A Ivanti alertou os clientes sobre uma segunda vulnerabilidade de dia zero em seu produto Endpoint Manager Mobile (EPMM) que foi explorada em ataques direcionados.
As autoridades norueguesas anunciaram em 24 de julho que uma dúzia de ministérios do governo foram alvo de um ataque cibernético envolvendo a exploração do CVE-2023-35078, um dia zero do Ivanti EPMM que permite que um invasor não autenticado obtenha informações confidenciais e faça alterações nos servidores afetados.
Uma investigação mais aprofundada da empresa de segurança cibernética Mnemonic revelou a existência de CVE-2023-3508uma falha de alta gravidade que permite que um invasor autenticado com privilégios de administrador grave remotamente arquivos arbitrários no servidor.
No final da semana passada, Ivanti publicou um consultivo e a CISA emitiu um alerta para informar as organizações sobre esta segunda vulnerabilidade e alertá-las sobre a exploração ativa. As organizações foram instadas a corrigir imediatamente seus dispositivos.
EPMM, anteriormente conhecido como MobileIron Core, é um mecanismo de software de gerenciamento móvel usado por equipes de TI para definir políticas para dispositivos móveis, aplicativos e conteúdo.
Ivanti observou que o CVE-2023-35081 pode ser explorado em conjunto com o CVE-2023-35078 para ignorar a autenticação do administrador e as restrições da lista de controle de acesso (ACL).
“A exploração bem-sucedida pode ser usada para gravar arquivos maliciosos no dispositivo, permitindo que um ator mal-intencionado execute comandos do sistema operacional no dispositivo como o usuário tomcat”, explicou Ivanti. “No momento, estamos cientes apenas do mesmo número limitado de clientes afetados pelo CVE-2023-35078 como sendo afetados pelo CVE-2023-35081.”
Ainda não está claro quem está por trás dos ataques que exploram esses dias zero, mas é provável que seja um ator de ameaça patrocinado pelo estado.
Embora atualmente as vulnerabilidades tenham sido aproveitadas em ataques limitados, é provável que a exploração aumente, considerando que existem milhares de potencialmente vulneráveis sistemas expostos à internet e código de prova de conceito (PoC) para CVE-2023-35078 tornou-se disponível.
da CISA Catálogo de Vulnerabilidades Exploradas Conhecidas atualmente lista 10 falhas de produtos Ivanti, mas não inclui o último dia zero. As falhas afetam os produtos Pulse Connect Secure e MobileIron, adquiridos pela Ivanti em 2020.
:
: