La société de logiciels informatiques Ivanti a dévoilé aujourd’hui une nouvelle vulnérabilité de sécurité critique dans son logiciel de gestion des appareils mobiles MobileIron Core.
Suivie sous le nom de CVE-2023-35082, la faille est une vulnérabilité d’accès à l’API à distance non authentifiée affectant MobileIron Core version 11.2 et antérieure.
Une exploitation réussie permet aux attaquants d’accéder aux informations personnellement identifiables (PII) des utilisateurs d’appareils mobiles et des serveurs compromis par porte dérobée en déployant des shells Web lors de l’enchaînement du bogue avec d’autres failles.
Ivanti a déclaré qu’il ne publierait pas de correctifs de sécurité pour corriger cette faille, car elle a déjà été corrigée dans les nouvelles versions du produit, rebaptisées Endpoint Manager Mobile (EPMM).
« MobileIron Core 11.2 n’est plus pris en charge depuis le 15 mars 2022. Par conséquent, Ivanti ne publiera pas de correctif ni aucune autre correction pour résoudre cette vulnérabilité dans les versions 11.2 ou antérieures. Mise à niveau vers la dernière version d’Ivanti Endpoint Manager Mobile (EPMM ) est le meilleur moyen de protéger votre environnement contre les menaces », a déclaré la société.
« Cette vulnérabilité n’affecte aucune version d’Ivanti Endpoint Manager ou de MobileIron Core 11.3 et supérieur, ou d’Ivanti Neurons pour MDM. Notre équipe de support est toujours disponible pour aider les clients à effectuer la mise à niveau », a déclaré Ivanti dans un avis de sécurité séparé.
Selon Shodan, plus de 2 200 portails d’utilisateurs MobileIron sont actuellement exposés en ligne, dont plus d’une douzaine connectés à des agences gouvernementales locales et étatiques américaines.
La société de cybersécurité Rapid7, qui a découvert et signalé le bogue, fournit des indicateurs de compromission (IOC) pour aider les défenseurs à détecter les signes d’une attaque CVE-2023-35082 et exhorte les clients Ivanti à mettre immédiatement à jour le logiciel MobileIron Core vers la dernière version.
Bogues Ivanti similaires exploités dans des attaques depuis avril
Deux autres failles de sécurité dans Endpoint Manager Mobile (EPMM) d’Ivanti (anciennement MobileIron Core) ont été exploitées par des pirates informatiques depuis avril, selon un avis CISA publié mardi.
L’une des failles (CVE-2023-35078), un contournement d’authentification critique, a été exploitée comme un jour zéro pour violer les réseaux de plusieurs entités gouvernementales norvégiennes.
Cette vulnérabilité peut être enchaînée avec une faille de traversée de répertoire (CVE-2023-35081), permettant aux pirates disposant de privilèges administratifs de déployer des shells Web sur des systèmes compromis.
« Les acteurs de la menace persistante avancée (APT) ont exploité CVE-2023-35078 comme un jour zéro d’au moins avril 2023 à juillet 2023 pour recueillir des informations auprès de plusieurs organisations norvégiennes, ainsi que pour accéder et compromettre le réseau d’une agence gouvernementale norvégienne », dit CISA.
« Les systèmes de gestion des appareils mobiles (MDM) sont des cibles attrayantes pour les acteurs de la menace car ils offrent un accès élevé à des milliers d’appareils mobiles, et les acteurs APT ont exploité une vulnérabilité précédente de MobileIron. Par conséquent, CISA et NCSC-NO sont préoccupés par le potentiel d’exploitation généralisée. dans les réseaux gouvernementaux et du secteur privé. »
L’avis conjoint de la CISA avec le Centre national de cybersécurité norvégien (NCSC-NO) faisait suite aux ordres demandant aux agences fédérales américaines de corriger les deux failles activement exploitées d’ici le 15 août et le 21 août.