Η CISA προειδοποιεί ότι μια ευπάθεια παράκαμψης ταυτοποίησης στο Ivanti Endpoint Manager Mobile (EPMM) και στο λογισμικό διαχείρισης συσκευών MobileIron Core (επιδιορθώθηκε τον Αύγουστο του 2023) εκμεταλλεύεται ενεργά.

Δείτε επίσης: Endpoint Manager Mobile: Η Ivanti διορθώνει zero-day ευπάθεια

Καταγεγραμμένο ως CVE-2023-35082, το σφάλμα είναι μια ευπάθεια απομακρυσμένης μη πιστοποιημένης πρόσβασης στο API που επηρεάζει όλες τις εκδόσεις του EPMM 11.10, 11.9 και 11.8 και του MobileIron Core 11.7 και παρακάτω.

Η επιτυχημένη εκμετάλλευση παρέχει στους επιτιθέμενους πρόσβαση σε προσωπικά αναγνωρίσιμες πληροφορίες (PII) των χρηστών κινητών συσκευών και μπορεί να τους επιτρέψει να δημιουργήσουν backdoor σε παραβιασμένους διακομιστές, συνδυάζοντας το σφάλμα με άλλα κενά ασφαλείας.

Η Ivanti διαθέτει τώρα ένα σενάριο RPM. Συνιστούμε στους πελάτες να αναβαθμίσουν πρώτα σε μια υποστηριζόμενη έκδοση και στη συνέχεια να εφαρμόσουν το σενάριο RPM “, δήλωσε η εταιρεία τον Αύγουστο.

Η εταιρεία κυβερνοασφάλειας Rapid7, η οποία ανακάλυψε και ανέφερε την ευπάθεια, παρέχει ενδείξεις παραβίασης (IOCs) για να βοηθήσει τους διαχειριστές να ανιχνεύσουν ενδείξεις μιας επίθεσης CVE-2023-35082.

Σύμφωνα με το Shodan, υπάρχουν αυτήν την στιγμή 6.300 θύρες χρηστών Ivanti EPMM που είναι εκτεθειμένες στο διαδίκτυο, ενώ η πλατφόρμα παρακολούθησης απειλών Shadowserver καταγράφει 3.420 διαδικτυακά εκτεθειμένα εξαρτήματα EPMM.

Τα δεδομένα του Shodan αποκαλύπτουν επίσης ότι περισσότερες από 150 περιπτώσεις που συνδέονται με κυβερνητικούς φορείς σε όλο τον κόσμο μπορούν να παραβιαστούν απευθείας μέσω του Διαδικτύου.

Δείτε ακόμα: Η Ivanti προειδοποιεί για ένα νέο zero-day bug του MobileIron

​Παρόλο που μέχρι στιγμής δεν έχει παράσχει περαιτέρω λεπτομέρειες για την εκμετάλλευση του CVE-2023-35082, ο CISA πρόσθεσε την ευπάθεια στον Κατάλογο Γνωστών Εκμεταλλευμένων Ευπαθειών του βασιζόμενων σε αποδείξεις ενεργής εκμετάλλευσης και δηλώνει ότι δεν υπάρχουν αποδείξεις κατάχρησης σε επιθέσεις ransomware.

Η υπηρεσία κυβερνοασφάλειας επέβαλε επίσης στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να εφαρμόσουν ενημερώσεις έως τις 2 Φεβρουαρίου, όπως απαιτείται από μια δεσμευτική λειτουργική οδηγία (BOD 22-01) που εκδόθηκε πριν από τρία χρόνια.

Η Ivanti δεν έχει ακόμα ενημερώσει τις ανακοινώσεις της για τον Αύγουστο ούτε έχει εκδώσει άλλη ειδοποίηση που να προειδοποιεί ότι οι επιτιθέμενοι

χρησιμοποιούν αυτήν την ευπάθεια ασφαλείας.

Δύο άλλες ευπάθειες του Ivanti Connect Secure (ICS), μία παράκαμψη πιστοποίησης (CVE-2023-46805) και μια εντολή εισαγωγής (CVE-2024-21887), εκμεταλλεύονται τώρα μαζικά από πολλές ομάδες απειλών, ξεκινώντας από τις 11 Ιανουαρίου.

Τα θύματα που έχουν πληγεί μέχρι στιγμής κυμαίνονται από μικρές επιχειρήσεις έως εταιρείες της λίστας Fortune 500 από διάφορους κλάδους της βιομηχανίας, με τους επιτιθέμενους να έχουν ήδη τοποθετήσει παρασκηνιακά πάνω από 1.700 συσκευές VPN ICS χρησιμοποιώντας μια παραλλαγή του webshell GIFTEDVISITOR.

Πρόσφατα έχουν αξιοποιηθεί πολλές άλλες ευπάθειες της Ivanti (π.χ., CVE-2021-22893, CVE-2023-35078, CVE-2023-35081, CVE-2023-38035) για να παραβιαστούν δεκάδες κυβερνητικές, αμυντικές και οικονομικές οργανώσεις σε όλη την Αμερική και την Ευρώπη, καθώς και αρκετές νορβηγικές κυβερνητικές οργανώσεις, μέσω στοχευμένων επιθέσεων.

Δείτε επίσης: Ivanti: Νέο κρίσιμο σφάλμα ελέγχου ταυτότητας στο MobileIron Core

Η μη πρόληψη μίας ευπάθειας παράκαμψης ταυτοποίησης μπορεί να οδηγήσει σε σοβαρές συνέπειες. Πρώτον, οι κακόβουλοι χρήστες μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως προσωπικά δεδομένα, εμπιστευτικές επιχειρηματικές πληροφορίες και πιστωτικές κάρτες.

Δεύτερον, μια ευπάθεια παράκαμψης ταυτοποίησης μπορεί να επιτρέψει στους επιτιθέμενους να πραγματοποιήσουν ενέργειες εκ μέρους του χρήστη, όπως η αλλαγή κωδικού πρόσβασης, η δημιουργία νέων λογαριασμών ή η διαγραφή δεδομένων.

Τρίτον, η ευπάθεια παράκαμψης ταυτοποίησης μπορεί να οδηγήσει σε διαρροή δεδομένων, προκαλώντας σημαντικές οικονομικές απώλειες και ζημίες στην εταιρική φήμη.

Τέλος, η μη αντιμετώπιση αυτής της ευπάθειας μπορεί να οδηγήσει σε νομικές συνέπειες, καθώς οι οργανισμοί είναι υπεύθυνοι για την προστασία των προσωπικών δεδομένων των χρηστών τους.

Πηγή: bleepingcomputer