La Cybersecurity and Infrastructure Security Agency (CISA) a averti aujourd’hui les agences fédérales américaines de sécuriser leurs systèmes contre une vulnérabilité de contournement d’authentification de gravité maximale dans Endpoint Manager Mobile (EPMM) d’Ivanti, anciennement MobileIron Core.
Suivie sous le nom de CVE-2023-35078, cette faille a été exploitée comme un jour zéro pour pirater une plate-forme logicielle utilisée par 12 ministères norvégiens, selon l’Autorité de sécurité nationale du pays.
Une exploitation réussie permet à des attaquants non authentifiés d’accéder à distance à des chemins d’API spécifiques pour voler des informations personnellement identifiables (PII), y compris des noms, des numéros de téléphone et d’autres détails sur les appareils mobiles.
Ils peuvent également apporter des modifications à la configuration des appareils compromis, y compris la création de comptes administratifs EPMM, qui leur fournissent les autorisations nécessaires pour apporter d’autres modifications aux systèmes vulnérables.
Ivanti a également confirmé que le bogue est activement exploité lors d’attaques et a averti les clients qu’il est essentiel de « prendre immédiatement des mesures » pour s’assurer que leurs systèmes sont entièrement protégés.
Alors que la société n’a pas encore publié publiquement les indicateurs de compromission (IOC), les experts en sécurité et les chercheurs affirment [1, 2, 3] qu’ils contiennent des informations sur le point de terminaison vulnérable nécessaire pour exploiter la vulnérabilité, ce qui permettrait aux acteurs de la menace de créer rapidement leur propre exploits et intensifier les attaques.
Même si Breachtrace n’a pas été en mesure de vérifier cela de manière indépendante, les clients ont affirmé qu’Ivanti leur avait demandé de signer des accords de non-divulgation lorsqu’ils cherchaient plus de détails sur la vulnérabilité CVE-2023-35078.
Selon Shodan, près de 2 900 portails d’utilisateurs MobileIron sont actuellement accessibles sur Internet ; parmi eux, environ trois douzaines appartiennent à des agences gouvernementales locales et étatiques américaines.
Compte tenu de cette situation, il est essentiel que tous les administrateurs réseau mettent immédiatement à niveau leurs installations Ivanti EPMM (MobileIron) vers la dernière version pour protéger leurs systèmes contre les attaques potentielles.
Les agences fédérales ont reçu l’ordre de patcher d’ici le 15 août
Les agences de l’exécutif civil fédéral américain (FCEB) disposent d’un délai de trois semaines, jusqu’au 15 août, pour sécuriser leurs appareils contre les attaques ciblant la faille CVE-2023-35078, qui a été ajoutée mardi à la liste des vulnérabilités exploitées connues de la CISA.
En vertu de la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021, les agences fédérales sont désormais tenues d’analyser leurs réseaux à la recherche d’appareils vulnérables et de corriger toute faille de sécurité ajoutée au catalogue KEV de CISA.
Bien que le catalogue concerne principalement les agences fédérales américaines, il est fortement recommandé aux entreprises privées de hiérarchiser et d’appliquer également des correctifs pour toutes les vulnérabilités répertoriées dans la liste des bogues exploités dans les attaques de CISA.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti aujourd’hui la CISA.
L’agence américaine de cybersécurité a également donné trois semaines aux agences fédérales pour corriger leurs serveurs Adobe ColdFusion contre deux failles de sécurité critiques exploitées lors d’attaques, dont l’une en tant que zero-day.
La semaine dernière, la CISA a également averti que des acteurs malveillants inconnus avaient piraté le réseau d’une organisation d’infrastructure critique pour voler des données Active Directory après avoir exploité une vulnérabilité RCE zero-day (CVE-2023-3519) dans NetScaler ADC et Gateway.