Kritisk sårbarhet i Ivanti Endpoint Manager Mobile (Mobileiron Core)(uppdaterad 2023-08-02)

Ivanti har publicerat säkerhetsuppdateringar som åtgärdar kritiska sårbarheter i Ivanti Endpoint Manager Mobile (tidigare Mobileiron Core). Den allvarligaste är CVE-2023-35078 som tillåter en oautentiserad användare att få API-access till systemet. [1,2,3]

En angripare som har dessa behörigheter kan komma över personuppgifter som t.ex. namn, telefonnummer och övrig information om telefonin. Utöver detta finns det möjlighet för angriparen även att göra konfigurationsförändringar och möjlighet att skapa nya administrationskonton. Den är klassad som kritisk med CVSS-klassificering 10 av 10.

CERT-SE har tydliga indikationer på att denna sårbarhet utnyttjas aktivt. Därför uppmanas användare att kontrollera sina system efter tecken på exploatering. [4,5]

Uppdatering 2023-07-31

Ivanti har den 28 juli publicerat information om en ny sårbarhet (CVE-2023-35081). Säkerhetsbristen innebär att en angripare med administratörsbehörighet kan skriva godtyckliga filer samt utföra OS-kommandon på mjukvarans webbserver. Sårbarheten kan utnyttjas i kombination med den tidigare annonserade, kritiska sårbarheten CVE-2023-35078. [6]

Enligt Ivanti utnyttjas båda sårbarheterna aktivt. 

Uppdatering 2023-08-02

CISA och NCSC-NO har tillsammans släppt en Cybersecurity Advisory (CSA). Publikationen innehåller bland annat IOC:er (indicators of compromise) och TTPs (taktik, teknik, procedur för angrepp) som NCSC-NO identifierat i sin initiala utredning, samt förslag på tillvägagångssätt för detektion. Användare som vid undersökning inte finner spår på exploatering uppmanas ändå att säkerhetsuppdatera sin produkt.[7]

Påverkade produkter

    Alla versioner av Ivanti Endpoint Manager Mobile (tidigare Mobileiron Core)

Rekommendationer

CERT-SE rekommenderar att omedelbart uppdatera sårbara produkter enligt tillverkarens rekommendationer. [1,2,3]

Källor

[1] https://www.ivanti.com/blog/cve-2023-35078-new-ivanti-epmm-vulnerability
[2] https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability 
[3] https://forums.ivanti.com/s/article/KB-Remote-unauthenticated-API-access-vulnerability-CVE-2023-35078 (Kundinloggning krävs)
[4] https://www.bleepingcomputer.com/news/security/ivanti-patches-mobileiron-zero-day-bug-exploited-in-attacks/
[5] https://www.cisa.gov/news-events/alerts/2023/07/24/ivanti-releases-security-updates-endpoint-manager-mobile-epmm-cve-2023-35078
[6] https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write?language=en_US
[7] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a