La société américaine de logiciels informatiques Ivanti a corrigé une vulnérabilité de contournement d’authentification zero-day activement exploitée qui affecte son logiciel de gestion des appareils mobiles Endpoint Manager Mobile (EPMM) (anciennement MobileIron Core).
Ivanti a publié dimanche des correctifs de sécurité pour la vulnérabilité d’accès à l’API distante non authentifiée identifiée comme CVE-2023-35078.
Les correctifs peuvent être installés en mettant à niveau vers EPMM 11.8.1.1, 11.9.1.1 et 11.10.0.2. Ils ciblent également les versions logicielles non prises en charge et en fin de vie inférieures à 11.8.1.0 (par exemple, 11.7.0.0, 11.5.0.0)
Bien qu’Ivanti ait publié un avis de sécurité pour fournir des détails sur la faille de sécurité, les informations sont bloquées par une connexion, étant donné que l’article n’est accessible qu’avec un compte lié aux informations client Ivanti.
« L’article reste actif derrière les informations d’identification de connexion de nos clients », a déclaré un porte-parole d’Ivanti à Breachtracelorsque nous avons demandé plus de détails sur la faille de sécurité et la confirmation qu’elle était déjà exploitée lors d’attaques.
« Une vulnérabilité de contournement d’authentification dans Ivanti EPMM permet à des utilisateurs non autorisés d’accéder à des fonctionnalités ou à des ressources restreintes de l’application sans authentification appropriée », déclare Ivanti dans l’avis de sécurité consulté par Breachtrace.
« Cette vulnérabilité affecte toutes les versions prises en charge 11.10, 11.9 et 11.8. Les versions/versions plus anciennes sont également à risque. Un acteur distant non autorisé (accessible à Internet) peut accéder aux informations personnellement identifiables des utilisateurs et peut autoriser des modifications limitées du serveur. »
Déjà exploité par des attaquants dans la nature
Après que la nouvelle de la vulnérabilité ait circulé parmi la communauté de la cybersécurité, l’expert en sécurité Kevin Beaumont a averti que les administrateurs devraient appliquer les correctifs dès que possible en raison de la facilité d’exploitation.
Bien que l’entreprise n’ait pas publiquement admis que le jour zéro était activement exploité, le bulletin privé indique qu’une « source fiable » a informé Ivanti que CVE-2023-35078 a été exploité dans des attaques contre un nombre limité de clients.
« Nous avons reçu des informations d’une source crédible indiquant une exploitation contre un très petit nombre de clients (par exemple, moins de 10). Nous n’avons pas plus d’informations à partager pour le moment », indique l’avis privé.
Ivanti a ajouté que le bogue n’était pas exploité dans le cadre d’une attaque de la chaîne d’approvisionnement, affirmant qu’il n’avait trouvé « aucune indication que cette vulnérabilité ait été introduite de manière malveillante dans notre processus de développement de code ».
Certains clients ont également signalé qu’Ivanti leur avait demandé de signer des accords de non-divulgation lorsqu’ils demandaient plus d’informations concernant la vulnérabilité CVE-2023-35078. Cependant, BleepingComptuer n’a pas été en mesure de le confirmer de manière indépendante.
« Ivanti a pris conscience d’une vulnérabilité qui affecte les clients d’Ivanti Endpoint Manager Mobile (anciennement MobileIron Core) et y a remédié », a déclaré un porte-parole d’Ivanti, Breachtrace, après une deuxième enquête demandant de confirmer l’exploitation dans les attaques et si l’entreprise publiera un avis public.
« Nous avons immédiatement développé et publié un correctif et nous nous engageons activement auprès des clients pour les aider à appliquer le correctif. »
Selon une recherche Shodan partagée par Daniel Card, consultant en cybersécurité de PwnDefend, plus de 2 900 portails d’utilisateurs MobileIron sont exposés en ligne, dont au moins trois douzaines sont liés à des agences gouvernementales locales et étatiques américaines.
La plupart des serveurs exposés sont situés aux États-Unis, suivis de l’Allemagne, du Royaume-Uni et de Hong Kong.
Il est fortement conseillé à tous les administrateurs réseau d’appliquer les correctifs Ivanti Endpoint Manager Mobile (MobileIron) dès que possible.