Ivanti виявила нову критичну вразливість обходу авторизації в MobileIron Core

Компанія Ivanti, розробник програмного забезпечення для ІТ-індустрії, повідомила про нову критичну уразливість у своєму програмному забезпеченні для управління мобільними пристроями MobileIron Core.

Вразливість, що отримала код CVE-2023-35082, полягає у віддаленому неавторизованому доступі до API, що впливає на MobileIron Core версії 11.2 та вище.

Успішна експлуатація дозволяє зловмисникам отримати доступ до персональної інформації (PII) користувачів мобільних пристроїв та скомпрометованих серверів шляхом розгортання веб-шелів у ланцюжку з іншими вразливостями.

Ivanti заявила, що не буде випускати патчі безпеки для виправлення цього недоліку, оскільки він вже був усунутий в нових версіях продукту, перейменованого в Endpoint Manager Mobile (EPMM).

“MobileIron Core 11.2 не підтримується з 15 березня 2022 року. Тому Ivanti не буде випускати патч або будь-які інші виправлення для усунення цієї вразливості в 11.2 або більш ранніх версіях. Оновлення до останньої версії Ivanti Endpoint Manager Mobile (EPMM) – найкращий спосіб захистити своє середовище від загроз”, – заявили в компанії.

За данними Shodan, наразі в Інтернеті доступні понад 2200 користувацьких порталів MobileIron, в тому числі більше десятка з них пов’язані з місцевими та державними органами влади США.

Фірма з кібербезпеки Rapid7, яка виявила і повідомила про баг, надає індикатори компрометації (IOC), щоб допомогти захисникам виявити ознаки атаки CVE-2023-35082, і закликає клієнтів Ivanti негайно оновити програмне забезпечення MobileIron Core до останньої версії.

Подібні помилки Ivanti використовувалися в атаках з квітня

Два інших недоліки безпеки в Endpoint Manager Mobile (EPMM) компанії Ivanti (раніше MobileIron Core) використовувалися державними хакерами з квітня, згідно з інмормацією CISA, опублікованими у вівторок.

Одна з вразливостей (CVE-2023-35078), критичний обхід аутентифікації, була використана як вразливість нульового дня для злому мереж кількох норвезьких урядових установ.

Ця вразливість може бути пов’язана з вразливістю обходу каталогу (CVE-2023-35081), що дозволяє зловмисникам з адміністративними привілеями розгортати веб-шелів на скомпрометованих системах.

“Зловмисники використовували CVE-2023-35078 як вразливістю нульвого дня щонайменше з квітня по липень 2023 року для збору інформації від кількох норвезьких організацій, а також для отримання доступу до мережі норвезького урядового агентства та її компрометації”, – зазначили в CISA.

“Системи управління мобільними пристроями (MDM) є привабливими цілями для зловмисників, оскільки вони надають підвищений доступ до тисяч мобільних пристроїв, а зловмисники скористалися попередньою вразливістю MobileIron. Тому CISA та NCSC-NO занепокоєні потенціалом широкої експлуатації вразливостей в мережах державного та приватного секторів”

Спільна консультація CISA та Норвезького національного центру кібербезпеки (NCSC-NO) була проведена після того, як федеральні агенції США отримали розпорядження виправити ці дві вразливості до 15 та 21 серпня відповідно.