Segona vulnerabilitat de Zero Day d’Ivanti EPMM explotada mitjançant atacs dirigits.

Els clients d’Ivanti EPMM han estat advertits de CVE-2023-35081, una segona vulnerabilitat de Zero Day que ha estat explotada en atacs dirigits.

Ivanti ha advertit als seus clients sobre una segona vulnerabilitat de Zero Day en el seu producte Endpoint Manager Mobile (EPMM) que ha estat explotada en atacs dirigits.

Les autoritats noruegues van anunciar el 24 de juliol que una dotzena de ministeris del govern havien estat objecte d’un ciberatac que implicava l’explotació de CVE-2023-35078, un Zero Day d’Ivanti EPMM que permet a un atacant no autenticat obtenir informació sensible i fer canvis en els servidors afectats.

Una recerca posterior de l’empresa de ciberseguretat Mnemonic va revelar l’existència de CVE-2023-35081, un error d’alta gravetat que permet a un atacant autenticat amb privilegis d’administrador escriure remotament arxius arbitraris al servidor.

A les acaballes de la setmana passada, Ivanti va publicar un avís i CISA va emetre una alerta per informar les organitzacions sobre aquesta segona vulnerabilitat i advertir-los de la seva explotació activa. S’ha instat les organitzacions a actualitzar immediatament els seus dispositius.

EPMM, anteriorment conegut com MobileIron Core, és un motor de programari de gestió mòbil utilitzat pels equips de TI per establir polítiques per dispositius mòbils, aplicacions i continguts.

Ivanti va assenyalar que CVE-2023-35081 pot explotar-se juntament amb CVE-2023-35078 per eludir l’autenticació de l’administrador i les restriccions de la llista de control d’accés (ACL).

Una explotació reeixida pot utilitzar-se per escriure arxius maliciosos al dispositiu, permetent en última instància a un actor maliciós executar ordres al sistema operatiu en el dispositiu com a usuari de tomcat. Ara com ara només es té constància que el mateix nombre limitat de clients afectats per CVE-2023-35078 ho estan per CVE-2023-35081.

Encara no és clar qui està darrere dels atacs que aprofiten aquests Zero Days, però és probable que es tracti d’un actor d’amenaces patrocinat per l’Estat.

Tot i que actualment les vulnerabilitats s’han aprofitat en atacs limitats, és probable que l’explotació augmenti tenint en compte que hi ha milers de sistemes potencialment vulnerables exposats a Internet i que s’ha fet disponible el codi de prova de concepte (PoC) per a CVE-2023-35078.

El catàleg de vulnerabilitats explotades conegudes de CISA enumera actualment 10 errors de productes Ivanti, però no inclou l’últim Zero Day. Els errors afecten els productes Premi Connect Secure i MobileIron, que Ivanti va adquirir al 2020.