La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a mis en garde aujourd’hui contre des pirates informatiques exploitant deux failles dans Endpoint Manager Mobile (EPMM) d’Ivanti, anciennement MobileIron Core.
« Les systèmes de gestion des appareils mobiles (MDM) sont des cibles attrayantes pour les acteurs de la menace car ils fournissent un accès élevé à des milliers d’appareils mobiles, et les acteurs APT ont exploité une vulnérabilité antérieure de MobileIron », a déclaré mardi la CISA.
« Par conséquent, la CISA et le NCSC-NO sont préoccupés par le potentiel d’exploitation généralisée dans les réseaux du gouvernement et du secteur privé. »
L’une des failles (CVE-2023-35078), une vulnérabilité critique de contournement d’authentification exploitée comme un jour zéro dans les attaques ciblant les entités gouvernementales norvégiennes, peut être enchaînée avec une deuxième faille de traversée de répertoire (CVE-2023-35081) qui permet aux acteurs de la menace avec des privilèges d’administrateur pour déployer des shells Web.
La faille CVE-2023-35078 permet aux attaquants de créer les comptes administratifs EPMM nécessaires pour enchaîner les deux bugs de sécurité.
Après une exploitation réussie, les acteurs de la menace peuvent accéder à des chemins d’API spécifiques, ce qui peut conduire au vol d’informations personnelles identifiables (PII), les données compromises contenant des noms, des numéros de téléphone et d’autres détails sur les appareils mobiles.
L’Autorité norvégienne de protection des données (DPA) a également été alertée après les attaques visant les réseaux des agences norvégiennes, probablement en raison de craintes que les pirates aient pu accéder et/ou voler des données sensibles des systèmes gouvernementaux compromis.
Comme le rapporte Shodan, il existe actuellement plus de 2 300 portails d’utilisateurs MobileIron accessibles exposés sur Internet, dont plus d’une douzaine liés à des agences gouvernementales locales et étatiques américaines.
L’avertissement d’aujourd’hui est un avis conjoint publié en collaboration avec le Centre national de cybersécurité norvégien (NCSC-NO), et il fait suite à une ordonnance demandant aux agences fédérales américaines de corriger l’une de ces deux failles activement exploitées d’ici le 15 août.
La CISA a également ordonné lundi aux agences fédérales de patcher leurs systèmes contre l’exploitation de CVE-2023-35081 d’ici le 21 août.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti il y a une semaine l’agence américaine de cybersécurité.
Compte tenu de cela, il est conseillé aux équipes de sécurité et aux administrateurs de mettre immédiatement à niveau Ivanti EPMM (MobileIron) vers la version la plus récente pour protéger leurs systèmes contre les attaques en cours.
Ils doivent également considérer les systèmes MDM comme des actifs de grande valeur (HVA) nécessitant des restrictions et une surveillance supplémentaires, car ils peuvent accorder un accès élevé aux réseaux de milliers d’appareils gérés.