não lançará um patch para esta ou versões vulneráveis anteriores. “Estamos trabalhando ativamente com nossos clientes para atualizar para a versão mais recente do Ivanti Endpoint Manager Mobile (EPMM) ou migrar para a versão em nuvem do produto, Ivanti Neurons for MDM”, diz o fabricante de software de TI.
Rapid7 descreveu como eles exploraram e confirmaram a existência da falha e forneceram indicadores de comprometimento para caçadores de ameaças corporativas.
Ivanti EPMM na mira
Foi descoberto recentemente que CVE-2023-35078 – uma vulnerabilidade de acesso remoto não autenticado à API – e CVE-2023-35081 – uma vulnerabilidade remota de gravação arbitrária de arquivo foi explorada em conjunto para violar 12 ministérios noruegueses .
Conforme observado anteriormente, o CVE-2023-35082 – como o CVE-2023-35078 – pode permitir que um invasor remoto não autenticado acesse os endpoints da API em um servidor de gerenciamento exposto e os use para executar várias operações.
“Além disso, se uma vulnerabilidade separada estiver presente na API, um invasor pode encadear essas vulnerabilidades. Por exemplo, CVE-2023-35081 pode ser encadeado com CVE-2023-35082 para permitir que um invasor grave arquivos webshell maliciosos no dispositivo, que podem ser executados pelo invasor”, acrescentou Fewer .
FONTE: HELP NET SECURITY