CISA avertit qu’une vulnérabilité critique de contournement d’authentification dans les logiciels Endpoint Manager Mobile (EPMM) et MobileIron Core Device Management d’Ivanti (corrigée en août 2023) est désormais activement exploitée.

Répertoriée sous le numéro CVE-2023-35082, la faille est une vulnérabilité d’accès à l’API non authentifié à distance affectant toutes les versions d’EPMM 11.10, 11.9 et 11.8 et MobileIron Core 11.7 et versions antérieures.

Une exploitation réussie permet aux attaquants d’accéder aux informations personnelles identifiables (PII) des utilisateurs d’appareils mobiles et peut leur permettre de pirater des serveurs compromis lors de l’enchaînement du bogue avec d’autres failles.

« Ivanti dispose désormais d’un script RPM. Nous recommandons aux clients de passer d’abord à une version prise en charge, puis d’appliquer le script RPM », a déclaré la société en août. « Des informations plus détaillées peuvent être trouvées dans cet article de la Base de connaissances sur le portail de la communauté Ivanti. »

La société de cybersécurité Rapid7, qui a découvert et signalé la vulnérabilité, fournit des indicateurs de compromission (IOC) pour aider les administrateurs à détecter les signes d’une attaque CVE-2023-35082.

Selon Shodan, 6 300 portails utilisateurs Ivanti EPMM sont actuellement exposés en ligne, tandis que la plate-forme de surveillance des menaces Shadowserver suit 3 420 appliances EPMM exposées à Internet.

Les données de Shodan révèlent également que les plus de 150 instances liées aux agences gouvernementales du monde entier sont directement accessibles via Internet.

Portails utilisateurs Ivanti EPMM exposés à Internet

​Bien qu’il n’ait pas encore fourni plus de détails sur l’exploitation active CVE-2023-35082, CISA a ajouté la vulnérabilité à son Catalogue de vulnérabilités exploitées connues sur la base de preuves d’exploitation active et indique qu’il n’y a aucune preuve d’abus dans les attaques de ransomware.

L’agence de cybersécurité a également ordonné aux agences fédérales américaines de le corriger d’ici le 2 février, comme l’exige une directive opérationnelle contraignante (BOD 22-01) publiée il y a trois ans.

Ivanti n’a pas encore mis à jour ses avis d’août ou émis une autre notification avertissant que les attaquants utilisent cette vulnérabilité de sécurité dans la nature.

Deux autres zero-days Ivanti Connect Secure( ICS), un contournement d’authentification (CVE-2023-46805) et une injection de commande (CVE-2024-21887) sont désormais également exploités en masse par plusieurs groupes de menaces, à partir du 11 janvier.

Les victimes compromises jusqu’à présent vont des petites entreprises à plusieurs entreprises Fortune 500 de divers secteurs industriels, les attaquants ayant déjà backdooré plus de 1 700 appliances VPN ICS à l’aide d’une variante webshell GIFTEDVISITOR.

Plusieurs autres zero-days Ivanti (CVE-2021-22893, CVE-2023-35078, CVE-2023-35081, CVE-2023-38035) ont été exploités ces dernières années pour violer des dizaines d’organisations gouvernementales, de défense et financières aux États-Unis et en Europe, plusieurs organisations gouvernementales norvégiennes, ainsi que dans des attaques ciblées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *