Ivanti a corrigé une autre vulnérabilité dans le logiciel Endpoint Manager Mobile (anciennement MobileIron Core), exploitée comme un zero-day pour violer les systèmes informatiques d’une douzaine de ministères en Norvège.

Ivanti a publié aujourd’hui des correctifs de sécurité pour la faille de traversée de chemin identifiée comme CVE-2023-35081 et a averti les clients qu’il est « essentiel » de procéder à la mise à niveau dès que possible pour protéger les appliances vulnérables contre les attaques.

« CVE-2023-35081 permet à un administrateur authentifié d’effectuer des écritures de fichiers arbitraires sur le serveur EPMM. Cette vulnérabilité peut être utilisée conjointement avec CVE-2023-35078, en contournant l’authentification de l’administrateur et les restrictions ACL (le cas échéant) », a déclaré Ivanti.

« Une exploitation réussie peut être utilisée pour écrire des fichiers malveillants sur l’appliance, permettant finalement à un acteur malveillant d’exécuter des commandes du système d’exploitation sur l’appliance en tant qu’utilisateur Tomcat.

« Pour l’instant, nous n’avons connaissance que du même nombre limité de clients impactés par CVE-2023-35078 que ceux impactés par CVE-2023-35081. »

CVE-2023-35078 a également été exploité dans les mêmes attaques ciblant des entités gouvernementales norvégiennes en tant que zero-day, pour voler des informations personnellement identifiables (PII), y compris des noms, des numéros de téléphone et d’autres détails sur les appareils mobiles.

La même faille permet également aux pirates de créer des comptes administratifs EPMM, ce qui leur permet d’apporter d’autres modifications aux appliances non corrigées.

Comme l’a rapporté Shodan, plus de 2 600 portails d’utilisateurs MobileIron sont actuellement accessibles sur Internet, dont environ trois douzaines sont liés à des agences gouvernementales locales et étatiques américaines.

À la lumière de cela, les administrateurs et les équipes de sécurité doivent immédiatement mettre à niveau leurs installations Ivanti EPMM (MobileIron) vers la dernière version pour les protéger des attaques potentielles.

Les portails utilisateurs MobileIron exposés en ligne

L’Autorité norvégienne de sécurité nationale (NSM) a confirmé mardi que la vulnérabilité CVE-2023-35078 EPMM avait été exploitée pour violer une plate-forme logicielle utilisée par les agences gouvernementales du pays.

Cependant, l’Organisation norvégienne de la sécurité et des services (DSS) a déclaré que la cyberattaque n’avait pas affecté le bureau du Premier ministre norvégien, le ministère de la Défense, le ministère de la Justice et le ministère des Affaires étrangères.

L’Autorité norvégienne de protection des données (DPA) a également été alertée de l’incident, ce qui fait craindre que les pirates aient réussi à accéder et/ou à exfiltrer des données sensibles des systèmes gouvernementaux compromis.

« Cette vulnérabilité était unique et a été découverte pour la toute première fois ici en Norvège », a déclaré le NSM.

La CISA a également ordonné aux agences fédérales américaines du pouvoir exécutif civil (FCEB) de corriger leurs systèmes contre CVE-2023-35078 d’ici le 15 août et émettra probablement bientôt une ordonnance similaire pour traiter CVE-2023-35081.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *